Intégrer Okta à Android Device Trust

En configurant une intégration avec le point de terminaison Android Device Trust, vous pouvez renforcer la sécurité sur les appareils Android. Vous pouvez configurer des politiques d'authentification aux applications pour vous assurer que seuls les appareils Android certifiés par Google accèdent aux applications protégées par Okta. Android Device Trust élargit la gamme des signaux utilisés pour évaluer la posture de sécurité standard.

Conditions préalables

  • Sign-In Widget 7.29 ou versions ultérieures
  • Les appareils des utilisateurs finaux sont inscrits dans Okta Verify 8.12 ou une version ultérieure.

Ajouter Android Device Trust comme point de terminaison

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Dans l'onglet Sécurité des points de terminaison, cliquez sur Ajouter une intégration de point de terminaison.
  3. Sélectionnez Android Device Trust.
  4. Sélectionnez Android.

  5. Cliquez sur Enregistrer.

La nouvelle intégration Android Device Trust apparaît sur la page Intégrations d'appareils.

Ajouter une politique de garantie des appareils pour utiliser les signaux Android Device Trust

Pour ajouter la politique de garantie des appareils, consultez Ajouter une politique de garantie des appareils.

Grâce à l'intégration à Android Device Trust, Okta reçoit des signaux supplémentaires des appareils Android enregistrés. Par conséquent, vous pouvez configurer des conditions d'assurance supplémentaires dans vos règles de politique :

  • Appliquer les dernières mises à jour majeures du OS disponibles sur l'appareil : cette condition est disponible si vous avez activé la fonctionnalité d'accès anticipé Conformité dynamique des versions d'OS et défini l'exigence du OS sur une version dynamique, du type La version du OS doit être au moins la version majeure prise en charge la plus récente.

  • Écran de verrouillage : configurez la complexité du verrouillage de l'écran : Aucun, Faible, Moyenou Élevé.
  • Google Play Protect: sélectionnez la case pour rendre les analyses Google Play Protect obligatoires. Les utilisateurs qui ont désactivé les services d'analyse sur leurs appareils sont invités à les réactiver. Configurez le seuil de risque maximal du scan :
    • Faible : aucun problème trouvé. Il s'agit de l'option la plus sécurisée.
    • Moyen : l'analyse a détecté des applications potentiellement malveillantes.
    • Élevé : l'analyse a détecté des applications malveillantes ou l'analyse n'a pas été évaluée. Il s'agit de l'option la moins sécurisée.
  • Niveau d'intégrité de l'appareil : sélectionnez une des options suivantes :
    • Aucun : par défaut. L'intégrité de l'appareil n'est pas évaluée lors de l'authentification. Modifiez cette valeur si vous souhaitez que la politique vérifie l'intégrité de l'appareil.
    • De base : l'appareil passe les contrôles d'intégrité du système de base. Les appareils sous Android 13 ou versions ultérieures nécessitent l'attestation de clé de la plateforme Android (Android Platform Key Attestation). L'appareil peut ne pas répondre aux exigences de compatibilité Android et peut ne pas être autorisé à exécuter les services Google Play. Par exemple, l'appareil peut fonctionner avec une version non reconnue d'Android.
    • Standard : l'application s'exécute sur un appareil Android disposant des services Google Play. L'appareil passe les contrôles d'intégrité du système et répond aux exigences de compatibilité Android.
    • Fort : l'appareil dispose de services Google Play et offre une garantie forte d'intégrité du système conforme aux exigences de compatibilité Android. Pour les appareils sous Android 13 ou versions ultérieures, une mise à jour de sécurité doit avoir été installée au cours de l'année écoulée.
  • Débogage USB : cochez la case pour vous assurer que le débogage USB est désactivé. Si l'appareil de l'utilisateur ne répond pas à cette exigence, ce dernier est invité à désactiver le débogage dans Options pour les développeurs.
  • Proxys réseau : cochez la case pour vous assurer que l'appareil de l'utilisateur n'utilise pas de proxy réseau.
  • Sécurité réseau Wi-Fi : cochez la case pour vous assurer que les utilisateurs accèdent à leurs applications sur un réseau sans fil sécurisé. Si le réseau n'est pas sécurisé, les utilisateurs sont invités à utiliser les données mobiles pour accéder à la ressource protégée par Okta.

Expérience utilisateur

Lorsqu'un utilisateur accède à des applications protégées par une politique qui utilise des signaux Android Device Trust, Okta évalue les conditions pendant l'authentification. Si l'appareil ne répond pas aux exigences de la politique, l'utilisateur ne peut pas accéder à l'application et reçoit le message Votre appareil ne répond pas aux exigences de sécurité.

  • Les utilisateurs d'Okta Verify doivent installer l'application Android Device Policy avant qu'Okta puisse collecter et appliquer les signaux Android Device Trust. Les utilisateurs qui ne disposent pas de l'application sont invités à l'installer dans le cadre du processus d'authentification. Après avoir installé Android Device Policy, les utilisateurs peuvent accéder à leurs applications. Si l'installation échoue, ils sont invités à contacter leur service informatique pour résoudre les problèmes. Vous pouvez conseiller aux utilisateurs d'installer proactivement Android Device Policy depuis Google Play pour faciliter l'intégration.
  • Les messages incluent des instructions de remédiation pour aider les utilisateurs à mettre leurs appareils en conformité et ainsi accéder à l'application.
  • Si les utilisateurs se voient refuser l'accès en raison d'un non-respect de la condition Google Play Protect, demandez-leur d'arrêter de force Okta Verify, de le rouvrir, puis de se reconnecter.

Rubriques liées

Ajouter une politique de garantie des appareils