Créer une politique d'authentification à l'application pour une intégration de sécurité des points de terminaison
Vous pouvez utiliser Okta Expression Language (EL) pour créer ou modifier des politiques d'authentification aux applications qui évaluent les signaux de confiance collectés par votre solution EDR (détection des menaces et réponse sur les points de terminaison).
Lancer la procédure
-
Dans la Admin Console, accédez à .
- Cliquez sur Connexion à l'application.
- Sélectionnez la politique d'authentification à l'application à laquelle vous souhaitez ajouter une règle.
- Cliquez sur Ajouter une règle.
- Saisissez le Nom de la règle afin de la décrire.
-
Configurez les conditions IF appropriées pour déterminer quand la règle doit s'appliquer.
Lorsque vous définissez des conditions, n'oubliez pas que certaines conditions servent surtout à l'audit et au filtrage des événements et ne doivent pas être utilisées comme base pour définir votre posture de sécurité.
Par exemple, un acteur malveillant pourrait facilement falsifier la plateforme d'un appareil. Vous ne devez donc pas utiliser la plateforme de l'appareil comme élément principal d'une règle de politique d'authentification à l'application.
- Configurez les conditions THEN appropriées pour déterminer comment l'authentification est appliquée.
- Configurez la fréquence de réauthentification, si nécessaire.
- Cliquez sur Enregistrer.
Spécifier des signaux à l'aide d'expressions personnalisées
Vous pouvez spécifier les signaux EDR qu'une politique doit évaluer en saisissant une expression personnalisée. L'expression personnalisée doit utiliser la syntaxe valide d'Okta Expression Language (EL). Par exemple, vous pouvez utiliser une expression similaire à la suivante pour intégrer les signaux CrowdStrike ZTA à votre politique d'authentification à l'application :
device.provider.zta.overall <= 60 ou device.provider.zta.overall >= 60
De la même manière, vous pouvez utiliser une expression personnalisée pour intégrer les signaux de Sécurité Windows à votre politique d'authentification à l'application. Par exemple :
device.provider.wsc.fireWall == "GOOD" ou device.provider.wsc.fireWall == "POOR"
Vous pouvez ensuite utiliser les signaux EDR pour adapter vos règles d'autorisation ou de refus d'accès à vos besoins de sécurité. Pour plus d'informations sur les signaux EDR disponibles, consultez Signaux EDR pour les expressions personnalisées.
Conformité du niveau d'assurance de l'authenticator
Les conditions THEN d'une règle définissent la manière dont l'identité d'un utilisateur peut être validée. Lorsque vous configurez ces paramètres, vous devez tenir compte du niveau de conformité requis. Pour l'intégration EDR, les paramètres recommandés sont les suivants :
| Pour | Effectuer cette action |
|---|---|
| THEN L'accès est | Sélectionnez Autorisé après une authentification réussie. |
| AND L'utilisateur doit s'authentifier avec |
|
| AND Contraintes de facteur de possession | Sélectionnez Lié à un appareil (sauf téléphone et e-mail. |
| AND L'accès avec Okta FastPass est accordé | Sélectionnez Si l'utilisateur approuve une invite dans Okta Verify ou fournit des données biométriques (répond aux exigences du niveau AAL2 du NIST) afin d'exiger de l'utilisateur qu'il prouve qu'il est physiquement présent lorsqu'il utilise Okta FastPass pour s'authentifier. |
| La fréquence de réauthentification par mot de passe est | Sélectionnez Chaque tentative de connexion. |
| La fréquence de réauthentification pour tous les autres facteurs est | Sélectionnez Chaque tentative de connexion. |
Étapes suivantes
Gérer les plug-ins d'intégration de sécurité des points de terminaison pour macOS
Gérer les plug-ins d'intégration de sécurité des points de terminaison pour Windows
Valider votre intégration de sécurité des points de terminaison