Ajouter une règle pour l'enrôlement de votre premier authentificateur résistant à l'hameçonnage
Ajoutez cette règle à votre politique Okta Account Management si votre organisation n'utilise pas déjà un authentificateur résistant à l'hameçonnage. Une fois que vos utilisateurs ont inscrit leur premier authentificateur résistant à l'hameçonnage, vous pourrez l'exiger pour les autres cas d'utilisation.
Si votre org utilise déjà des authentificateurs résistants à l'hameçonnage, consultez Ajouter une règle pour l'enrôlement des authentificateurs.
Conditions nécessaires
Si votre organisation utilise le Sign-In Widgetde troisième génération, passez à la version 7.20 ou ultérieure pour toutes les marques.
Cette règle s'applique aux utilisateurs en fonction de leur zone d'IP. Consultez la section Zones réseau.
Si vous souhaitez utiliser des conditions d'appareil dans votre politique, activez la fonctionnalité d'accès anticipé Conditions liées à l'appareil dans la politique Okta Account Management. Consultez Activer les fonctionnalités en libre-service.
Ajouter la règle
-
Dans Admin Console, accédez à .
- Sélectionnez Okta Account Management.
- Cliquez sur Ajouter une règle.
- Saisissez un nom de règle descriptif, par exemple Enrôlement d'authentificateur.
- Définissez les conditions IF suivantes. Les conditions liées à l'appareil sont une fonctionnalité d'accès anticipé.
- Le type d'utilisateur de l'utilisateur est : N'importe quel type d'utilisateur
- L'appartenance au groupe d'utilisateurs comprend : N'importe quelle valeur
- L'utilisateur est : N'importe quelle valeur
- Le statut de l'appareil est : Enregistré
- Gestion des appareils : gérée
- Politique de garantie des appareils : N'importe quelle politique
- La plateforme de l'appareil est : N'importe laquelle plateforme
- L'adresse IP de l'utilisateur est : dans l'une des zones suivantes (spécifiez les zones du réseau autorisées)
- Le niveau de risque est : faible
- L'expression personnalisée suivante est vraie :
accessRequest.operation == 'enroll' && ( accessRequest.authenticator.key == 'okta_verify' || accessRequest.authenticator.key == 'webauthn' || accessRequest.authenticator.key == 'smart_card_idp' || accessRequest.authenticator.key == 'yubikey_token' )
Vous pouvez également utiliser des opérations liées aux appareils dans vos expressions.
- Définissez les conditions THEN suivantes.
- L'accès est : Autorisé après une authentification réussie
- L'utilisateur doit s'authentifier avec : 2 types de facteur, quels qu'ils soient
Si vous sélectionnez 2 types de facteur, quels qu'ils soient, vos utilisateurs doivent déjà être inscrits à deux authentificateurs. Sinon, ils ne peuvent pas s'authentifier. Exigez que vos utilisateurs s'inscrivent à au moins deux Authenticator avant qu'ils ne s'inscrivent dans un authentificateur résistant à l'hameçonnage.
- Les contraintes de facteur de possession sont : exiger une interaction de l'utilisateur
- Méthodes d'authentification : autoriser toute méthode pouvant répondre à l'exigence
- Demande d'authentification : chaque fois que l'utilisateur se connecte à une ressource
- Cliquez sur Enregistrer.
- Déplacez cette règle vers la priorité 1.
Expérience utilisateur
Les utilisateurs doivent se trouver dans une zone du réseau de confiance et démontrer un comportement à faible niveau de risque avant d'inscrire l'authentificateur désigné comme résistant à l'hameçonnage. S'ils ne remplissent pas ces exigences, les authentificateurs résistants à l'hameçonnage qu'ils n'ont pas inscrits sont masqués de leur profil utilisateur. Cela signifie qu'ils ne peuvent pas accéder aux apps dont la politique de connexion à l'app est résistante au hameçonnage.
Cette règle s'applique également à la désenrôlement des authentificateurs, et les utilisateurs peuvent être exclus s'ils désinscrivent trop d'authentificateurs. Encouragez les utilisateurs à toujours conserver au moins un authentificateur résistant à l'hameçonnage.
Rubriques liées
Politique Okta Account Management
Ajouter une règle pour la récupération du mot de passe et le déverrouillage du compte