Évaluation des politiques de session globales
Pour déterminer si une politique s'applique à un utilisateur donné, Okta évalue les conditions de la politique et ses règles.
- Les politiques contiennent des groupes de ressources qui requièrent un traitement similaire, comme les apps présentant les mêmes caractéristiques de sécurité ou les groupes d'utilisateurs présentant les mêmes exigences de configuration de compte.
- Les Règles décrivent les conditions du comportement de la politique, par exemple si les demandes proviennent d'un emplacement géographique ou si l'utilisateur se trouve sur un réseau de confiance ou non. Chaque politique contient au moins une règle.
Vous pouvez créer des combinaisons de conditions pour différents scénarios. La meilleure pratique consiste à placer les règles restrictives au sommet de la liste Priorité. Il n'y a pas de limite au nombre de règles que vos politiques peuvent comporter.
Par exemple, si vous créez une politique que vous affectez au groupe « Administrateurs », vous pouvez créer des conditions adaptées aux besoins des administrateurs. Par exemple, vous pouvez autoriser le déverrouillage en libre-service uniquement sous certaines conditions, notamment si l'administrateur se connecte depuis le réseau de votre entreprise ou depuis l'extérieur de celui-ci.
Événements du System Log
Les événements suivants du System Log sont disponibles pour aider à identifier et résoudre les problèmes d'authentification :
policy.evaluate_sign_on
- Cet événement renvoie le statut de la tentative d'authentification de l'utilisateur (réussite ou échec). Il fournit des informations sur l'enrôlement de l'authentificateur, notamment les types d'authentificateur et d'instance utilisés.
- Cet événement est activé lorsqu'un utilisateur saisit un code ou répond à une notification Push. Il n'est pas activé au moment de l'envoi d'un code ou d'une notification Push. Voir Authentification multifacteur.
user.authentication.auth_via_mfa
- Cet événement renvoie des informations résultant de l'évaluation de la politique de session globale ou de la politique de connexion aux apps . Il peut s'agir de données telles que l'app à laquelle l'utilisateur a accédé et de la règle de politique à laquelle elle correspond. L'évaluation de la politique d'authentification peut se produire plusieurs fois au cours d'une séquence d'authentification.
- Cet événement peut avoir les valeurs Autoriser, Refuser et Vérifier. La valeur Vérifier indique qu'une authentification supplémentaire de l'utilisateur est nécessaire.
user.session.start
- Cet événement renvoie le statut de la première tentative de vérification de l'authentificateur d'un utilisateur associé à l'établissement d'une session de fournisseur d'identité. Si un utilisateur saisit un authentificateur incorrect, le système renvoie
VERIFICATION_ERROR. - Cet événement est déclenché une fois la vérification d'authentification principale effectuée. Il enregistre l'ID utilisateur, l'heure de début de la session et la méthode d'authentification utilisée. Il n'indique pas qu'un jeton d'accès a été accordé.
Voir Journal système pour plus d'informations.
Remarques
- La politique de session globale contrôle la durée de validité d'une session globale, mais la politique de connexion aux apps contrôle la fréquence de réauthentification.
- La session d'un utilisateur final expire en fonction du paramètre Durée maximale d'inactivité de la session globale Okta de la politique de session globale. Ensuite, les utilisateurs doivent se réauthentifier en fonction des règles de la politique de connexion aux apps . Cette exigence s'impose qu'ils aient ou non sélectionné l'option Rester connecté lors de la connexion.