Configurer la MFA pour les utilisateurs sans mot de passe

Cette rubrique décrit les Authenticators qui peuvent fonctionner pour l'authentification multifacteur (MFA) dans des scénarios de connexion sans mot de passe. Elle vous propose deux façons de configurer l'authentification à deux facteurs pour vos flux d'ouverture de session sans mot de passe.

Authenticators disponibles pour les utilisateurs sans mot de passe

Les utilisateurs peuvent se connecter avec des Authenticators qui sont configurés dans les politiques d'enrôlement des Authenticators et les politiques de connexion à l'app.

La politique de connexion à l'app fournit différentes options de facteurs, mais pour la MFA sans mot de passe, seule l'option 2 types de facteur, quels qu'ils soient peut être utilisée.

L'option 2 types de facteur, quels qu'ils soient exige que l'utilisateur s'authentifie avec deux Authenticators parmi deux des types de facteur suivants :

• Basé sur la connaissance : quelque chose que l'utilisateur sait
• Possession : quelque chose que l'utilisateur possède
• Biométrie : données biométriques de l'utilisateur

Ces facteurs peuvent être protégés par matériel, liés à un appareil ou résistants à l'hameçonnage.

Les Authenticators basés sur la connaissance comprennent le mot de passe et la question de sécurité. Cependant, la question de sécurité ne peut être utilisée pour la MFA que si l'utilisateur a un mot de passe inscrit. Par conséquent, les Authenticators basés sur la connaissance ne peuvent pas être utilisés pour répondre aux exigences de la MFA pour la connexion sans mot de passe.

L'utilisateur a donc besoin d'un facteur basé sur la possession et d'un facteur biométrique pour se connecter sans mot de passe.

Configurer l'authentification à deux facteurs pour une connexion sans mot de passe

Il existe deux façons de configurer l'authentification à deux facteurs (2FA) pour l'expérience de connexion sans mot de passe :

1. Okta Verify ou WebAuthn (FIDO2)

Alors qu'il existe plusieurs facteurs basés sur la possession, les options pour les facteurs biométriques ne comprennent que Okta Verify et WebAuthn (FIDO2). Cependant, lorsque la biométrie est activée sur Okta Verify ou WebAuthn, l'un ou l'autre répond seul aux exigences des facteurs de type possession et biométrie pour 2FA. Par conséquent, l'utilisateur n'est pas invité à demander d'autres types de facteur.

Ainsi, pour configurer l'authentification à deux facteurs pour l'ouverture de session sans mot de passe, vous avez besoin soit d'Okta Verify avec la notification Push, soit de WebAuthn avec la vérification de l'utilisateur définie comme Obligatoire. Lorsque la vérification de l'utilisateur est obligatoire, l'utilisateur doit activer la biométrie pendant l'enregistrement du facteur. Cela ajoute un composant biométrique à l'Authenticator.

Par exemple, si l'utilisateur utilise Okta Verify sur un iPhone et que la vérification de l'utilisateur est obligatoire, une vérification FaceID est effectuée avant que l'utilisateur soit autorisé à effectuer une vérification avec Okta Verify.

Pour configurer Okta Verify, consultez Configurer l'Authenticator Okta Verify.

Pour configurer WebAuthn, voir Configurer un Authenticator FIDO2 (WebAuthn).

2. Okta FastPass

Okta FastPass est une configuration spécifique à un appareil pour Okta Verify. Elle peut également être utilisée pour activer l'ouverture de session sans mot de passe avec une authentification à deux facteurs. Cependant, dans ce cas, Okta Verify doit être installé sur l'appareil auquel l'utilisateur se connecte.

Pour une vérification ordinaire Okta Verify Push, l'app Okta Verify n'a pas besoin d'être installée sur l'appareil auquel l'utilisateur se connecte. Par exemple, Okta Verify installé sur un téléphone portable peut répondre à un challenge sur l'ordinateur de bureau.

Cependant, cela n'est pas possible lors de l'utilisation d'Okta FastPass. Pour pouvoir vous connecter à votre ordinateur de bureau avec Okta FastPass, Okta Verify doit y être installé.

Pour configurer Okta FastPass, consultez Configurer Okta FastPass.