Configurer la gestion de la compromission des identifiants

La gestion de la compromission des identifiants est un paramètre de sécurité dans votre politique de mots de passe. Utilisez-la pour configurer la réponse de Okta lorsque les identifiants utilisateur de votre org ont été compromis. Par défaut, Okta expire les identifiants, met fin à leurs sessions Okta et exige que l’utilisateur réinitialise son mot de passe lors de sa prochaine connexion.

Les paramètres par défaut de gestion de la compromission des identifiants s'appliquent à toutes vos politiques de mots de passe, vous devez donc mettre à jour chaque politique que vous souhaitez modifier.

ATTENTION :

Pour que les utilisateurs provenant d'AD puissent réinitialiser leur mot de passe après avoir saisi un mot de passe compromis, il est nécessaire d'activer la réinitialisation du mot de passe en libre-service dans votre org. Consultez le section À propos des permissions du compte de service Okta. Assurez-vous que votre agent AD a l'autorisation de modifier les paramètres du mot de passe utilisateur. Consulter Comptes obligatoires

Avant de commencer

Une configuration sécurisée du flux de modification du mot de passe est nécessaire pour sécuriser le mécanisme de défense prévu de cette fonctionnalité et réduire le risque de prise de contrôle du compte (ATO).

Dans l'Admin Console, accédez à Sécurité > Authentificateurs.
Dans l’onglet Configuration, cliquez sur Actions > Modifier pour l’élément Mot de passe.
Sélectionnez la politique de mots de passe que vous souhaitez modifier.
Pour Les utilisateurs peuvent effectuer des actions en libre-service, sélectionnez Modification de mot de passe (depuis les paramètres du compte).
Dans Contrôle d'accès, sélectionnez Politique d'authentification , puis cliquez sur Enregistrer.
Dans l'Admin Console, accédez à Sécurité > Politiques d'authentification .
Sélectionnez Okta Account Management.
Dans la règle d'expiration du mot de passe, configurez des authentificateurs résistants à l'hameçonnage. Okta recommande les options suivantes :
- L'utilisateur doit s'authentifier avec : 2 types de facteurs, quels qu'ils soient
- Les contraintes de facteur de possession sont : résistant à l'hameçonnage, protégé par matériel, Exiger une interaction de l'utilisateur > N'importe quelle interaction
- Méthodes d'authentification : autoriser toute méthode pouvant répondre à l'exigence

Configurer les paramètres de la politique de mots de passe

Dans l'Admin Console, accédez à Sécurité > Authentificateurs.
Dans l’onglet Configuration, cliquez sur Actions > Modifier pour l’élément Mot de passe.
Sélectionnez la politique de mot de passe à modifier.
Dans la section Sécurité des mots de passe, sélectionnez vos réponses.
- Définissez l'expiration du mot de passe après ce nombre de jours : les utilisateurs peuvent se connecter avec leurs identifiants compromis pendant un maximum de 10 jours. La valeur par défaut est 0, ce qui signifie que le mot de passe expire immédiatement.
- Déconnectez immédiatement l'utilisateur d'Okta : les utilisateurs sont immédiatement déconnectés de toutes leurs sessions Okta. Lorsqu'il est utilisé avec le paramètre d'expiration par défaut de 0, l'utilisateur doit définir un nouveau mot de passe avant de se connecter à nouveau.
- Effectuez des actions personnalisées à l'aide des workflows: sélectionnez un workflow délégué pour personnaliser votre réponse. Consulter Exemples de flux de remédiation.
Cliquez sur Mettre à jour la stratégie.

Si vous souhaitez utiliser des API ou des flux d’aide plutôt que la réponse Effectuer des actions personnalisées avec les Workflows, consultez le modèle Workflows Okta Modèle : notifications pour mot de passe compromis.

Étape suivante

Tester votre configuration de gestion de la compromission des identifiants