Authentification unique liée à l'appareil
Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.
Authentification unique liée à l'appareil est une fonctionnalité Okta Device Access qui vous permet de créer une session protégée par le matériel qui lie l'authentification d'un utilisateur à un appareil spécifique.
En établissant une liaison cryptographique de la session à l’appareil de l'appareil, vous empêchez le détournement de session et le vol de cookies. La session résistant à l'hameçonnage est partagée entre tous les navigateurs et les apps spécifiques à la plate-forme sur l'appareil, ce qui réduit considérablement le nombre d'invites MFA que vos utilisateurs reçoivent.
Fonctionnement
L'Authentification unique liée à l'appareildépend de l'état de l’appareil joint à Okta. Un appareil devient joint à Okta lorsqu'il s'enregistre dans Universal Directory par le biais d'un certificat SCEP Accès à l'appareil certificat et lie le profil du système d'exploitation à un utilisateur principal Okta.
Lorsqu'un utilisateur s'authentifie sur un appareil joint à Okta, Okta crée une session d’appareil à l’aide d’une clé adossée au matériel stockée dans le matériel sécurisé de l’appareil :
-
Windows : Trusted Platform Module (TPM)
-
macOS : Secure Enclave
Création de session
Le moment précis où la session liée au matériel est établie dépend du système d'exploitation :
-
Windows– la session commence lorsque l'utilisateur se connecte à Windows à l'aide de Desktop MFA avec un facteur en ligne. Par ailleurs, si l'utilisateur se connecte en utilisant un facteur hors ligne, la session commence après la première authentification réussie à une app protégée par Okta.
-
macOS : le déverrouillage ou la connexion à l'appareil crée la session de l’appareil.
La session liée au matériel est établie avec Okta lorsque l' utilisateur tente d' accès à une app avec une condition de règle dont l' état de l'appareil est défini sur Enregistré. Cette règle peut se trouver à n'importe quel niveau de priorité de la politique.
Assurez-vous d'avoir cette règle définie pour les applications auxquelles les utilisateurs accèdent généralement en premier lorsqu'ils se connectent à l'appareil. Il peut s'agir, par exemple, de Okta End-User Dashboard, d'un client VPN ou d'applications de productivité.
Sécurité et validation
Contrairement aux cookies de navigateur standards, la session Device-Bound SSO est strictement rattachée au matériel de l’appareil.
Lorsqu'un utilisateur tente d'accès à une app protégée par Okta, Okta évalue la session de l'appareil par rapport à vos politiques d'authentification aux applications.
Si les facteurs fournis dans la session d’appareil satisfont aux exigences de niveau d’assurance définies dans la politique de connexion aux applications, Okta accorde à l’utilisateur un accès transparent
Durée de la session liée à l'appareil
La session liée à l'appareil reste active jusqu'à ce que l'utilisateur se déconnecte de l'appareil ou qu'un administrateur effectue l'une des actions suivantes :
-
Suspendre, désactiver ou supprimer l'utilisateur. Voir Désactiver et supprimer les comptes utilisateur.
-
Suspendre, désactiver ou supprimer l'appareil. Consulter Cycle de vie de l'appareil
-
Effacer les sessions Okta de l'utilisateur. Voir Révoquer toutes les sessions utilisateur.
La session liée à l'appareil reste active lorsque l'utilisateur verrouille l'appareil et reprend lorsqu'il le déverrouille.
Étapes suivantes