Configurer un système d'authentification sans mot de passe

Créez une expérience avec ou sans mot de passe pour vos utilisateurs afin d'accélérer le processus d'inscription et de renforcer la sécurité.

Les mots de passe sont une source fréquente de failles de sécurité. En rendant les mots de passe facultatifs ou en les désactivant, vous pouvez exiger des Authenticators basés sur la possession ou la biométrie. En supprimant la nécessité de configurer un mot de passe pendant le processus d'enregistrement en libre-service, vous pouvez réduire le nombre d'utilisateurs qui abandonnent l'enrôlement.

Dans la politique d'enrôlement des Authenticators, spécifiez les groupes pour lesquels vous souhaitez rendre les mots de passe facultatifs ou désactivés. Les utilisateurs de ces groupes peuvent s'inscrire ou s'authentifier dans leur org sans avoir à configurer un mot de passe.

Avant de commencer

  • Créez des utilisateurs ou faites-les s'inscrire à l'aide de l'enregistrement en libre-service. Les utilisateurs LDAP ne sont pas pris en charge.
  • L'authentification RADIUS traditionnelle ne peut pas être effectuée avec des utilisateurs sans mot de passe. Les mots de passe constituent le mécanisme d'authentification principal dans le cadre de l'authentification RADIUS. RADIUS peut utiliser d'autres facteurs pour l'authentification après avoir désactivé la propriété de configuration de l'application Okta réalise l'authentification principale. Voir 2FA Uniquement (Mode sans mot de passe) dans Applications RADIUS dans Okta.
  • Si vous désactivez cette fonctionnalité, les utilisateurs sans mot de passe inscrit ne pourront pas facilement revenir en arrière. Il faudra les migrer. Si vous avez des utilisateurs sans mot de passe, contactez le support avant de désactiver cette fonctionnalité.

Enregistrement en libre-service

Les utilisateurs qui n'existent pas encore dans l'org et qui s'inscrivent en libre-service sont ajoutés aux groupes que vous avez spécifiés dans la politique d'enrôlement de profil. La politique d'enrôlement d'Authenticators correspondant à ces groupes décide si ces utilisateurs ont besoin d'un mot de passe.

L'utilisateur doit inscrire un mot de passe si la politique l'exige. Si le mot de passe est défini sur facultatif ou désactivé, les utilisateurs peuvent s'inscrire sans inscrire de mot de passe. Ils doivent cependant s'inscrire aux autres Authenticators requis par la politique.

Authentification sans mot de passe pour les utilisateurs créés par l'administrateur

Si vous créez un utilisateur sans inscrire d'Authenticator pour lui, l'utilisateur reçoit un e-mail d'activation. L'e-mail contient un lien magique que l'utilisateur peut utiliser pour activer son compte et s'authentifier auprès de son org. L'utilisateur est créé avec le statut En attente d'une action de la part de l'utilisateur.

Si vous créez un utilisateur et définissez un mot de passe ou inscrivez une YubiKey pour lui, l'utilisateur est défini comme Actif. Il ne reçoit pas d'e-mail d'activation dans ce cas. Il peut se connecter directement à son org en utilisant l'e-mail comme Authenticator.

Pour déterminer si un utilisateur a besoin d'un mot de passe, accédez à DirectoryPersonnes. Un compte utilisateur a l'un des statuts suivants :

  • Mot de passe expiré : l'utilisateur a besoin d'un mot de passe et l'administrateur le lui fournit. L'utilisateur doit changer le mot de passe fourni par l'administrateur la première fois qu'il se connecte.
  • En attente d'une action de la part de l'utilisateur) : l'utilisateur n'a pas d'Authenticators inscrits par l'administrateur. Il reçoit un message d'activation.
  • Actif : l'utilisateur a besoin d'un mot de passe ou d'une YubiKey, fournis par l'administrateur. Ou alors l'utilisateur n'a pas besoin d'un mot de passe et l'administrateur n'en fournit pas.
  • En attente d'une action de la part de l'utilisateur. Sélection du mot de passe utilisateur requise : les utilisateurs sans mot de passe synchronisés depuis une autre org peuvent avoir ce statut. Ces utilisateurs reçoivent l'e-mail d'activation. Une fois qu'ils ont cliqué sur le lien, il peut leur être demandé d'enregistrer un mot de passe, en fonction de leur appartenance à un groupe et des politiques d'enregistrement des Authenticators.

Bonnes pratiques

S'assurer que les administrateurs peuvent utiliser des mots de passe.

  1. Créez un groupe distinct pour les administrateurs.
  2. Créez des politiques distinctes d'enrôlement d'Authenticators, de session globale et de connexion pour ce groupe.
  3. Définissez la politique d'enrôlement des Authenticators du groupe sur la priorité la plus élevée. Faites-la glisser en haut de la liste des politiques d'enrôlement d'Authenticators (numéro 1).

Assurez-vous que seuls les utilisateurs concernés peuvent se connecter sans mot de passe.

  1. Créez un groupe distinct pour les utilisateurs sans mot de passe.
  2. Créez des politiques distinctes d'enrôlement d'Authenticators, de session globale et de connexion pour ce groupe.
  3. Définissez la politique d'enrôlement d'Authenticators du groupe sur la deuxième priorité la plus faible. Faites-la glisser vers la position juste au-dessus de la politique par défaut dans la liste des politiques d'enrôlement d'Authenticators. Cela garantit que les utilisateurs sans mot de passe seront soumis à leur politique d'enrôlement d'Authenticators et non à la politique par défaut.
  4. Assurez-vous que la politique par défaut requiert un mot de passe comme Authenticator.
  5. Excluez explicitement votre compte administrateur principal des politiques sans mot de passe.

Démarrer cette procédure

Configurez les politiques pour rendre le mot de passe facultatif ou désactivé. Créez ensuite des utilisateurs qui n'ont pas besoin de mot de passe. Vous pouvez également supprimer l'obligation d'utiliser un mot de passe pour les utilisateurs existants qui l'utilisent.

Configurer les politiques pour rendre le mot de passe facultatif ou désactivé

  1. Configurer l'Authenticator par e-mail. Définissez-le pour l'utiliser avec Authentification et récupération.
  2. Créer une politique de connexion à l'app.

  3. Ajoutez une règle de politique de connexion à l'app pour permettre aux utilisateurs finaux de s'authentifier sans mot de passe.

    • Choisissez L'utilisateur doit s'authentifier avec n'importe quelle option de type de facteur 1 ou 2, sauf celles qui requièrent explicitement un mot de passe.
    • Si vous utilisez deux facteurs, voir Configurer MFA pour les utilisateurs sans mot de passe.
    • Si vous prévoyez d'utiliser Okta Verify comme Authenticator pour les utilisateurs sans mot de passe, configurez Vérification de l'utilisateur sur Obligatoire. Voir Configurer les options Okta Verify.
  4. Créer une politique de session globale.
  5. Ajoutez une règle de politique de session globale et configurez Établir la session de l'utilisateur avec sur Tout facteur utilisé pour répondre aux exigences de la politique d'authentification.

  6. Créer une politique d'enrôlement des Authenticators. Définissez au moins un Authenticator activé pour l'authentification selon les besoins. Configurez d'autres Authenticators, le cas échéant.

    • Si le mot de passe est défini sur Facultatif ou Désactivé, vous ne pouvez pas définir la Question de sécurité sur Obligatoire comme Authenticator autonome pour l'authentification. Cependant, cela est autorisé pour la récupération de compte.
    • Si vous avez activé la Protection contre l'énumération des utilisateurs, un utilisateur qui se connecte à l'org pour la première fois à partir d'un appareil particulier se voit présenter une invite de connexion qui lui demande son mot de passe ou son adresse électronique. Vous pouvez désactiver ce paramètre dans SécuritéGénéral pour une expérience de connexion simplifiée. Cependant, les utilisateurs qui n'ont pas de mot de passe peuvent toujours utiliser leur e-mail comme Authenticator pour se connecter.

Créer des utilisateurs avec ou sans mot de passe

  1. Dans l'Admin Console, accédez à DirectoryPersonnes.

  2. Cliquez sur Ajouter une personne.
  3. Sélectionnez un Type d'utilisateur ou acceptez la valeur par défaut. Voir À propos des types d'utilisateur personnalisés dans Universal Directory.
  4. Affectez l'utilisateur au groupe correspondant à la politique d'enrôlement avec ou sans mot de passe.
  5. Remplissez les autres champs.
  6. Dans le champ Activation, sélectionnez Activer maintenant.
  7. Dans le champ Mot de passe, désactivez Je vais définir le mot de passe.

  8. Cliquez sur Enregistrer.

Modifier les utilisateurs utilisant des mots de passe en utilisateurs avec ou sans mot de passe

Pour modifier les utilisateurs utilisant des mots de passe en utilisateurs avec ou sans mot de passe, accédez à DirectoryPersonnes. Dans Personne, accédez à Réinitialiser ou supprimer le mot de passeSupprimer le mot de passe.

Vous ne pouvez pas supprimer le mot de passe d'un utilisateur si la politique d'enrôlement d'un Authenticator applicable à l'utilisateur nécessite un mot de passe. De même, si le mot de passe d'un utilisateur est désactivé dans toutes les politiques en vigueur, l'administrateur ne peut pas définir ou réinitialiser son mot de passe.

Expérience de l'utilisateur final

Après avoir configuré l'expérience avec ou sans mot de passe, les utilisateurs peuvent se connecter ou s'inscrire sans mot de passe.

Se connecter pour la première fois sans mot de passe

Les utilisateurs reçoivent un e-mail d'activation lors de la création de leur compte par un administrateur. Un e-mail est envoyé à l'adresse que l'administrateur a indiquée lors de la création du compte. L'utilisateur ouvre l'e-mail et clique sur le lien magique, ou saisit un OTP (mot de passe à usage unique) pour vérifier l'adresse e-mail. Il est ensuite invité à définir des méthodes de sécurité selon la politique d'enrôlement de l'Authenticator. Une fois qu'il a mis en place les méthodes de sécurité, il est autorisé à accéder à l'org ou à la ressource.

S'inscrire en libre-service sans mot de passe

Les utilisateurs qui n'existent pas encore dans l'org peuvent s'inscrire à l'aide d'un lien magique envoyé par e-mail et d'un mot de passe facultatif. Sur la page d'authentification à l'app, l'utilisateur saisit son nom et son adresse e-mail. L'e-mail contenant le lien magique est envoyé à cette adresse. L'utilisateur ouvre l'e-mail et clique sur le lien magique, ou saisit un OTP (mot de passe à usage unique) pour vérifier l'adresse e-mail.

Dans l'app, il est invité à créer un mot de passe s'il est configuré comme Authenticator optionnel dans la politique d'enrôlement des Authenticators. Il est également invité à configurer des méthodes de sécurité requises par la politique. Une fois les méthodes de sécurité définies, il est enregistré.

Supprimer un mot de passe dans End-User Dashboard

Si la politique d'enrôlement des Authenticators le permet, les utilisateurs peuvent supprimer leur mot de passe en tant que méthode de sécurité en accédant à Okta End-User Dashboard Paramètres. Dans la section Méthodes de sécurité, ils peuvent sélectionner Mot de passe, puis cliquer sur Supprimer. Ils peuvent à nouveau configurer leur mot de passe par le même biais.