Résoudre les problèmes de SSO liée à l'appareil

Version en accès anticipé

Utilisez ce guide pour résoudre les problèmes courants lors du déploiement ou de l'utilisation de la fonctionnalité Authentification unique liée à l'appareil.

Un utilisateur connecté reçoit une demande d’authentification MFA

L'utilisateur est connecté sur son appareil, mais reçoit tout de même une invite MFA lorsqu'il ouvre une app protégée par Okta dans son navigateur.

Causes et solutions possibles :

1. L’utilisateur n’a pas fourni d’authentificateur qui satisfasse aux exigences de la politique de connexion aux applications.

   Pour résoudre ce problème, modifiez la politique de connexion aux applications afin qu’elle exige un facteur fourni par le flux Desktop MFA de l’utilisateur.

2. L'utilisateur s'est connecté à l'appareil alors que le système était hors ligne. Étant donné que la SSO liée à l'appareil est une fonctionnalité exclusivement en ligne, la session d’appareil nécessite une connexion à Okta.

   Pour démarrer la session d’appareil, assurez-vous que l’utilisateur est en ligne et qu’il effectue une authentification en ligne, par exemple via Okta FastPass dans le navigateur.

3. L’utilisateur n’est pas enrôlé dans Okta FastPass sur cet appareil spécifique.

   Pour résoudre ce problème, demandez a l'utilisateur d'ouvrir l'app Okta Verify et de confirmer son statut d'enrôlement Okta FastPass.

L'invite Ouvrir Okta Verify apparaît de manière répétée dans macOS

La version en accès anticipé de la SSO liée à l'appareil nécessite l'utilisation du mécanisme loopback pour accéder aux clés Platform SSO stockées dans Secure Enclave.

Étant donné que l'extension d’authentification unique des identifiants macOS n'est pas utilisée, Okta Verify doit être en cours d'exécution pour que la SSO liée à l'appareil fonctionne correctement.

Pour résoudre ce problème, essayez les options suivantes :

• Assurez-vous que l'app Okta Verify est en cours d'exécution.

• Ajoutez Okta Verify en tant qu’élément de connexion géré dans votre MDM.

L'appareil n'est pas reconnu comme étant joint à Okta

Bien que la politique d'authentification contienne l'instruction device.provider.deviceAccess.joined == true, l'appareil n'apparait pas dans Universal Directory.

Pour résoudre ce problème, essayez les options suivantes :

1. Validez les configurations client pour votre système d'exploitation.

   • Windows – Déployer la SSO liée à l'appareil sur les appareils des utilisateurs

   • macOS – Déployer la SSO liée à l'appareil sur les appareils des utilisateurs

2. Assurez-vous que le certificat d’accès à l'appareil a été délivré avec succès sur l'appareil.

Limitations

• Okta ne crée pas ou ne maintient pas de session d'appareil si l'appareil est hors ligne.

• Contrairement à Windows, la connexion au bureau macOS ne crée pas automatiquement une session d’appareil. Pour établir la session, les utilisateurs doivent se connecter à une app protégée par Okta à l’aide d’une méthode d’authentification en ligne.

• L'Authentification unique liée à l'appareil n'est pas prise en charge pour les utilisateurs standard sur macOS 14 Sonoma.