Configurer Device-Bound SSO pour Windows
Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.
Authentification unique liée à l'appareil protège les utilisateurs contre le piratage de session et offre une expérience de connexion simplifiée. Les utilisateurs peuvent accéder aux apps protégées par Okta avec moins d’invites d’authentification.
Avant de commencer
- Configurez la Desktop MFA pour votre org. Consulter la section Desktop MFA pour Windows.
- Les appareils exécutent Windows10 (version 1709 ou ultérieure) ou Windows11 et disposent de matériel Trusted Platform Module (TPM).
- Les appareils sont joints à Active Directoryou Microsoft Entra ID.
- Les appareils disposent d'Okta Verify pour Windows6.6.2 ou version ultérieure, installé et en cours d'exécution.
- À l'aide de Simple Certificate Enrollment Protocol (SCEP), installez un certificat Accès à l'appareil sur l'appareil. Consultez Certificats d'accès à l'appareil.
- Les utilisateurs sont enrôlés dans Okta FastPass.
Déployer Device-Bound SSO sur les appareils de l'utilisateur
Activez les clés de registre suivantes uniquement après avoir mis à jour vos appareils vers Okta Verify pour Windows 6.6.2 ou version ultérieure.
L'ajout de ces clés de registre aux appareils exécutant Okta Verify 6.5.1 ou une version antérieure peut bloquer l'accès des utilisateurs à leurs appareils Windows.
Utilisez votre MDM (par exemple Microsoft Intune ou Workspace ONE) pour créer et déployer les clés de registre suivantes :
|
Chemin |
Nom |
Type |
Valeur |
Description |
|---|---|---|---|---|
|
|
|
REG_DWORD |
|
Désigne l'appareil comme étant joint à Okta. |
|
|
|
REG_DWORD |
|
Activez l’authentification directe pour que l'appareil puisse s'authentifier directement avec Okta pendant le flux de connexion Windows. Ceci est nécessaire pour la Device-Bound SSO sur Windows. |
Configurer des règles de politique d'authentification
Vous n'avez pas à créer de politiques d'authentification pour la Device-Bound SSO. Cependant, si vous ajoutez ou modifiez vos règles existantes pour inclure la Device-Bound SSO, vous pouvez contrôler la façon dont les appareils joints à Okta interagissent avec vos apps.
Vous pouvez, par exemple, accorder une durée plus longue entre les requêtes d’authentification sur les appareils joints à Okta, car ces appareils liés à la cryptographie ont une plus grande garantie de sécurité de session.
La session liée au matériel est établie avec Okta lorsque l' utilisateur tente d' accès à une app avec une condition de règle dont l' état de l'appareil est défini sur Enregistré. Cette règle peut se trouver à n'importe quel niveau de priorité de la politique.
Assurez-vous d'avoir cette règle définie pour les applications auxquelles les utilisateurs accèdent généralement en premier lorsqu'ils se connectent à l'appareil. Il peut s'agir, par exemple, de Okta End-User Dashboard, d'un client VPN ou d'applications de productivité.
Pour appliquer la Device-Bound SSO dans vos politiques d’authentification aux applications, suivez cette procédure.
-
Dans l'Admin Console, accédez à .
-
Ouvrez les politiques de connexion aux applications.
-
Si vous disposez d’une politique existante pour les apps que vous souhaitez activer avec la Device-Bound SSO, cliquez sur Modifier dans le menu Actions de cette politique. Sinon, cliquez sur Créer une politique.
ATTENTION :Windows : n'ajoutez pas cette règle de politique pour l'application Desktop MFA .
macOS : n'ajoutez pas cette règle de politique pour les applications Desktop MFA ou les applications de la Plateforme d'authentification unique.
-
Créez une règle pour les appareils joints à Okta. Selon cette règle, Okta autorise l'utilisation de la session de l'appareil pour l’authentification de ressources :
-
Cliquez sur Ajouter une règle.
-
Donnez à la règle un nom approprié, par exemple,
Devices that are Okta-joined. -
Définissez l’état de l'appareil sur Enregistré.
-
Dans le champ d’expression personnalisée, saisissez l’instruction Langage d'expression Okta suivante :
device.provider.deviceAccess.joined == true.Cela permet de cibler tous les appareils joints à Okta et éligibles à la Device-Bound SSO.
-
Définissez l'invite d'authentification sur l’une des options suivantes :
-
Lorsque l'utilisateur n'a pas accédé depuis un certain temps à une ressource protégée par sa session globale Okta active. Sélectionnez cette option pour permettre aux utilisateurs d'accéder aux apps en mode silencieux pendant la période spécifiée.
-
Lorsqu’aucune session globale Okta n’existe. Sélectionnez cette option pour permettre aux utilisateurs d’accéder aux apps de manière silencieuse pendant toute la session d’appareil.
-
-
Vérifier l'état de l'appareil
Lors de l’enrôlement Okta FastPass, l’appareil est enregistré en tant qu’objet unique dans Okta Universal Directory.
-
Dans l'Admin Console, accédez à .
-
Vérifiez le statut de l'appareil.
-
Si vous suspendez ou désactivez un appareil, les utilisateurs ne peuvent pas s'authentifier avec la Device-Bound SSO. Cependant, après avoir réactivé l’appareil (à l’aide de Activé ou Annuler la suspension), la Device-Bound SSOpeut de nouveau être utilisé.
-
Si vous supprimez un appareil désactivé, vous devez déployer à nouveau les Accès à l'appareil aux appareils. Les utilisateurs doivent s'enrôler à Okta FastPassavant de pouvoir à nouveau s'authentifier avec la Device-Bound SSO.
-
-
Vérifiez que le statut de l'appareil indique Actif.
Activer Device-Bound SSO pour les applications d'Universal Windows Platform
Lorsque les utilisateurs accèdent aux applications Microsoft Plateforme Windows universelle (UWP) et Office 365, vous devez exécuter un script pour activer Device-Bound SSO pour ces applications.
Par défaut, les apps UWP désactivent l'isolation du réseau par défaut les connexions en boucle pour la communication entre les processus (IPC) afin de maintenir l'isolation du réseau. Cependant, Okta a besoin d'une connexion en boucle pour les communications entre l'application d'authentification et Okta Verify pour maintenir la session liée au matériel.
Pour garantir que Okta Verify fonctionne comme prévu avec les applications UWP, vous devez fournir une exception de bouclage par le biais d'un script PowerShell. Consultez Activer l'authentification résistante à l'hameçonnage pour les appliations d'Universal Windows Platform.