Séquence d'authentification

Une séquence authentification exige que les utilisateurs vérifient leur identité à l'aide d'Authenticators dans un ordre que vous configurez. Vous pouvez ajouter des chaînes aux règles de politique d'authentification à l'app et créer plusieurs chaînes pour répondre à différents scénarios d'authentification.

Fonctionnement

Dans une règle de politique d'authentification à l'app, vous pouvez spécifier avec quels Authenticators un utilisateur doit s'authentifier pour accéder à une app. Chaque Authenticator satisfait à certains types et méthodes de facteurs, comme décrit dans la section Authentification multifacteur. Vous pouvez exiger des utilisateurs qu'ils vérifient leur identité à l'aide de plusieurs Authenticators afin de répondre à vos exigences en matière d'assurance.

Avec l'option Séquence d'authentification, vous pouvez définir l'ordre dans lequel ces méthodes d'authentification sont présentées à l'utilisateur. Cela vous donne un contrôle plus fin sur la façon dont les utilisateurs s'authentifient dans une app.

  • Spécifiez la séquence des méthodes authentification : vous pouvez spécifier l'ordre dans lequel les méthodes authentification sont présentées aux utilisateurs. Par exemple, demandez aux utilisateurs de s'authentifier d'abord avec un facteur de possession, comme un code d'accès à usage unique (OTP) sur leur téléphone. Exigez ensuite un facteur biométrique, tel qu'Okta Verify avec vérification biométrique de l'utilisateur. Ou, lors de l'accès à des apps sensibles, exigez qu'ils s'authentifient avec deux Authenticators résistants au phishing, par exemple d'abord avec WebAuthn puis avec Okta FastPass.
  • Spécifiez les caractéristiques de la méthode pour les authenticateurs : pour les authenticateurs dont les caractéristiques varient selon la méthode, vous pouvez spécifier quelle caractéristique est requise. Par exemple, résistance au hameçonnage pour Okta FastPass ou exigence d'une carte intelligente protégée par le matériel.
  • Spécifiez plusieurs chaînes de méthodes d'authentification : vous pouvez personnaliser la séquence d'authentification pour différents scénarios ou offrir aux utilisateurs plusieurs Authenticators de départ. Par exemple, proposez le mot de passe et Okta Verify comme premiers Authenticators provenant de deux chaînes différentes. Si l'utilisateur s'authentifie avec un mot de passe, exigez alors FIDO2 (WebAuthn) comme second Authenticator. S'il s'authentifie avec Okta Verify, exigez Google Authenticator comme second Authenticator.
  • Spécifiez plusieurs méthodes d'authentification dans une seule étape : vous pouvez personnaliser chaque étape de la chaîne pour proposer plusieurs méthodes d'authentification. L'utilisateur peut vérifier à l'aide de n'importe laquelle de ces méthodes pour passer à l'étape suivante. Par exemple, autorisez le mot de passe ou l'OTP par téléphone comme premiers Authenticators, puis exigez FIDO2 (WebAuthn) comme deuxième Authenticator dans une seule chaîne.

Configurer une séquence authentification

  1. Dans la règle de politique d'authentification à l'app, accédez au menu déroulant L'utilisateur doit s'authentifier avec et sélectionnez Séquence d'authentification.
  2. Spécifiez la première méthode d'authentification. Répétez cette étape pour ajouter plusieurs méthodes à ce niveau.
    1. À partir de Première méthode d'authentification, sélectionnez une méthode authentification.
    2. En fonction de l'Authenticator, ces options liées aux caractéristiques de la méthode peuvent apparaître. Sélectionnez les caractéristiques requises pour la méthode :
      • Résistant à l'hameçonnage
      • Protégé de façon matérielle
      • Interaction de l'utilisateur
    3. Facultatif. Cliquez sur + Ajouter pour ajouter une autre première méthode d'authentification.
  3. Si vous avez activé la vérification de l'utilisateur dans les politiques d'authentification, la section Interaction de l'utilisateur apparaît. Consultez vérification de l'utilisateur dans les politiques d'authentification à l'app.
  4. Dans Demande d'authentification, spécifiez la fréquence à laquelle l'utilisateur doit être invité à s'authentifier. Cette fréquence est également appelée fréquence de réauthentification.
    • Chaque fois que l'utilisateur se connecte à une ressource : les utilisateurs doivent s'authentifier chaque fois qu'ils essaient d'accès à l'app. Il s'agit de l'option la plus sécurisée.
    • Lorsqu'une durée spécifiée s'est écoulée depuis la dernière connexion de l'utilisateur à une ressource protégée par la session globale Okta active : les utilisateurs sont invités à s'authentifier lorsqu'ils dépassent l'intervalle de temps que vous avez défini.
    • Lorsqu'une session globale Okta n'existe pas : les utilisateurs sont invités à s'authentifier s'ils n'ont jamais établi de session globale Okta active.
  5. Spécifiez la méthode d'authentification suivante dans la chaîne. Répétez cette étape pour ajouter d'autres étapes d'authentification.
    1. Cliquez sur Ajouter l'étape pour ajouter la méthode authentification suivante dans la chaîne.
    2. Le cas échéant, sélectionnez les contraintes de facteur requises pour la méthode.
    3. Facultatif. Cliquez sur + Ajouter pour ajouter une autre méthode authentification à ce niveau.
  6. Facultatif. Cliquez sur Ajouter une séquence d'authentification pour ajouter une autre séquence d'authentification. Répétez ces étapes pour ajouter des méthodes d'authentification dans la chaîne.
  7. Cliquez sur Enregistrer.

Pour supprimer une méthode ou une chaîne d'authentification, cliquez sur le bouton X de la méthode ou de la chaîne correspondante.

Expérience de l'utilisateur final

  • L'utilisateur reçoit la première invite d'authentification lorsqu'il accède pour la première fois à l'app. Une fois cette authentification validée, la deuxième invite apparaît, et ainsi de suite. Une fois toutes les vérifications réussies, l'utilisateur obtient l'accès à l'app.
  • Lorsque vous créez plusieurs chaînes pour une app, le premier Authenticator de chaque chaîne apparaît sur la page d'authentification de l'utilisateur. Les utilisateurs sélectionnent un Authenticator, puis la chaîne correspondante est déclenchée.
  • Si l'utilisateur s'est déjà authentifié avec un premier Authenticator, il est invité à utiliser le second Authenticator si l'invite se situe dans la fenêtre de fréquence de réauthentification.
  • Lors de sa prochaine connexion, l'utilisateur reçoit le même premier Authenticator que lors de sa session précédente. Il peut utiliser Retour à la connexion ou Vérifier avec une autre méthode pour choisir un autre premier Authenticator.
  • Si la politique de session globale requiert un mot de passe, les utilisateurs sont d'abord invités à saisir leur mot de passe. Une fois qu'ils ont saisi le bon mot de passe, la séquence authentification pour l'app est déclenchée.
  • Si la protection contre l'énumération des utilisateurs est activée, l'utilisateur doit d'abord s'authentifier avec un mot de passe ou un e-mail sur un appareil inconnu.
  • Si la protection contre les menaces d'identité est activée :
    • l'ordre des Authenticators n'est pas appliqué pour la protection de la session.
    • Si l'utilisateur s'est vérifié avec un Authenticator inclus dans une règle de politique de protection de session, la session est marquée comme Conforme.