Ajouter une règle pour la récupération du mot de passe et le déverrouillage du compte

Ajoutez cette règle pour exiger des authentificateurs résistants à l'hameçonnage lorsque les utilisateurs déverrouillent leur compte ou réinitialisent leur mot de passe actuel. Envisagez l'ajout d'une règle secondaire pour les utilisateurs qui doivent réinitialiser un mot de passe expiré. Consultez Activer l'expiration des mots de passe.

Conditions nécessaires

Si votre organisation utilise le Sign-In Widgetde troisième génération, passez à la version 7.20 ou ultérieure pour toutes les marques.

Tous les utilisateurs de votre organisation doivent être éligibles à l'utilisation d'authentificateurs résistants à l'hameçonnage. Consultez Créer une politique d'enrôlement d'authentificateurs.

Si vous souhaitez utiliser des conditions d'appareil dans votre politique, activez la fonctionnalité d'accès anticipé Conditions liées à l'appareil dans la politique Okta Account Management. Consultez Activer les fonctionnalités en libre-service.

Commencer cette tâche

Modifiez les paramètres de contrôle d'accès dans votre politique de mots de passe .

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Sur la ligne Mot de passe, cliquez sur ActionsModifier.
  3. Dans la section Règles, cliquez sur l'icône de modification de la règle par défaut.
  4. Dans la section Authentificateurs de récupération, définissez la condition Contrôle d'accès sur Politique d'authentification.
  5. Cliquez sur Mettre à jour la règle.
  6. Répétez les étapes 3 à 5 pour toutes les autres règles de politique de mots de passe .
  7. Vérifiez la condition Les utilisateurs peuvent effectuer des actions en libre-service de chaque règle. Si les processus de déverrouillage et de récupération ne sont pas couverts par les règles existantes (ensemble ou combinées), ajoutez une règle qui les autorise spécifiquement. Les nouvelles règles que vous ajoutez reflètent par défaut les paramètres de la Politique d'authentification .

Ajouter la règle

  1. Dans l'Admin Console, accédez à SécuritéPolitiques d'authentification.

  2. Sélectionnez Okta Account Management.
  3. Cliquez sur Ajouter une règle.
  4. Saisissez un nom de règle descriptif, comme Récupération de compte et de mot de passe résistants à l'hameçonnage.
  5. Définissez les conditions IF suivantes. Les conditions liées à l'appareil sont une fonctionnalité d'accès anticipé.
    • Le type d'utilisateur de l'utilisateur est : N'importe quel type d'utilisateur
    • L'appartenance au groupe d'utilisateurs comprend : N'importe quelle valeur
    • L'utilisateur est : N'importe quelle valeur
    • Le statut de l'appareil est : Enregistré
    • Gestion des appareils : gérée
    • Politique de garantie des appareils : N'importe quelle politique
    • La plateforme de l'appareil est : N'importe laquelle plateforme
    • L'adresse IP de l'utilisateur est : N'importe quelle valeur
    • Le niveau de risque est : N'importe lequel
    • L'expression personnalisée suivante est vraie : accessRequest.operation == 'recover'|| accessRequest.operation == 'unlockAccount'. Vous pouvez également utiliser des opérations liées aux appareils dans vos expressions.
  6. Définissez les conditions THEN suivantes.
    • L'accès est : autorisé après une authentification réussie
    • L'utilisateur doit s'authentifier avec : facteur de possession
    • Les contraintes de facteur de possession sont : résistant à lhameçonnage
    • Méthodes d'authentification : autoriser toute méthode pouvant répondre à l'exigence
    • Demande d'authentification : chaque fois que l'utilisateur se connecte à une ressource
  7. Cliquez sur Enregistrer.

Votre nouvelle règle est ajoutée immédiatement au-dessus de la règle collectrice.

Exceptions

Les flux de réinitialisation de mot de passe initiés par un administrateur n'appliquent pas la politique Okta Account Management. L' utilisateur doit cliquer sur le lien contenu dans l'e-mail, mais il n'est pas invité à saisir d'autres facteurs.

Les flux d'expiration de mot de passe n'appliquent pas la politique Okta Account Management à moins que vous n'activiez l'expiration de mot de passe.

Sécurisez toutes vos apps en exigeant la MFA dans vos politiques de connexion aux apps.

Expérience utilisateur

Aucune modification n'est apportée à l'expérience utilisateur lorsque vous déplacez la récupération du mot de passe et le déverrouillage du compte vers la politique de gestion des comptes .

  • Lorsqu'un utilisateur réinitialise son mot de passe actuel, il ne peut pas l'utiliser comme facteur si vous exigez mot de passe + autre facteur. Assurez-vous que l'utilisateur peut s'authentifier avec au moins deux authentificateurs supplémentaires, en plus du mot de passe.
  • Rester connecté fonctionne avec la politique de gestion du compte si vous configurez correctement la fréquence d'authentification. La fréquence du paramètre Demande d'authentification doit être supérieure au paramètre équivalent dans la politique de connexion aux apps pour le End-User Dashboard. Configurez Demande d'authentification dans votre politique Okta Account Management pour vous assurer que les utilisateurs n'ont pas à attendre à chaque fois pour réinitialiser un mot de passe.
  • La Protection contre l'énumération des utilisateurs n'est pas prise en charge dans les scénarios de récupération avec la politique Okta Account Management.

Paramètres utilisateur

Si un utilisateur ne répond pas aux exigences de cette règle, les options Réinitialiser et Supprimer du mot de passe sont masquées. Les authentificateurs qu'ils n'ont pas inscrits sont également masqués.

Rubriques connexes

Politique Okta Account Management

Ajouter une règle pour l'enrôlement des authentificateurs

Modifier la politique Okta Account Management