Créer une politique d'enrôlement des authentificateurs

Créez une politique d'enrôlement des authentificateurs pour gérer la façon dont vos utilisateurs finaux enrôlent les authentificateurs Vous pouvez créer des politiques spécifiques aux authenficateurs, aux groupes d'utilisateurs et aux situations.

N'utilisez pas de périodes de grâce avec les authentificateurs requis pour l'enregistrement en libre-service. Créez une politique distincte pour ces authentificateurs et ne définissez pas de période de grâce.

Avant de commencer

Configurez les authentificateurs avec lesquels vous souhaitez que vos utilisateurs se connectent. Au moins un Authenticator doit être activé pour l'authentification (MFA/SSO). Les authentificateurs que vous configurez doivent répondre aux exigences de sécurité des politiques d'authentification de votre org. Consultez Authentification multifacteur.

Pour utiliser les périodes de grâce dans votre politique, mettez à niveau votre Sign-In Widget vers la version 7.28.

Créer une politique

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

    Ouvrez l'onglet Enrôlement.

  2. Cliquez sur Ajouter une politique.
  3. Saisissez un nom et une description de la politique.
  4. Dans Affecter aux groupes, saisissez le ou les groupes utilisateur auxquels cette politique doit s'appliquer.
  5. Pour chaque authentificateur que vous avez configuré, indiquez si l'enrôlement est Facultatif, Obligatoireou Désactivée.
    • Au moins un de vos authentificateurs doit être Obligatoire.
    • L'option Désactivée n'est pas disponible pour les authentificateurs si une autre politique les rend obligatoires.
  6. Définissez une Période de grâce pour les authentificateurs requis :

    • Aucune : exige que les utilisateurs effectuent l'enrôlement la première fois qu'ils se connectent.

    • Date de fin : définissez une date à laquelle les utilisateurs ne peuvent plus différer l'enrôlement de l'authentificateur. Jusqu'à cette date, les utilisateurs sont invités à effectuer l'enrôlement une fois par jour.

    • Nombre d'opérations ignorées (Accès anticipé) : indiquez le nombre de fois qu'un utilisateur peut ignorer l'enrôlement de l'authentificateur avant que celui-ci ne soit obligatoire. Les utilisateurs sont invités à effectuer l'enrôlement une fois par jour jusqu'à ce qu'ils atteignent ce nombre.

  7. Cliquez sur Créer une politique. La politique apparaît dans l'onglet Enrôlement et est définie sur Active.

Modifier une politique

  1. Pour désactiver une politique, cliquez sur le menu déroulant Actif et sélectionnez Désactiver. Une politique inactive ne s'applique à aucun utilisateur.

  2. Pour mettre à jour une politique, cliquez sur le bouton Modifier de la politique. Effectuez les modifications et cliquez sur Mettre à jour la politique. Remarque : si vous modifiez la période de grâce de Date de fin à Nombre d'opérations ignorées, le compteur se réinitialise. Si vous avez déjà utilisé le nombre d'opérations ignorées et que vous en modifiez la quantité, le nombre de fois qu'un utilisateur a déjà ignoré l'enrôlement est conservé. Par exemple, si vous passez de trois à deux opérations ignorées et que l'utilisateur a déjà ignoré l'invite une fois, il lui reste une seule possibilité de l'ignorer.

  3. Pour supprimer une politique, cliquez sur le bouton Supprimer de la politique. Une fois que vous supprimez une politique, elle ne peut pas être restaurée. Vous ne pouvez pas supprimer la politique par défaut.

  4. Pour modifier la priorité d'une politique, faites-la glisser dans la liste jusqu'au niveau souhaité.

Expérience utilisateur

Si un utilisateur n'a pas enrôlé un authenficateur obligatoire lorsqu'il accède à Okta ou à une app protégée par Okta, le Sign-In Widget l'invite à terminer l'enrôlement. Ensuite, les utilisateurs sont invités à enrôler les authentificateurs facultatifs, avec la possibilité de continuer sans enrôlement. Les utilisateurs ne voient jamais les authentificateurs désactivés lors de la connexion, même s'ils les avaient déjà enrôlés.

Périodes de grâce et politiques d'authentification à l'app

Si vous avez configuré une période de grâce pour un authenficateur obligatoire, les utilisateurs qui répondent à la politique d'authentification à l'app cible peuvent continuer à accéder à l'app sans enrôlement jusqu'à la fin de la période de grâce. Les utilisateurs qui ne satisfont pas à la politique d'authentification à l'app de l'app cible doivent enrôler immédiatement les authentificateurs obligatoires.

Si la politique d'authentification à l'app exige que les utilisateurs enrôlent un authenficateur avant de pouvoir connexion, sa période de grâce est ignorée.

Sign-In Widget

L'affichage des authentificateurs obligatoires diffère légèrement entre la deuxième et la troisième génération du Sign-In Widget.

  • Dans la deuxième génération, les utilisateurs voient tous les authentificateurs obligatoires dans une seule liste. L'option Continuer n'apparaît que pour les utilisateurs encore dans la période de grâce.

  • Dans la troisième génération, les utilisateurs voient une liste des authentificateurs actuellement obligatoires et une deuxième liste de ceux encore en période de grâce (avec l'option Continuer). Si tous les authentificateurs sont encore dans la période de grâce, les utilisateurs voient une seule liste avec des options pour Me le rappeler ultérieurement.

Limitations

La vérification par e-mail pour l'enregistrement en libre-service ne prend pas en charge les périodes de grâce. Si vous utilisez la vérification par e-mail pour l'enregistrement en libre-service, ne définissez pas de période de grâce pour cet authenficateur.

Étape suivante

Configurer des règles pour les politiques d'inscription des authentificateurs