Configurez les règles de la stratégie d'authentification de l'application dans la console d'administration d'Okta.

Pour configurer l'accès granulaire à l'application, appliquez de manière sélective des conditions lors de la création d'une ou de plusieurs règles classées par ordre de priorité en fonction des éléments suivants :

  • quels sont les utilisateurs et à quels groupes ils appartiennent ;
  • s'ils sont sur ou hors réseau ou dans une zone réseau définie ;
  • type de client exécuté sur leur terminal (applications Office 365 uniquement) ;
  • plate-forme de leur terminal mobile ou de poste de travail ;
  • Si leurs terminaux sont approuvés ou non.

Pour suivre une approche de liste autorisée pour la création de règles de la stratégie d'authentification :

  1. Créez une ou plusieurs règles permissives afin qu'elles prennent en charge les scénarios qui autoriseront l'accès à l'application, puis attribuez à ces règles la plus haute priorité.
  2. Créez une règle de refus catch-all qui s'appliquera aux utilisateurs qui ne correspondent pas aux scénarios permissifs que vous avez créés à l'étape 1. Attribuez à la règle de refus catch-all la priorité la plus basse, juste au-dessus de la règle par défaut d'Okta. Dans l'approche de liste autorisée décrite ici, la règle par défaut n'est jamais atteinte, car elle est effectivement invalidée par la règle de refus catch-all.

Si vous désactivez l'option Approbation du terminal, suivez les instructions suivantes :

  • Ne désélectionnez pas le paramètre Approbation du terminal sur la page Sécurité > Approbation du terminal si vous avez également configuré une stratégie d'authentification de l'application sur la page Applications > application > Stratégie d'authentification qui autorise les terminaux approuvés. Sinon, votre configuration d'approbation du terminal sera dans un état incohérent.

    Pour désactiver l'approbation du terminal pour votre organisation, supprimez d'abord les stratégies d'authentification de l'application qui contiennent un paramètre Approbation du terminal, puis désélectionnez ce paramètre sur la page Sécurité > Approbation du terminal.

  • Si vous demandez à Okta de désactiver la solution Approbation du terminal pour votre organisation (qui est différente du paramètre Activer l'approbation du terminal que vous avez activé sur la page Sécurité > Approbation du terminal), veillez d'abord à passer le paramètre Approbation du terminal dans les règles de la stratégie d'authentification de l'application sur Tous. Si vous n'effectuez pas cette modification et que vous configuré ensuite Okta afin qu'il réactive la solution Approbation du terminal pour votre organisation, le paramètre Approbation du terminal dans les règles de la stratégie d'authentification de l'application prendra effet immédiatement, ce que vous n'avez peut-être pas prévu.

Pour plus d'informations sur la création de règles de stratégie d'authentification, reportez-vous à la section https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Conditions préalables

Connectez-vous à la console d'administration d'Okta en tant qu'administrateur de l'application, de l'organisation ou super administrateur, car seuls ces rôles peuvent configurer les stratégies d'authentification de l'application.

Procédure

  1. Dans la console d'administration d'Okta, cliquez sur l'onglet Applications, puis sur l'application compatible SAML ou WS-Fed à protéger avec la fonctionnalité Approbation du terminal.
  2. Cliquez sur l'onglet Authentification, faites défiler la liste vers le bas jusqu'à la section Stratégie d'authentification, puis cliquez sur Ajouter règle.
  3. Configurez une ou plusieurs règles à l'aide de l'exemple de liste autorisée comme guide.
    Note : Par défaut, toutes les options du client dans la boîte de dialogue Règle d'authentification de l'application sont présélectionnées. Vous ne pouvez pas sélectionner les options Approuvé et Non approuvé dans la section Approbation du terminal, sauf si vous désélectionnez les options suivantes dans la section Client :
    • client Exchange ActiveSync ou d'authentification héritée ;
    • autre mobile (p. ex. BlackBerry) ;
    • autre poste de travail (p. ex. Linux).

Exemple : Exemple de liste autorisée

Les utilisateurs disposant de terminaux non approuvés sont guidés à travers l'inscription à Workspace ONE ou redirigés vers la destination du lien Inscription configuré dans Activer les paramètres d'approbation du terminal dans Okta.

Exemple de règle 1 : Web browser; Modern Auth; iOS et/ou Android; Trusted; Allow access + MFA

Exemple de règle 2 : Web browser; Modern Auth; All platforms except iOS et/ou Android; Any Trust; Allow access + MFA

Exemple de règle 3 : Web browser; Modern Auth; iOS et/ou Android; Not Trusted; Deny access

Exemple de règle 4 : règle de connexion par défaut – Any client, All platforms; Any Trust; Allow access

Note : L'exemple de liste autorisée affiche les règles d'approbation du terminal pour la gestion de l'accès à Office 365. Pour les autres applications, notez que la section si le client de l'utilisateur est n'importe lequel d'entre eux n'est pas disponible.