Rester connecté

La fonction Rester connecté est une fonctionnalité conviviale qui réduit les frictions lors de la connexion sur les appareils enregistrés. Après une authentification réussie, les utilisateurs qui sélectionnent Rester connecté ne reçoivent plus d'invites MFA jusqu'à l'expiration de la durée de vie de la MFA ou jusqu'à l'effacement des cookies de leur navigateur.

L'activation de cette fonctionnalité peut augmenter votre surface d'attaque. Elle n'est peut-être pas adaptée aux clients du secteur public et de secteurs hautement règlementés, aux appareils partagés ou aux comptes ou applications ayant accès à des données sensibles.

Fonctionnement

Vous pouvez configurer cette fonctionnalité pour que l'invite Rester connecté s'affiche avant ou après l'authentification de l'utilisateur.

• Dans les flux d'authentification standard, les utilisateurs se rendent directement sur une app ou sur la page de connexion de votre org et saisissent leurs identifiants. Configurez la fonction Rester connecté avant l'authentification si vous souhaitez afficher l'invite sur le Sign-In Widget au moment où les utilisateurs saisissent leurs identifiants. Configurez la fonction Rester connecté après l'authentification si vous souhaitez qu'ils voient l'invite après l'authentification.
• Dans les flux d'authentification déléguée, les utilisateurs contournent le Sign-In Widget et se connectent avec un fournisseur d'identité. Configurez l'option Rester connecté après l'authentification pour ces utilisateurs, afin que l'option s'affiche après leur authentification et qu'ils soient redirigés vers Okta.

Dans les deux flux, KMSI persiste dans toutes les applications de votre org. Une fois qu'ils sélectionnent Rester connecté(e) pour une app, les utilisateurs restent connectés pour leur appareils pour toutes les apps, pour la durée définie dans vos politiques.

Configurer la fonction Rester connecté avant l'authentification

La fonction Rester connecté avant l'authentification est définie dans les paramètres Sécurité de l'organisation et utilise la durée de vie de la MFA de votre politique de session globale. Une fois activée, elle est disponible pour tous les utilisateurs de votre org.

Activer la fonctionnalité

1. Dans l'Admin Console, allez à SécuritéGénéral.

2. Dans la section Sécurité de l'organisation, cliquez sur Modifier.
3. Activez le paramètre Voir l'option permettant de rester connecté avant la connexion des utilisateurs.
4. Cliquez sur Enregistrer.

Modifier vos politiques

1. Créez une politique de session globale ou Modifiez une politique de session globale.
2. Définissez les conditions de règle suivantes :
   • L'authentification multifacteur (MFA) est : obligatoire
   • Lorsque la règle de politique de session globale est définie sur Les utilisateurs seront invités à utiliser la MFA : Après l'expiration de la durée de vie de la MFA pour le cookie de l'appareil
3. Pour étendre la fonctionnalité Rester connecté à une application, mettez à jour sa politique de connexion aux applications.
4. Définissez les conditions de règle suivantes :
   • L'utilisateur doit s'authentifier avec : 2 types de facteur (2FA), quels qu'ils soient
   • Demande d'authentification : Lorsqu'une session globale Okta n'existe pas.

Configurer la fonction Rester connecté après l'authentification

Le paramètre KMSI post-authentification est défini dans une stratégie de connexion aux apps, de sorte que l'invite apparaît après qu'un utilisateur se soit connecté à l'une des applications associées. Il s'agit d'une distinction importante à faire : l'invite KMSI apparaît uniquement pour les applications configurées, mais le paramètre lui-même persiste dans toutes les applications de votre org.

Vous devez également modifier votre politique de session globale afin de respecter la durée de vie prévue pour la fonction Rester connecté.

Modifiez votre politique de session globale

1. Dans l'Admin Console, accédez à SécuritéPolitique de session globale.

2. Sélectionnez la politique par défaut, puis cliquez sur Modifier.
3. Définissez les conditions IF suivantes :
   • L'adresse IP de l'utilisateur est : N'importe où
   • Le Fournisseur d'identité est : N'importe lequel
   • S'authentifie avec : N'importe lequel
   • Le comportement est : Laisser vide
   • Le niveau de risque est : N'importe lequel
4. Définissez les conditions THEN suivantes :
   • L'accès est : Autorisé
   • Établir la session de l'utilisateur avec : Tout facteur utilisé pour répondre aux exigences de la politique d'authentification
   • L'authentification multifacteur (MFA) est : Facultative
   • Durée de vie maximale des sessions globales Okta : Aucune limite de temps
   • Durée maximale d'inactivité de la session globale Okta : 2 heures
   • Les cookies de session globale Okta persistent dans: désactivé
5. Cliquez sur Enregistrer.

Créez une politique de connexion aux applications pour la fonction Rester connecté après l'authentification

1. Dans l'Admin Console, accédez à SécuritéPolitiques d'authentification.

2. Cliquez sur Connexion à l'application.
3. Sélectionnez la politique Deux facteurs au choix.
4. Dans le menu Actions de la règle collectrice, sélectionnez Modifier.
5. Définissez les conditions IF suivantes.
   • Type d'utilisateur : N'importe lequel type d'utilisateur
   • L'appartenance du groupe d'utilisateurs comprend : n'importe quel groupe
   • L'utilisateur est : N'importe lequel utilisateur
   • Le statut de l'appareil est : N'importe lequel
   • Politique de garantie des appareils : Aucun politique
   • La plateforme de l'appareil est : N'importe laquelle plateforme
   • L'adresse IP de l'utilisateur est: N'importe quelle adresse IP
   • Le niveau de risque est : N'importe lequel
   • L'expression personnalisée suivante est vraie :
6. Définissez les conditions THEN suivantes.
   • L'accès est : Autorisé après une authentification réussie
   • L'utilisateur doit s'authentifier avec : 2 types de facteurs, quels qu'ils soient
   • Les contraintes de facteur de possession sont: Exiger une interaction de l'utilisateur (ou choisissez les contraintes supplémentaires requises par votre org )
   • Méthodes d'authentification : Autoriser les méthodes d'authentification spécifiques (puis indiquez les authenticators que vous souhaitez autoriser)
   • Option pour maintenir la connexion ouverte : Afficher après la connexion des utilisateurs
   • Voir si non présentée précédemment sur l'appareil actuel de l'utilisateur : 7 derniers jours
   • Demande d'authentification : quand une période de temps spécifique s'est écoulée depuis la dernière fois que l'utilisateur a accédé à une ressource protégée par la session globale Okta active
   • Temps écoulé depuis la dernière connexion: 7 jours
7. Cliquez sur Enregistrer.
8. Accédez à l'onglet Applications de la politique.
9. Ajoutez les applications pour lesquelles vous souhaitez afficher l'invite KMSI post-authentification à la politique en cliquant sur Ajouter une app ou Modifier la stratégie.

Vous pouvez adapter cette configuration à vos propres cas d'utilisation, mais les deux dernières conditions font partie intégrante de la fonction Rester connecté. Si votre politique de session globale ne requiert pas la MFA, votre politique de connexion aux applications doit demander une authentification lorsque la durée spécifiée a été dépassée. Si vous sélectionnez un autre paramètre, l'invite Rester connecté s'affiche plus souvent, mais ne conserve pas le choix de l'utilisateur.

Si la politique de session globale exige la MFA, la politique de connexion aux applications peut demander l'authentification lorsqu'une période définie s'est écoulée sans qu'une session globale existe.

Pour une expérience utilisateur fluide, veillez à ce que la durée de l'Option pour maintenir la connexion ouverte soit cohérente avec l'option Demande d'authentification. Si les valeurs ne correspondent pas, les utilisateurs risquent de ne pas voir l'inviteRester connecté après avoir été invités à utiliser la MFA.

Réinitialiser la fonction Rester connecté d'un utilisateur

Vous pouvez réinitialiser la fonction Rester connecté pour un utilisateur donné et effacer toutes ses sessions.

1. Dans la Admin Console, accédez à RépertoirePersonnes.

2. Sélectionnez l'utilisateur.
3. Dans le menu Plus d'actions, sélectionnez Effacer les sessions utilisateur.
4. Sélectionnez Effacer « Rester connecté ».
5. Cliquez sur Effacer les sessions et révoquer les jetons.

La prochaine fois que l' utilisateur accédera à votre org, l'option Rester connecté s'affichera.

Expérience utilisateur

Dans un flux Rester connecté avant l'authentification, les utilisateurs sélectionnent Rester connecté lorsqu'ils saisissent leur nom d'utilisateur dans le Sign-In Widget, puis ils fournissent un facteur de MFA pour terminer l'authentification.

Dans un flux Rester connecté après l'authentification, les utilisateurs qui se rendent sur la page de connexion de votre org peuvent être redirigés vers un fournisseur d'identité avant de pouvoir choisir de Rester connecté. Après s'être authentifiés, ces utilisateurs peuvent sélectionner Rester connecté après avoir été redirigés vers Okta.

Dans les deux cas, les utilisateurs qui sélectionnent Maintenir la connexion ouverte sont enregistrés sur leur appareil pour toutes les applications (pas seulement celles pour lesquelles KMSI est configuré dans leurs politiques). L'invite n'apparaît plus pendant la durée définie dans votre stratégie de connexion à l'app . Ils peuvent réinitialiser manuellement l'invite Rester connecté et effacer toutes les sessions en ouvrant le menu des paramètres du compte depuis leur Dashboard et en sélectionnant Se déconnecter (dans la section Fermer toutes les sessions). La prochaine fois que l' utilisateur accédera à votre org, l'option Rester connecté s'affichera à nouveau.

Rubriques liées

Sécurité générale

Flux de connexion