Ajouter une condition de comportement dans une règle de connexion à une application

Les politiques de connexion aux applications définissent les exigences d'authentification des utilisateurs en fonction de l'application à laquelle ils tentent d'accéder. Configurez des conditions de comportement dans les politiques de connexion à l'application à l'aide du langage d'expression.

Avant de commencer

  • Créez une nouvelle politique de connexion à l'application ou utilisez-en une existante.
  • Adaptive MFA doit être activée.
  • Assurez-vous qu'il n'y ait pas plus de 10 conditions dans une heuristique.
  • Le langage d'expression pour le contexte de sécurité prend en charge un sous-ensemble d'opérateurs, tels que :
    • ||, OR
    • &&, AND
    • !, NOT
    • ==
    • !=

Pour plus d'informations, consulter Aperçu d'Okta Expression Language.

Commencer cette tâche

  1. Dans l'Admin Console, accédez à SécuritéPolitiques d'authentification.

  2. Cliquez sur Connexion à l'application.
  3. Sélectionnez la politique d'authentification à l'application à laquelle vous souhaitez ajouter une règle.
  4. Cliquez sur Ajouter une règle.
  5. Saisissez le Nom de la règle afin de la décrire.
  6. Configurez les conditions IF appropriées pour déterminer quand la règle doit s'appliquer.
  7. Lorsque vous définissez des conditions, n'oubliez pas que certaines conditions servent surtout à l'audit et au filtrage des événements et ne doivent pas être utilisées comme base pour définir votre posture de sécurité.
  8. Par exemple, un acteur malveillant pourrait facilement falsifier la plateforme d'un appareil. Vous ne devez donc pas utiliser la plateforme de l'appareil comme élément principal d'une règle de politique d'authentification à l'application.
  9. Configurez les conditions THEN appropriées pour déterminer comment l'authentification est appliquée.
  10. Configurez la fréquence de réauthentification, si nécessaire.
  11. Cliquez sur Enregistrer.
  12. Configurez les conditions THEN. Ces conditions précisent comment l'authentification est appliquée.
  13. THEN Description
    THEN L'accès est Refuser l'accès de l'utilisateur ou l'autoriser après une authentification réussie. Si vous refusez l'accès, passez à la dernière étape pour enregistrer votre règle.
    AND L'utilisateur doit s'authentifier avec

    Choisissez les exigences d'authentification que vous souhaitez appliquer pour l'accès à l'application. Pour une description des types de facteurs, consulter Authentification multifacteur.

    Authentification à 1 facteur (1FA) : pour activer l'authentification à facteur unique, choisissez parmi :

    • L'option Mot de passe exige que les utilisateurs saisissent leur mot de passe chaque fois que la règle exige une réauthentification.
    • Facteur de possession exige que les utilisateurs fournissent un facteur de possession tel que Okta Verify ou l'e-mail pour accéder à l'application.
    • L'option 1 type de facteur, quel qu'il soit permet aux utilisateurs de fournir n'importe quel facteur unique pour accéder à l'application.
    • Pour les options d'authentification sans mot de passe à un facteur, consultez Configurer une expérience de connexion sans mot de passe.
    2 types de facteur (2FA) : sélectionnez cette option pour demander aux utilisateurs de fournir deux types de facteurs distincts. Choisissez parmi :
    • Mot de passe + autre facteur
    • 2 Types de facteurs, quels qu'ils soient
    • Pour les options d'authentification sans mot de passe à deux facteurs, consultez Configurer Okta FastPass.
    AND Contraintes de facteur de possession Ces options ne sont pas proposées si seul Mot de passe est sélectionné dans L'utilisateur doit s'authentifier avec. Utilisez ces paramètres pour indiquer les caractéristiques du facteur de possession.
    • Résistant à l'hameçonnage : exige que les utilisateurs fournissent des facteurs de possession qui vérifient cryptographiquement le serveur de connexion (l'origine). Actuellement, seul FIDO2 (WebAuthn) satisfait à cette exigence. Étant donné que la résistance au hameçonnage implique un Lié à un appareil, cette contrainte est automatiquement sélectionnée lorsque la résistant à l'hameçonnage est activée.
    • Protection du matériel : nécessite que les clés utilisées pour l'authentification soient stockées sur un matériel sécurisé (TPM, Enclave sécurisée) sur l'appareil. Actuellement, seul Okta Verify répond à cette contrainte. Étant donné que la protection matérielle implique un Lié à un appareil, cette contrainte est automatiquement sélectionnée lorsque la protection matérielle est activée.

      Par défaut, Okta Verify tente de stocker les clés Okta Verify sur le matériel sécurisé de l'appareil : Trusted Platform Module (TPM) pour les appareils Windows et Android, ou Enclave sécurisée pour les appareils macOS et iOS. Si la protection matérielle n'est pas une option, le stockage logiciel est utilisé. Lorsque le stockage logiciel est utilisé, Okta Verify ne respecte pas la politique d'authentification à l'application si l'option Protection matérielle est définie comme condition AND et que les contraintes liées au facteur de possession sont définies comme conditions THEN. Pour savoir comment les clés Okta Verify sont stockées pour un appareil, affichez l'attribut d'appareil secureHardwarePresent dans Admin Console ou utilisez une expression Okta Expression Language (EL) pour déterminer la valeur de device.profile.secureHardwarePresentview. Si cette valeur est true, la protection matérielle est utilisée. Consulter Okta Expression Language et Voir les détails de l'appareil.

    • Lié à un appareil (exclut les téléphones et les e-mails) : nécessite que les clés du facteur soient stockées de façon sécurisée sur un appareil et qu'elles ne soient pas transférables vers un autre appareil sans enregistrer de nouveau le facteur. Les e-mails et les SMS sont les seuls facteurs de possession qui ne sont pas liés à un appareil. Cette contrainte est automatiquement choisie si l'une des autres contraintes est sélectionnée.
    AND l'accès avec Okta FastPass est accordé Ces options vous permettent de choisir si vous voulez demander aux utilisateurs finaux de prouver qu'ils sont physiquement présents lorsqu'ils utilisent Okta FastPass pour s'authentifier.
    • L'utilisateur approuve une invite dans Okta Verify ou fournit des données biométriques (répond aux exigences AAL2 de NIST) : cette option exige que les utilisateurs prouvent qu'ils sont physiquement présents.
    • L'utilisateur n'approuve pas une invite dans Okta Verify ou ne fournit pas de données biométriques : si vous sélectionnez cette option et que la politique d'authentification à l'application exige un facteur de possession, Okta Verify peut effectuer une authentification basée sur un certificat qui permet aux utilisateurs d'accéder à la ressource sans prouver qu'ils sont physiquement présents. Cette option ne répond pas aux exigences AAL2 de NIST. En outre, si vous sélectionnez cette option, vous ne pouvez pas utiliser une question de sécurité comme facteur supplémentaire.
    La fréquence de réauthentification est de Ce paramètre vous permet de spécifier la fréquence à laquelle les utilisateurs finaux doivent se réauthentifier.
    • À chaque tentative de connexion : les utilisateurs doivent s'authentifier chaque fois qu'ils essaient d'accéder à l'application.
    • Ne jamais redemander une authentification si la session est active : une fois que les utilisateurs ont été authentifiés depuis leur appareil, ils ne sont pas invités à se réauthentifier avant que la durée de vie maximale de la session ne soit atteinte ou qu'ils ne se déconnectent d'Okta.
    • Redemander une authentification après : précisez la fréquence à laquelle les utilisateurs finaux doivent se réauthentifier. Les utilisateurs sont invités à se réauthentifier uniquement s'ils essaient d'accéder à l'application et ne se sont pas réauthentifiés dans l'intervalle de temps que vous avez indiqué, et que leur session n'a pas expiré.

    Une période de grâce de 10 secondes s'applique après qu'un utilisateur se soit authentifié avec son mot de passe. Pendant ce délai, les utilisateurs ne sont pas invités à saisir à nouveau leur mot de passe si vous avez sélectionné l'option Chaque tentative de connexion.
    La fréquence de réauthentification par mot de passe est Ces deux options ne s'affichent que lorsque l'option Mot de passe + un autre facteur est sélectionnée. Ces paramètrent vous permettent de déterminer un intervalle de ré authentification différent pour le mot de passe et pour l'autre facteur. Par exemple, vous pourriez demander aux utilisateurs de se réauthentifier avec leur mot de passe si leur dernière authentification remonte à plus de huit heures, et avec un facteur de possession à chaque fois qu'ils accèdent à l'application. 
    La fréquence de réauthentification pour tous les autres facteurs est
  14. Cliquez sur Enregistrer.

Rubriques liées

À propos des Politiques de comportement et d'authentification

Politiques de session globale