Rediriger les utilisateurs fédérés vers les IDP pour la réauthentification
Version en accès anticipé
Lorsqu'une stratégie de connexion aux applications ou une stratégie Okta Account Management exige qu'un utilisateur se réauthentifie, Okta l'invite à se réauthentifier avec des authentificateurs locaux dans votre org.
Cependant, les utilisateurs fédérés dont les sessions Okta ont été établies par le biais d'un fournisseur d'identité (IdP) tiers ou de l'IdP Okta Org2Org n'ont souvent pas d'authentificateur Okta local enrôlé. Cette démarche provoque des messages d'erreur et crée une expérience utilisateur perturbée lorsque vos utilisateurs fédérés doivent se réauthentifier.
Pour améliorer cette expérience pour vos utilisateurs fédérés, vous pouvez configurer votre org pour les rediriger vers l'IdP OIDC, SAML ou Org2Org qui a établi en dernier lieu sa session Okta lorsqu'ils doivent se réauthentifier. Après s'être authentifiés auprès de l'IdP, ils reviennent dans Okta avec de nouvelles demandes d'authentification.
Cela s'applique uniquement à la réauthentification. La première fois que les utilisateurs se connectent à votre org, vos règles de routage déterminent l'IdP auprès duquel ils s'authentifient. Consultez Configurer les règles de routage du fournisseur d'identité.
Avant de commencer
- Vous avez au moins un IdP tiers (OIDC ou SAML) ou un IdP Org2Org configuré et actif dans votre org. Consultez Fournisseurs d'identité.
- Vous avez des exigences de réauthentification configurées dans votre stratégie de connexion aux applications ou dans les règles de stratégie Okta Account Management. La fréquence de réauthentification est définie dans la section Quand demander l'authentification de la règle. Consultez Ajouter une règle de politique de connexion à l'application et Modifier la politique Okta Account Management.
Configurer la réauthentification à un IdP
-
Dans l'Admin Console, accédez à .
- Sur la page Fournisseurs d'identité, accédez à l'onglet Sourcing des déclarations d'identité.
- Dans la section Réauthentification à un IdP, cliquez sur Modifier.
- Définissez le routage de la réauthentification sur IdP SSO actif le plus récent. Okta redirige l'utilisateur vers l'IdP tiers ou Org2Org qui a établi sa session Okta la plus récente.
- Définissez IdP éligibles pour la réauthentification sur l'une des options suivantes :
- Tous les fournisseurs d'identité qui répondent aux exigences : tous les fournisseurs d'identité actifs dédiés à la SSO redirigent les utilisateurs vers les fournisseurs d'identité actifs les plus récents pour l'authentification.
- IdP spécifiques qui répondent aux exigences : choisissez quels IdP sont éligibles pour cette redirection. Si l'IdP de l'utilisateur ne figure pas dans la liste des filtres (et que la liste n'est pas vide), la politique se comporte comme suit : Aucun.
- Cliquez sur Enregistrer.
Comprendre les résultats de la réauthentification
Le résultat de la réauthentification pour vos utilisateurs dépend des facteurs suivants :
- Le paramètre Routage de la réauthentification de l'onglet Sourcing des demandes d'identité (voir Configurer la réauthentification auprès de IdP)
- Si le partage des demandes est activé dans la configuration de IdP (voir Configurer le partage des déclarations)
- Si la réauthentification par mot de passe et la réauthentification à l'aide d'un autre facteur sont actuellement requises, comme défini dans la section Quand demander l'authentification de votre règle de politique d’authentification (voir Ajouter une règle de politique de connexion à l'application et Modifier la politique Okta Account Management)
Les résultats suivants s'appliquent si la réauthentification est déclenchée par une stratégie de connexion aux applications tierce, une stratégie Okta Account Management ou une stratégie d’authentification aux applications Org2Org , sauf indication contraire.
Les colonnes Réauthentification par mot de passe requise et Autre facteur de réauthentification requis s'appliquent uniquement lorsqu'une règle utilise l'assurance Mot de passe + autre facteur, qui définit des fréquences de réauthentification distinctes pour chaque facteur. Tous les autres niveaux d'assurance (1FA, 2FA quel qu'il soit, mot de passe/ IdP) utilisent une seule fréquence de réauthentification.
| Routage de réauthentification | Partage des déclarations | Réauthentification par mot de passe requise | Autre facteur de réauthentification requis | Résultat |
|---|---|---|---|---|
| IdP SSO actif le plus récent | activée. | Oui ou Non | Oui ou Non | Rediriger vers l'IdP dès la première fréquence |
| IdP SSO actif le plus récent | Désactivé | Oui | Oui ou Non | Rediriger vers l'IdP selon la fréquence du mot de passe |
| IdP SSO actif le plus récent | Désactivé | Non | Oui | Invite de facteur local |
| Aucun | Activé ou Désactivé | Non | Oui | Invite de facteur local |
| Aucun | Activé ou Désactivé | Oui | Oui ou Non | Erreur pour les utilisateurs fédérés |
Si vous avez sélectionné IdP spécifiques qui répondent aux exigences et que l'IdP de l'utilisateur ne se trouve pas dans la liste des filtres, le résultat revient à Erreur pour les utilisateurs fédérés ou à Invite de facteur local, selon les exigences de fréquence.
Erreur pour les utilisateurs fédérés
Les utilisateurs fédérés voient une erreur et ne peuvent pas se réauthentifier. Cette situation se produit lorsque le routage de la réauthentification est défini sur Aucun et que la réauthentification par mot de passe est requise, que le partage des demandes soit activé ou non.
Elle empêche les utilisateurs fédérés de contourner les exigences de fréquence du mot de passe.
Les utilisateurs locaux avec une connexion fédérée sont invités à saisir leur mot de passe localement au lieu de voir une erreur.
Invite de facteur local
Okta demande à l'utilisateur de saisir des facteurs configurés localement, et il n'est pas renvoyé vers l'IdP pour se réauthentifier. Ce résultat se produit dans deux situations :
- Le routage de la réauthentification est défini sur Aucun et seuls les facteurs autres que le mot de passe sont requis.
- Le routage de la réauthentification est défini sur IdP SSO le plus récent, le partage des déclarations est désactivé et la fréquence du mot de passe n'a pas expirée.
Rediriger vers l'IdP dès la première fréquence
Okta redirige l'utilisateur vers l'IdP qui a établi sa session Okta la plus récente. La réauthentification se produit à la fréquence d'expiration la plus proche pour tous les facteurs obligatoires. Par exemple, si la fréquence du mot de passe est toutes les deux heures et que la fréquence du facteur est toutes les heures, la réauthentification a lieu toutes les heures.
Après réauthentification auprès de l'IdP, Okta peut demander des facteurs locaux supplémentaires en fonction des déclarations AMR transmise par l'IdP. Si l'IdP ne déclenche aucune réauthentification, Okta demande les facteurs locaux à chaque fois.
Ce résultat nécessite que le partage des déclarations soit activé dans la configuration de l'IdP.
Rediriger vers l'IdP selon la fréquence du mot de passe
Okta redirige l'utilisateur vers l'IdP qui a établi sa session Okta la plus récente. La réauthentification se fait uniquement en fonction de la fréquence du mot de passe. Okta demande tous les autres facteurs localement.
Ce résultat s'applique lorsque le partage des déclarations est désactivé (l'option Respecter la fréquence de réauthentification du mot de passe uniquement est sélectionnée). Utilisez cette option uniquement pour conserver le comportement de réauthentification hérité existant pour les IdP tiers avec le partage des déclarations désactivé.
Okta demande d'autres facteurs en local uniquement si la fréquence du facteur a également expiré, plutôt qu'à chaque fois.