Sécurité générale

Configurez plusieurs paramètres de sécurité globale pour votre org, comme des e-mails de notification pour les utilisateurs, la protection contre l'énumération des utilisateurs et Okta ThreatInsight.

Pour accéder à ces paramètres depuis l'Admin Console, accédez à SécuritéGénéral.

E-mails de notification de sécurité

Configurez des e-mails de notification pour les utilisateurs finaux via SécuritéGénéralE-mails de notification de sécurité. Si un e-mail de notification n'atteint pas son destinataire, un événement indiquant la cause de l'échec de la transmission (différée, abandonnée ou renvoyée) est ajouté au Journal système.

Si votre org possède plusieurs marques, ces paramètres s'appliquent uniquement à la marque par défaut. Pour modifier les destinataires des e-mails pour une marque spécifique, accédez à PersonnalisationsMarques. Choisissez la marque de votre choix, puis cliquez sur E-mails. Sélectionnez un modèle, puis cliquez sur Modifier à côté de Public. Pour en savoir plus sur les notifications par e-mail et la personnalisation des modèles, consultez Personnaliser un modèle d'e-mail.

E-mail de notification de nouvelle authentification Okta envoie aux utilisateurs finaux une notification par e-mail s'ils se connectent depuis un client nouveau ou non reconnu. Cet e-mail contient des informations de connexion, telles que le navigateur Web et le système d'exploitation utilisé pour se connecter, ainsi que l'heure et le lieu de l'authentification. Consultez E-mails de notification de nouvelle connexion pour en savoir plus sur les limites liées à l'identification des nouveaux clients.

Remarque : cette fonctionnalité est désactivée par défaut pour les nouvelles organisations.

Pour en savoir plus, consultez Notifications de connexion pour les utilisateurs finaux.
E-mail de notification d'inscription d'un authenticator Okta envoie un e-mail de confirmation aux utilisateurs finaux si ces derniers ou un administrateur enrôlent un nouvel authentificateur pour leur compte.

Remarque : cette fonctionnalité est activée par défaut pour les nouvelles orgs.

Pour en savoir plus, voir E-mail de notification d'inscription d'un authenticator pour les utilisateurs finaux.
E-mail de notification de réinitialisation d'un Authenticator Okta envoie un e-mail est envoyé aux utilisateurs finaux si ces derniers ou un administrateur réinitialisent un authentificateur pour leur compte.

Remarque : cette fonctionnalité est activée par défaut pour les nouvelles orgs.

Pour en savoir plus, consultez Notifications de réinitialisation d'un authenticator pour les utilisateurs finaux.
E-mail de notification de modification de mot de passe Okta envoie une notification aux utilisateurs finaux par e-mail s'ils modifient ou réinitialisent le mot de passe de leur compte. Cet e-mail contient des informations liées à la réinitialisation du mot de passe, telles que l'heure et le lieu de la réinitialisation du mot de passe.

Remarque :

  • Si un administrateur définit un mot de passe temporaire, l'utilisateur final reçoit une notification par e-mail uniquement après que ce dernier a défini un mot de passe remplaçant le mot de passe temporaire.
  • Les notifications de réinitialisation de mot de passe pour les utilisateurs finaux faisant appel à l'authentification déléguée (DelAuth) ne sont pas prises en charge.
  • Aucune notification n'est envoyée par e-mail aux utilisateurs finaux s'ils sont inactifs.

Pour en savoir plus, consultez Notification de modification du mot de passe pour les utilisateurs finaux.

E-mail de notification de nouvelle authentification

Les e-mails de notification de nouvelle connexion complètent d'autres fonctionnalités de sécurité, telles que les authenticators et ne doivent pas être considérés comme une fonctionnalité de remplacement. Dans la plupart des scénarios, les clients sont identifiés facilement et avec précision, mais il existe des limites.

Les e-mails de notification de connexion d'un nouvel appareil sont envoyés lorsqu'un nouveau client est identifié, sur la base des cookies de navigateur ou des empreintes digitales de l'utilisateur final.

Un client peut être considéré comme nouveau dans l'un ou plusieurs des scénarios suivants :

  • Nouveau type ou nouvelle version de navigateur.
  • Nouveau type ou nouvelle version de système d'exploitation.
  • Application nouvelle ou mise à jour.
  • Navigateur ou système d'exploitation non reconnu (apparaît comme Inconnu dans l'e-mail de notification).

Un client n'est pas considéré comme nouveau lorsque les utilisateurs finaux se connectent à Okta via n'importe quel type de navigateur et avec Okta FastPass.

La fonction de détection du comportement d'un nouvel appareil nécessite que :

Si l'authentification n'est pas reconnue, les utilisateurs finaux doivent contacter leur administrateur immédiatement afin d'examiner l'activité de leur compte. L'administrateur peut effectuer des actions telles que terminer la session d'un utilisateur, verrouiller le compte d'un utilisateur, ou ajouter des authenticators afin de renforcer la sécurité.

Limites

Certaines limites constituent un défi pour l'identification. Activer les notifications par e-mail en plus d'autres identificateurs tels qu'une nouvelle adresse IP ou un nouvel emplacement permet d'améliorer la précision dans le cadre de l'identification d'une activité suspecte sur le compte d'un utilisateur final.

Ci-dessous les limites actuelles pour identifier de nouveaux clients :

  • L'empreinte digitale d'un appareil est enregistrée après une connexion réussie.
  • Des notifications relatives à un nouvel appareil peuvent être générées lorsque l'utilisateur utilise un système d'exploitation ou un navigateur différent.
  • Les notifications relatives à un nouvel appareil ne sont pas générées en cas de connexion initiée par des fournisseurs d'identité autres que Okta.
  • L'empreinte digitale d'un appareil est basée sur le navigateur utilisé. L'utilisateur final reçoit un e-mail de notification de nouvel appareil s'il se connecte avec un nouveau type de navigateur.
  • Okta envoie des e-mails de notification concernant les nouveaux appareils lorsqu'une nouvelle app mobile est détectée, et non l'appareil avec lequel l'utilisateur s'est connecté.
  • La détection d'un nouvel appareil n'est pas toujours entièrement garantie.
  • Les utilisateurs finaux peuvent recevoir un e-mail de notification de nouvel appareil ou d'appareil inconnu s'ils ne se sont pas connectés à leur compte au cours des 40 derniers jours.

Pour en savoir plus sur les notifications envoyées aux utilisateurs finaux, voir Personnaliser un modèle d'e-mail.

Intégration de CAPTCHA

Pour renforcer la sécurité de votre org, Okta prend en charge le CAPTCHA, en option, pour prévenir les tentatives de connexion automatisées. Vous pouvez intégrer l'un de ces deux services : hCaptcha ou reCAPTCHA v2.

Les implémentations fournisseur prises en charge par Okta sont toutes les deux invisibles. Chacune exécute un logiciel d'analyse des risques en arrière-plan au moment de la connexion afin de déterminer la probabilité que l'utilisateur soit un robot. Cette analyse des risques se fonde sur les paramètres configurés pour le service.

Avant de configurer l'utilisation de CAPTCHA pour votre org, connectez-vous via le fournisseur de votre choix ou créez un compte, puis suivez ces instructions :

Pour reCAPTCHA v2, sélectionnez Badge reCAPTCHA invisible.

Au cours de la configuration de l'un de ces services, vous aurez besoin d'une clé de site et d'une clé secrète pour la configuration de votre org.

Une fois le service reCAPTCHA ou hCAPTCHA créé, assurez-vous de spécifier vos domaines sur la page de configuration du service du fournisseur. Par exemple :

  • Si votre application Web est basée sur les domaines personnalisés myapp.com et testapp.com, vous devez spécifier chaque domaine pour votre service CAPTCHA.
  • Si votre Sign-In Widget est basé sur Okta, vous devez ajouter okta.com dans la liste de domaines du service CAPTCHA.

Pour configurer un service CAPTCHA dans Okta :

  1. Créez un jeton d'API, requis pour authentifier les demandes vers les API Okta. Voir Créer un jeton d'API.

  2. Dans l'Admin Console, allez à SécuritéGénéral.

  3. Configurez les paramètres suivants dans la section Intégration de CAPTCHA :
    • Type : sélectionnez le service de CAPTCHA utilisé.
    • Clé de site : copiez la clé de site utilisée pour la configuration du service.
    • Clé secrète : copiez la clé secrète utilisée pour la configuration du service.

    Activer les CAPTCHAS pour : sélectionnez un ou plusieurs types d'authentification pour lesquels vous souhaitez utiliser le CAPTCHA :

    • S'inscrire : les utilisateurs sont invités à saisir un code CAPTCHA au moment de leur inscription et de leur première connexion.
    • Réinitialisation de mot de passe : les utilisateurs sont invités à saisir un code CAPTCHA au moment de réinitialiser leur mot de passe.
    • Authentification : les utilisateurs sont invités à saisir un code CAPTCHA au moment de leur connexion.

    Actuellement, le CAPTCHA n'est pas pris en charge pour la réinitialisation de mot de passe dans les flux d'authentification par identifiant, C'est-à-dire, lorsque les utilisateurs saisissent un mot de passe sur une deuxième page de connexion.

    Vous pouvez modifier le flux d'authentification pour que les utilisateurs voient le nom d'utilisateur et le mot de passe sur la même page dans le Sign-In Widget:

    • Assurez-vous que votre org n'utilise pas de fournisseurs d'identité pour l'authentification. Vous pouvez utiliser l'option Okta pour AND Le fournisseur d'identité est dans vos règles de politique de session globale, mais pas l'option IdP spécifique.
    • Pour toutes vos règles de politique de session globale, l'option Établir la session de l'utilisateur avec est définie sur Un mot de passe.

    Consultez Ajouter une règle de politique de session globale et Flux de connexion pour obtenir des instructions.

  4. Cliquez sur Enregistrer.

Résoudre les problèmes de connexion CAPTCHA

Si vous avez saisi une clé de site incorrecte dans la configuration Okta, les utilisateurs perdent l'accès à l'org Okta. Pour procéder à une reconfiguration, commencez par soumettre les instructions suivantes à l'API publique de gestion de CAPTCHA.

Copier 
curl -v -X PUT -H "Accept: application/json" \
                -H "Content-Type: application/json" \
                -H "Authorization: SSWS ${api_token}" \
                -d '{"captchaId": null,
                "enabledPages": null}'
            "https://${yourOktaDomain}/api/v1/org/captcha"

Sécurité de l'organisation

Configurez les paramètres généraux de l'organisation via SécuritéGénéralSécurité de l'organisation.

Liaison d'IP pour l'Admin Console Ce paramètre associe les administrateurs à l'adresse IP depuis laquelle ils se sont connectés. Si l'IP change au cours d'une session, l'administrateur est déconnecté d'Okta et un événement est ajouté au Journal système. Cela peut être géré en conjonction avec DefaultExemptIpZone. Voir Zone d'exemption IP.
Se souvenir de l'utilisateur lors de la connexion Ce paramètre préremplit le champ Nom d'utilisateur dans le Sign-In Widget. L'utilisateur final doit toujours s'authentifier. La fonction ne se souvient pas des authenticators MFA récents ni des sessions précédentes.
Voir l'option permettant de rester connecté avant la connexion des utilisateurs Ce paramètre affiche l'option Rester connecté pour les utilisateurs du Sign-In Widget avant qu'ils ne saisissent leurs identifiants. Les demandes de post-authentification sont maintenant configurées dans les politiques de connexion aux applications. Voir Rester connecté.
Les e-mails d'activation sont valables pendant Définit le délai d'expiration du lien présent dans l'e-mail d'activation de compte envoyé aux utilisateurs finaux. Pour en savoir plus sur les notifications par e-mail, voir Personnaliser un modèle d'e-mail.
Renforcer la liaison entre les appareils pour créer des sessions Par défaut, Okta garantit que les redirections authentification sont conservées dans le navigateur où elles ont été initiées. Okta compare les identificateurs des appareils fournis dans les requêtes. Si ces identificateurs ne correspondent pas, Okta refuse accès à l'app et ne crée pas de session de Fournisseur d'identité. Gardez ce paramètre activé, sauf si l'assistance Okta vous demande de le désactiver.
Critères de correspondance du nom d'utilisateur lors de la connexion Ce paramètre détermine la façon dont le profil de l'utilisateur est vérifié lorsqu'il se connecte. Si vous sélectionnez Nom d'utilisateur complet, les utilisateurs ne peuvent se connecter que s'ils saisissent leur nom d'utilisateur complet, domaine compris. Si vous sélectionnez Autoriser les correspondances courtes, les utilisateurs peuvent se connecter sans leur domaine.

Évaluation de l'indice de connexion pour les applications non OIDC

Détermine si le Sign-In Widget évalue les indices de connexion lorsqu'elles sont fournies par une app. Lorsqu'il est défini sur Activé (par défaut), le Sign-In Widget n'invite pas les utilisateurs à entrer un nom d'utilisateur si l'app fournit un indice de connexion. Lorsqu'il est défini sur Désactivé, le Sign-In Widget invite les utilisateurs à entrer un nom d'utilisateur. Ce paramètre s'applique uniquement aux applications non OIDC, car les applications OIDC gèrent l'évaluation de l'indice de connexion séparément.
Mapper l'adresse e-mail principale avec le nom d'utilisateur Ce paramètre modifie le nom d'utilisateur pour qu'il corresponde à l'adresse e-mail principale de l'utilisateur. Il s'applique à tous les types d'utilisateurs. Les noms d'utilisateurs existants ne sont pas modifiés, sauf si l'adresse e-mail principale change. Sélectionnez ce paramètre si vous souhaitez activer l'enregistrement en libre-service.
Les utilisateurs peuvent voir l'Activité récente Ce paramètre active la page Activité récente pour les utilisateurs. Cette page affiche l'activité de connexion et les événements de sécurité récents liés au compte de l'utilisateur.

Protéger contre les attaques par mot de passe

Exiger un facteur de possession avant le mot de passe lors de la MFA

Lorsque cette fonctionnalité est activée, les utilisateurs doivent vérifier leur identité avec un facteur de possession avant de fournir un mot de passe ou un autre facteur de connaissance. Ainsi, votre org est protégée contre les attaques qui cherchent à deviner ou à forcer les mots de passe.

Lorsque cette fonctionnalité est activée, la préférence de l'utilisateur en matière de conservation de son mot de passe comme dernier facteur utilisé est remplacée.

  1. Dans l'Admin Console, allez à SécuritéGénéral.

  2. Dans la section Protéger contre les attaques par mot de passe, cliquez sur Modifier.
  3. Sélectionnez Activé dans le menu déroulant Exiger un facteur de possession avant le mot de passe lors de la MFA pour activer cette fonctionnalité, ou Désactivé pour la désactiver.
  4. Cliquez sur Enregistrer.

La fonction Exiger un facteur de possession avant le mot de passe ne prend pas effet dans les scénarios suivants :

  • Lorsque la MFA n'est pas requise.
  • Lorsque la protection contre l'énumération des utilisateurs est déclenchée, l' utilisateur est d'abord invité à saisir son e-mail ou mot de passe.
  • Lorsque des points de terminaison d'authentification Classic Engine sont utilisés.

Bloquer les tentatives de mot de passe suspectes provenant d'appareils inconnus

Lorsque cette fonctionnalité est activée, votre org bloque les tentatives de mot de passe suspectes provenant d'appareils inconnus. Les utilisateurs qui se connectent à Okta avec des appareils qu'ils ont déjà utilisés ne sont pas exclus si un autre appareil inconnu de Okta provoque un verrouillage.

  1. Dans l'Admin Console, allez à SécuritéGénéral.

  2. Dans la section Protéger contre les attaques par mot de passe, cliquez sur Modifier.
  3. Sélectionnez Activé dans le menu déroulant Bloquer les tentatives de mot de passe suspectes provenant d'appareils inconnus pour activer cette fonctionnalité, ou Désactivé pour la désactiver.
  4. Cliquez sur Enregistrer.

Consultez Ajouter une politique de mots de passe pour plus d'informations.

Vous pouvez autoriser des utilisateurs individuels à se connecter en utilisant un appareil inconnu. Lorsqu'un utilisateur a perdu son appareil, cette option l'aide à se connecter avec un nouvel appareil inconnu pour la première fois. Voir Autoriser les appareils inconnus à se connecter.

Protection contre l'énumération des utilisateurs

Lorsque cette fonctionnalité est activée, votre org est protégée contre les attaquants qui essaient d'identifier les comptes utilisateur et les enrôlements d'authenticators. Si l'utilisateur n'existe pas ou ne parvient pas à se connecter, il recevra une erreur de vérification d'authenticator. Okta ne vérifie pas que le compte existe.

Cette fonctionnalité est désactivée par défaut. Pour en savoir plus sur les tentatives de connexion des utilisateurs finaux à Okta, voir Nouvelle expérience de connexion.

  1. Dans l'Admin Console, allez à SécuritéGénéral.

  2. Dans la section Protection contre l'énumération des utilisateurs, cliquez sur Modifier.
  3. Prévisualiser uniquement. Sélectionnez l'une de ces options ou les deux pour activer la protection contre l'énumération des utilisateur :
    • Authentification : activez ou désactivez la protection contre l'énumération des utilisateurs pour les tentatives d'authentification des utilisateurs.

      Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

      Lorsque vous sélectionnez Authentification, le champ Méthodes apparaît. Saisissez le nom d'un authentificateur que vous souhaitez que les utilisateurs utilisent pour vérifier leur identité, puis appuyez sur Entrée. Répétez l'opération pour chaque authentificateur supplémentaire que vous souhaitez ajouter. Cliquez sur le  X   à côté d'un nom d'authentificateur pour le supprimer.

    • Récupération : activez ou désactivez la protection contre l'énumération des utilisateurs pour les scénarios de récupération.
  4. Pour désactiver la protection contre l'énumération des utilisateurs, décochez les cases Authentification et Récupération.
  5. Cliquez sur Enregistrer.

La protection contre l'énumération des utilisateurs ne prend pas effet si l'une des conditions suivantes est autorisée :

  • Enregistrement en libre-service
  • Flux JIT avec authentification par e-mail

Voir Gestion des utilisateurs pour en savoir plus.

Paramètres Okta ThreatInsight

Okta ThreatInsight regroupe les données de la base clients Okta et utilise ces données pour détecter les adresses IP malveillantes à l'origine d'attaques basées sur les informations d'identification.

Pour éviter les abus, Okta ThreatInsight fonctionne avec des capacités limitées pour les versions d'essai gratuites. Contactez l'assistance Okta si vous avez besoin d'une version d'Okta ThreatInsight dotée de toutes ses fonctionnalités.

Voir Okta ThreatInsight pour en savoir plus sur cette fonctionnalité.

Rubriques liées

Politiques de session globale

HealthInsight

Okta ThreatInsight