Rediriger les utilisateurs fédérés vers les IdP pour la réauthentification
Version en accès anticipé
Lorsqu'une politique de connexion à l'application ou une politique Okta Account Management exige qu'un utilisateur se réauthentifie, Okta l'invite à se réauthentifier avec des authentificateurs locaux dans votre org.
Cependant, les utilisateurs fédérés dont les sessions Okta ont été établies par le biais d'un fournisseur d'identité (IdP) tiers ou d'un IdP Okta Org2Org n'ont souvent pas d'authentificateurs Okta locaux enrôlés. Cela provoque des messages d'erreur et crée une expérience utilisateur perturbée lorsque vos utilisateurs fédéré doivent se réauthentifier.
Pour améliorer cette expérience pour vos utilisateurs fédérés, vous pouvez configurer votre org pour les rediriger vers l'IdP OIDC, SAML ou Org2Org qui a établi en dernier lieu la session Okta lorsqu'ils doivent se réauthentifier. Après s'être authentifiés auprès de l'IdP, ils reviennent dans Okta avec de nouvelles déclarations d'authentification.
Ceci s'applique uniquement à la réauthentification. La première fois que les utilisateurs se connectent à votre org, vos règles de routage déterminent avec quel IdP ils s'authentifient. Consultez Configurer les règles de routage du fournisseur d'identité.
Avant de commencer
- Vous avez au moins un IdP tiers (OIDC ou SAML) ou un IdP Org2Org configuré et actif dans votre org. Consultez Fournisseurs d'identité.
- Vous avez des exigences de réauthentification configurées dans votre politique de connexion à l'application ou dans les règles de politique Okta Account Management. La fréquence de réauthentification est définie dans la section Quand demander l'authentification de la règle. Consultez Ajouter une règle de politique de connexion à l'application et Modifier la politique Okta Account Management.
Configurer la réauthentification à un IdP
-
Dans l'Admin Console, allez à .
- Sur la page Fournisseurs d'identité, accédez à l'onglet Sourcing de déclarations d'identité.
- Dans la section Réauthentification à un IdP, cliquez sur Modifier.
- Définissez Routage de réauthentification sur IdP SSO actif le plus récent. Okta redirige l'utilisateur vers l'IdP tiers ou l'IdP Org2Org qui a établi sa session Okta en dernier lieu.
- Définissez IdP éligibles pour la réauthentification sur l'une des options suivantes :
- Tous les IdP qui répondent aux exigences : tous les fournisseurs d'identité actifs de SSO uniquement redirigeront les utilisateurs vers les IdP actifs les plus récents pour authentification.
- IdP spécifiques qui répondent aux exigences : choisissez les IdP éligibles pour cette redirection. Si l'IdP de l'utilisateur ne figure pas dans la liste des filtres (et que la liste n'est pas vide), la politique se comporte comme Aucune.
- Cliquez sur Enregistrer.
Comprendre les résultats de la réauthentification
Le résultat de la réauthentification pour vos utilisateurs dépend des facteurs suivants :
- Le paramètre Routage de la réauthentification dans l'onglet Sourcing de déclarations d'identité (consultez Configurer la réauthentification vers l'IdP)
- Si le partage des déclarations est activé dans la configuration de l'IdP (consultez Configurer le partage des déclarations)
- Si la réauthentification par mot de passe et la réauthentification par un autre facteur sont actuellement obligatoires, comme défini dans la section Quand demander l'authentification de votre règle de politique d'authentification (consultez Ajouter une règle de politique de connexion à l'application et Modifier la politique Okta Account Management)
Les résultats suivants s'appliquent si la réauthentification est déclenchée par une politique de connexion à l'application tierce, une politique Okta Account Management ou une politique d'authentification à l'application Org2Org, sauf indication contraire.
Les colonnes Réauthentification par mot de passe requise et Autre réauthentification requise s'appliquent uniquement lorsqu'une règle utilise l'assurance Mot de passe + autre facteur, qui définit des fréquences de réauthentification distinctes pour chaque facteur. Tous les autres niveaux d'assurance (1FA, 2FA quel qu'il soit, mot de passe/IdP) utilisent une seule fréquence de réauthentification.
| Routage de réauthentification | Partage des déclarations | Réauthentification par mot de passe requise | Autre facteur de réauthentification requis | Résultat |
|---|---|---|---|---|
| IdP SSO actif le plus récent | Activé | Oui ou Non | Oui ou Non | Rediriger vers l'IdP dès la première fréquence |
| IdP SSO actif le plus récent | Désactivé | Oui | Oui ou Non | Rediriger vers l'IdP à la fréquence du mot de passe |
| IdP SSO actif le plus récent | Désactivé | Non | Oui | Invite de facteur local |
| Aucun | Activé ou Désactivé | Non | Oui | Invite de facteur local |
| Aucun | Activé ou Désactivé | Oui | Oui ou Non | Erreur pour les utilisateurs fédérés |
Si vous avez sélectionné IdP spécifiques qui répondent aux exigences et que l'IdP de l'utilisateur n'est pas dans la liste des filtres, le résultat revient à Erreur pour les utilisateurs fédérés ou Invite de facteur local, en fonction des exigences de fréquence.
Erreur pour les utilisateurs fédérés
Les utilisateurs fédérés voient une erreur et ne peuvent pas se réauthentifier. Cela se produit lorsque le Routage de réauthentication est défini sur Aucun et que la réauthentification par mot de passe est requise, que le partage des déclarations soit activé ou non.
Cela empêche les utilisateurs fédérés de contourner les exigences de fréquence des mots de passe.
Les utilisateurs locaux avec une connexion fédérée sont invités à saisir leur mot de passe localement au lieu de voir une erreur.
Invite de facteur local
Okta demande à l'utilisateur de saisir des facteurs configurés localement, et celui-ci n'est pas envoyé vers l'IdP pour se réauthentifier. Ce résultat se produit dans deux situations :
- Le Routage de réauthentification est défini sur Aucun et seuls les facteurs autres que le mot de passe sont requis
- Le Routage de réauthentification est défini sur IdP SSO actif le plus récent, le partage des déclarations est désactivé et la fréquence du mot de passe n'a pas expiré
Rediriger vers l'IdP dès la première fréquence
Okta redirige l'utilisateur vers l'IdP qui a établi sa session Okta en dernier lieu. La réauthentification se produit à la fréquence d'expiration la plus proche pour tous les facteurs obligatoires. Par exemple, si la fréquence du mot de passe est toutes les deux heures et que la fréquence du facteur est toutes les heures, la réauthentification a lieu toutes les heures.
Après la réauthentification auprès de l'IdP, Okta peut demander des facteurs locaux supplémentaires en fonction des déclarations AMR (Authentication Method Reference) reçues de l'IdP. Si l'IdP ne déclenche pas une réauthentification, Okta demande les facteurs locaux à chaque fois.
Ce résultat nécessite que le partage des déclarations soit activé dans la configuration de l'IdP.
Rediriger vers l'IdP à la fréquence du mot de passe
Okta redirige l'utilisateur vers l'IdP qui a établi sa session Okta en dernier lieu. La réauthentification se fait en fonction de la fréquence du mot de passe uniquement. Okta demande tous les autres facteurs localement.
Ce résultat s'applique lorsque le partage des déclarations est désactivé (l'option Respecter la fréquence de réauthentification du mot de passe uniquement est sélectionnée). Utilisez cette option uniquement pour conserver le comportement de réauthentification hérité existant pour les IdP tiers avec le partage des déclarations désactivé.
Okta demande d'autres facteurs en local uniquement si la fréquence du facteur a également expiré, plutôt qu'à chaque fois.