Modifier les politiques de connexion aux apps pour les apps internes

Chaque organisation dispose d'apps internes auxquelles correspondent des politiques prédéfinies modifiables par différents moyens : OktaAdmin Console, Okta End-User Dashboard et Okta Browser Plugin.

Configurer la fréquence de réautorisation pour Admin Console

Créer une politique plus restrictive qui exige que les administrateurs se réauthentifient avec l'authentification multifacteur (MFA) chaque fois qu'ils accèdent à Admin Console. Par défaut, cette politique impose la MFA aux administrateurs, mais si votre politique de session globale exige déjà la MFA, l'administrateur ne sera pas invité à renseigner la MFA une seconde fois.

Okta recommande d'appliquer la réauthentification à chaque fois pour Okta Admin Console.

  1. Dans l'Admin Console, accédez à SécuritéPolitiques d'authentification.

  2. Cliquez sur Connexion à l'application.
  3. Sélectionnez l'application Okta Admin Console.
  4. Dans l'onglet Règles, cliquez sur Ajouter une règle.
  5. Saisissez le Nom de la règle (par exemple, MFA une fois par jour).
  6. Définissez les conditions de règle suivantes :
    • Dans la section IF, sélectionnez ces options, puis saisissez le nom du groupe Administrateur dans le champ qui s'affiche sous le menu déroulant :
      • L'appartenance de l'utilisateur à un groupe inclut
      • Au moins l'un des groupes suivants
    • Modifiez ces sections pour restreindre cette règle par appareil ou par zone :
      • Statut de l'appareil
      • Politique de garantie des appareils :
      • La plateforme de l'appareil est
      • L'adresseIP de l'utilisateur est
    • Dans la section Quand demander l'authentification, sélectionnez une option dans Demande d'authentification, puis choisissez une fréquence.
  7. Cliquez sur Enregistrer.
  8. Dans l'onglet Règles, vérifiez que la nouvelle règle a la priorité la plus élevée.

Configurer la durée de vie de la session de l'Admin Console

Version en accès anticipé

Cette configuration affecte uniquement Okta Admin Console. Les sessions administrateur des autres applications Okta

les applications ne sont pas impactées, y compris Okta Workflows, Okta Access Gatewayet Advanced Server Access.

Vous pouvez modifier la durée de vie de la session et le temps d'inactivité pour Okta Admin Console. Ces paramètres sont indépendants de ceux configurés pour les politiques de session globales. Consultez Ajouter une règle de politique de session globale.

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur Okta Admin Console.

  3. Dans l'onglet Authentification, cliquez sur Modifier dans la section session Okta Admin Console .

  4. Définissez la Durée de vie maximale de la session de l'app en heures ou en minutes.

    Okta recommande d'utiliser 12 heures, selon les directives du National Institute of Standards and Technology (NIST) des États-Unis. La durée maximale autorisée est de 24 heures, la durée minimale est de 1 minute.

    La durée de vie maximale de la session doit être égale ou supérieure à la durée d'inactivité configurée.

  5. Définissez la Durée maximale d'inactivité de la session de l'app en heures ou en minutes.

    Okta recommande d'utiliser 15 minutes, selon les directives du National Institute of Standards and Technology (NIST) des États-Unis. La durée maximale autorisée est de 2 heures, la durée minimale est de 1 minute.

    Pour les réglages supérieurs à 10 minutes, une fenêtre contextuelle s'affiche 5 minutes avant la fin du délai d'expiration, avec un lien pour réinitialiser l'heure. Pour les réglages inférieurs à 10 minutes, la fenêtre contextuelle s'affiche 30 secondes avant la fin du délai d'expiration.

    La durée d'inactivité se réinitialise en fonction de vos interactions dans l'Admin Console.

  6. Cliquez sur Enregistrer.

Ajouter des authentificateurs à la politique de connexion aux apps d'Admin Console

Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Pour protéger Admin Console, vous devez imposer aux administrateurs de s'authentifier avec deux authentificateurs ou plus. Si vos règles existantes exigent uniquement que les utilisateurs vérifient leur identité avec un seul authentificateur, il vous sera peut-être demandé d'ajouter d'autres authentificateurs pour répondre à cette exigence.

  1. Dans l'Admin Console, accédez à SécuritéPolitiques d'authentification.

  2. Cliquez sur Connexion à l'application.
  3. Sélectionnez l'application Okta Admin Console.
  4. Dans l'onglet Règles, cliquez sur Ajouter une règle.
  5. Saisissez un Nom de la règle (par exemple, MFA pour Admin Console).
  6. Reportez-vous aux conditions de règles dans la section IF suivante.
    • Le type utilisateur de l'utilisateur est : facultatif. Sélectionnez L'un des types d'utilisateurs suivants, puis saisissez le type d'utilisateur, par exemple admins, dans le champ qui s'affiche.
    • L'appartenance de l'utilisateur à un groupe inclut : facultatif. Sélectionnez au moins l'un des groupes suivants, puis saisissez le nom du groupe administrateur dans le champ qui s'affiche.
    • Configurez les autres conditions IF dont vous avez besoin.
  7. Configurez les conditions de règle suivantes dans la section THEN :
    • L'utilisateur doit s'authentifier avec : sélectionnez Mot de passe/IdP + autre facteur ou 2 types de facteur, quels qu'ils soient.
    • Configurez les autres conditions THEN dont vous avez besoin.
  8. Cliquez sur Enregistrer.

Désactiver l'Okta Dashboard pour des groupes spécifiques

Vous pouvez désactiver l'accès des utilisateurs de votre organisation qui utilisent un autre tableau de bord ou une autre application.

  1. Dans l'Admin Console, accédez à Sécuritépolitiques d'authentification.

  2. Cliquez sur Connexion à l'application.
  3. Sélectionnez l'application Okta End-User Dashboard.
  4. Dans l'onglet Règles, cliquez sur Ajouter une règle.
  5. Saisissez le Nom de la règle (par exemple, Désactiver l'accès au tableau de bord pour les groupes).
  6. Définissez les conditions de règle suivantes :
    • Dans la section IF, précisez quels utilisateurs sont qualifiés pour la nouvelle règle.
    • Dans la section THEN, définissez l'option L'accès est sur Refusé.

Rubriques liées

Ajouter une règle de politique de connexion aux apps

Mettre à jour une politique de connexion aux apps

Affecter des apps à une politique de connexion aux app