Authentification unique liée à l'appareil
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
L'authentification unique liée à l'appareil est une fonctionnalité Okta Device Access qui vous permet de créer une session d'identité protégée par le matériel qui lie l'authentification d'un utilisateur à un appareil spécifique.
En établissant une liaison cryptographique de la session à l’appareil de l'appareil, vous empêchez le détournement de session et le vol de cookies. La session résistant à l'hameçonnage est partagée entre tous les navigateurs et les apps spécifiques à la plate-forme sur l'appareil, ce qui réduit considérablement le nombre d'invites MFA que vos utilisateurs reçoivent.
Fonctionnement
L'Authentification unique liée à l'appareil dépend de l'état de l’appareil joint à Okta. Un appareil devient joint à Okta lorsqu'il s'enregistre dans Universal Directory par le biais d'un certificat SCEP Device Access certificat et lie le profil du système d'exploitation à un utilisateur principal Okta.
Lorsqu'un utilisateur s'authentifie sur un appareil joint à Okta, Okta crée une session d’appareil à l’aide d’une clé adossée au matériel stockée dans le matériel sécurisé de l’appareil :
-
Windows: Trusted Platform Module (TPM)
-
macOS: Secure Enclave
Création de session
Le moment précis où la session liée au matériel est établie dépend du système d'exploitation :
-
Windows – la session commence lorsque l'utilisateur se connecte à Windows à l'aide de Desktop MFA avec un facteur en ligne. Par ailleurs, si l'utilisateur se connecte en utilisant un facteur hors ligne, la session commence après la première authentification réussie à une app protégée par Okta.
-
macOS – le déverrouillage ou la connexion à l'appareil ne crée pas la session d’appareil. La session commence lorsque l'utilisateur effectue une authentification en ligne dans un navigateur.
Sécurité et validation
Contrairement aux cookies de navigateur standards, la session SSO liée à l'appareil est strictement rattachée au matériel de l’appareil.
Lorsqu'un utilisateur tente d'accès à une app protégée par Okta, Okta évalue la session de l'appareil par rapport à vos politiques d'authentification aux applications.
Si les facteurs fournis dans la session d’appareil satisfont aux exigences de niveau d’assurance définies dans la politique de connexion aux applications, Okta accorde à l’utilisateur un accès transparent
Durée de la session liée à l'appareil
La session liée à l'appareil reste active jusqu'à ce que l'utilisateur se déconnecte de l'appareil ou qu'un administrateur effectue l'une des actions suivantes :
-
Suspendre, désactiver ou supprimer l'utilisateur. Voir Désactiver et supprimer les comptes utilisateur.
-
Suspendre, désactiver ou supprimer l'appareil. Consulter Cycle de vie de l'appareil
-
Effacer les sessions Okta de l'utilisateur. Voir Révoquer toutes les sessions utilisateur.
La session liée à l'appareil reste active lorsque l'utilisateur verrouille l'appareil et reprend lorsqu'il le déverrouille.