Ajouter une règle de politique de session globale

Les règles décrivent les conditions du comportement de la politique, comme les demandes provenant d'un emplacement géographique ou le fait que l'utilisateur soit sur ou hors d'un réseau de confiance.

Lorsqu'un utilisateur tente de se connecter, chaque règle de la politique évalue la tentative de connexion dans l'ordre de priorité jusqu'à ce qu'il y ait une correspondance. Veillez à ce que les règles soient disposées dans un ordre qui limite l'accès aux utilisateurs présentant des conditions à haut risque. Par exemple, placez une règle qui s'applique uniquement aux utilisateurs en dehors d'une zone du réseau sur une règle qui s'applique à tout le monde. L'évaluation de la politique s'arrête lorsqu'elle atteint la règle Everyone.

Il n'y a pas de limite au nombre de règles qu'une politique de session globale peut avoir, mais elle doit en avoir au moins une.

Si vous ajoutez des règles à une nouvelle politique, commencez cette tâche à l'étape 4.

  1. Dans Admin Console, accédez à SécuritéPolitique de session globale.
  2. Sélectionnez la politique à laquelle vous souhaitez ajouter des règles.
  3. Cliquez sur Ajouter une règle.
  4. Dans le champ Nom de la règle, indiquez un nom descriptif pour la règle que vous souhaitez créer.
  5. Facultatif. Dans le champ Exclure des utilisateurs, indiquez les utilisateurs individuels d'un groupe que vous souhaitez exclure de la règle.
  6. Indiquez vos conditions.
    IF L'adresse IP de l'utilisateur est

    Utilisez le menu déroulant pour affecter des paramètres d'emplacement.

    • Spécifiez si N'importe où, Dans la zone ou Pas dans la zone déclenche une authentification.
    • Pour Dans la zone ou Pas dans la zone, vous pouvez sélectionner Toutes les zones ou spécifier des zones individuelles. Si vous spécifiez une zone, n'oubliez pas que les adresses IP sont dynamiques et que leur géolocalisation n'est pas garantie.
    • Cliquez sur Gérer la configuration pour le réseau pour afficher les paramètres actuels de votre passerelle. Pour ajouter de nouveaux paramètres, consultez Gérer les zones du réseau.
    ET Le fournisseur d'identité est

    Utilisez ce menu déroulant pour spécifier un fournisseur d'identité.

    • N'importe lequel : sélectionnez cette option pour utiliser soit Okta, soit IdP spécifique comme fournisseur d'identité.
    • Okta : sélectionnez cette option pour utiliser uniquement Okta comme fournisseur d'identité.
    • IdP spécifique : sélectionnez cette option pour utiliser un fournisseur d'identité que vous spécifiez. Cliquez sur le deuxième champ pour sélectionner un fournisseur d'identité. Consultez Ajouter une connexion sociale (IdP)

    Remarque : cette fonctionnalité est disponible en accès anticipé. Pour l'activer, contactez l'assistance Okta.

    ET S'authentifie via

    Utilisez ce menu déroulant pour spécifier les moyens d'authentification requis.

    • Any : utilisez n'importe quel moyen d'authentification.
    • Interface LDAP : utilisez LDAP pour l'authentification.
    ET Le comportement est

    Saisissez un type de comportement ou un comportement nommé. Pour les comportements à haut risque, définissez votre exigence MFA sur À chaque connexion. Ne combinez pas une condition de comportement avec une exigence MFA par appareil ou par session.

    Consultez À propos des types de comportement.

    ET Le niveau de risque est

    Sélectionnez un niveau de risque faible, moyen ou élevé. Si vous sélectionnez Élevé, veillez à définir votre exigence MFA sur À chaque connexion. Ne combinez pas un niveau de risque élevé avec une exigence MFA d'appareil ou de session.

    Consultez Évaluation des risques.

    THEN L'accès est

    Sélectionnez une option pour déterminer si cette règle définit les conditions permettant d'autoriser ou de refuser l'accès.

    Établissez la session de l'utilisateur avec

    Sélectionnez une option pour établir des sessions utilisateur :

    • Un mot de passe : exigez un mot de passe pour établir les sessions utilisateur.
    • Tout facteur utilisé pour répondre aux exigences de la politique d'authentification : exigez un Authenticator inclus dans la politique d'authentification à l'app pour établir les sessions utilisateur.

    Les utilisateurs peuvent également se connecter à Okta sans utiliser de mot de passe. Consultez Configurer un système d'authentification sans mot de passe

    L'authentification multifacteur (MFA) est

    Indiquez si l'authentification multifacteur est requise. Consultez Authentification multifacteur.

    Notez les conditions suivantes :

    • Si vous avez sélectionné Tout facteur utilisé pour répondre aux exigences de la politique d'authentification et que cette politique exige un mot de passe, celui-ci est considéré comme le facteur principal. Votre facteur secondaire ne peut pas être un facteur basé sur la connaissance, comme une question de sécurité.
    • Si vous souhaitez que votre facteur secondaire soit une question de sécurité, votre facteur primaire doit être Un mot de passe. Cette combinaison fonctionne uniquement pour les flux MFA/SSO. N'utilisez pas de questions de sécurité dans les flux d'authentification.

    Les utilisateurs seront invités à utiliser la MFA

    Cette option apparaît lorsque vous sélectionnez Obligatoire pour l'option L'authentification multifacteur (MFA) est. Si les utilisateurs doivent utiliser l'authentification multifacteur, indiquez quand ils seront invités à l'utiliser :

    • À chaque connexion : les utilisateurs sont invités à utiliser la MFA chaque fois qu'ils se connectent à Okta. Cette option est adaptée à une utilisation avec des conditions de comportement, qui détectent les événements de connexion à haut risque.
    • Lors de la connexion avec un nouveau cookie d'appareil : les utilisateurs sont invités à utiliser la MFA lorsqu'ils se connectent avec un nouvel appareil ou si le cookie est supprimé de leur appareil existant. Choisissez cette option uniquement pour les cas d'utilisation à faible risque, car les utilisateurs peuvent contourner la MFA s'ils semblent se connecter depuis le même appareil. Ne l'utilisez pas avec des conditions comportementales.
    • Après l'expiration de la durée de vie de la MFA pour le cookie d'appareil : les utilisateurs sont invités à utiliser la vérification par MFA lorsqu'ils tentent de se connecter après l'expiration de la période de durée de vie MFA. Durée de vie de la MFA n'est appliquée que lorsqu'une nouvelle session est créée ou si l'utilisateur change d'appareil.
      • Durée de vie de la MFA : cette option apparaît lorsque vous sélectionnez Après l'expiration de la durée de vie MFA pour le cookie d'appareil. Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (minutes, heures, jours).

    Durée de vie maximale de la session globale Okta

    Configurez une durée de vie de la session Okta :

    • Pas de limite de temps : si vous sélectionnez cette option, aucune limite de temps n'est appliquée aux sessions Okta, mais les sessions des utilisateurs expirent tout de même lorsque le temps d'inactivité est atteint.

      Ce paramètre n'est approprié que pour les cas d'utilisation à faible risque et à faible niveau d'assurance. Ne l'utilisez pas avec des conditions de comportement ou de risque.

    • Définir une limite de temps : définissez une limite de temps pour la durée de vie des sessions Okta. Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (minutes, heures, jours).

    Vous pouvez définir la durée de vie de la session de Admin Console indépendamment de ce paramètre global. Consultez Configurer la durée de vie de la session Admin Console.

    Durée de vie maximale des sessions globales Okta

    Configurez le temps d'inactivité qui s'écoule avant que les sessions Okta n'expirent automatiquement, indépendamment de la durée de vie maximale de la session Okta :

    • Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).

    Vous pouvez définir le délai d'expiration pour Admin Console indépendamment de ce paramètre global. Consultez Configurer la durée de vie de la session Admin Console.

    Les cookies de session globale Okta persistent à travers les sessions du navigateur

    Cette option apparaît si vous avez défini l'option usePersistentCookie dans l'API Okta. Consultez Ouverture de session et authentification unique persistante.

    Activez ou désactivez la persistance des cookies de session entre les sessions du navigateur. Sélectionnez une option dans la liste déroulante :

    • Activer : autoriser les cookies de session à persister entre les sessions du navigateur. Les utilisateurs doivent sélectionner l'option Maintenir la connexion dans le Sign-In Widget pour activer cette fonctionnalité.

    • Désactiver : ne pas autoriser les cookies de session à persister entre les sessions du navigateur.

    Certains paramètres de navigateur individuels peuvent affecter la durée de vie des cookies et remplacer ce paramètre.

  7. Cliquez sur Créer une règle.

Cookies persistants

Les cookies persistants de la Politique de session globale ne peuvent être configurés qu'en définissant l'option usePersistentCookie dans l'API Okta. Consultez Ouverture de session et authentification unique persistante.

  • L'API définit un cookie qui dure à travers les sessions du navigateur. Si un utilisateur quitte son navigateur et le rouvre, la session du navigateur est persistante, sauf si l'utilisateur s'est déconnecté.
  • Le cookie persistant est valide jusqu'à l'expiration de la session, conformément aux paramètres de la politique de session globale.
  • Les cookies persistants ne sont jamais définis pour les administrateurs d'Okta.

Remarques sur les règles de la politique de session globale

  • La politique de session globale contrôle la durée de validité d'une session globale, mais les règles de la de la politique d'authentification à l'app contrôlent la fréquence de réauthentification.
  • Ne créez pas de politique qui repose uniquement sur l'emplacement pour refuser l'accès. Les adresses IP sont dynamiques et leur géolocalisation n'est pas garantie.
  • La session d'un utilisateur final expire en fonction des paramètres de la politique de session globale. À ce moment-là, les utilisateurs finaux doivent se réauthentifier, qu'ils aient ou non sélectionné l'option Maintenir la connexion lors de l'ouverture de session.
  • Lorsque la condition ET S'authentifie avec est définie sur LDAP, la sélection ET Établir la session de l'utilisateur avec n'a aucun effet. Les demandes de liaison de l'interface LDAP peuvent encore exiger un nom d'utilisateur et un mot de passe avec des informations MFA. Consultez Utiliser l'authentification multifacteur avec l'interface LDAP.
  • Vous ne pouvez modifier ces conditions que dans la règle par défaut de la politique par défaut :
    • Établir la session de l'utilisateur avec
    • L'authentification multifacteur (MFA) est
    • Les utilisateurs seront invités à utiliser la MFA
    • Durée de vie maximale des sessions globales Okta

Rubriques liées

Politiques de session globale

Politiques d'authentification à l'application

Enregistrement des utilisateurs finaux