Configurez les règles de la stratégie d'authentification de l'application dans la console d'administration d'Okta.
Pour configurer l'accès granulaire à l'application, appliquez de manière sélective des conditions lors de la création d'une ou de plusieurs règles classées par ordre de priorité en fonction des éléments suivants :
- quels sont les utilisateurs et à quels groupes ils appartiennent ;
- s'ils sont sur ou hors réseau ou dans une zone réseau définie ;
- type de client exécuté sur leur périphérique (applications Office 365 uniquement) ;
- plate-forme de leur périphérique mobile ou de poste de travail ;
- si leurs périphériques sont approuvés ou non.
Pour suivre une approche de liste blanche pour la création de règles de la stratégie d'authentification :
- Créez une ou plusieurs règles permissives afin qu'elles prennent en charge les scénarios qui autoriseront l'accès à l'application, puis attribuez à ces règles la plus haute priorité.
- Créez une règle de refus catch-all qui s'appliquera aux utilisateurs qui ne correspondent pas aux scénarios permissifs que vous avez créés à l'étape 1. Attribuez à la règle de refus catch-all la priorité la plus basse, juste au-dessus de la règle par défaut d'Okta. Dans l'approche de liste blanche décrite ici, la règle par défaut n'est jamais atteinte, car elle est effectivement invalidée par la règle de refus catch-all.
Si vous désactivez l'option Approbation du périphérique, suivez ces directives :
- Ne désactivez pas le paramètre Approbation du périphérique sur la page Sécurité > Approbation du périphérique si vous avez également configuré une stratégie d'authentification de l'application sur la page Applications > application > Stratégie d'authentification qui autorise les périphériques approuvés. Sinon, votre configuration d'approbation du périphérique sera dans un état incohérent.
Pour désactiver l'approbation du périphérique pour votre organisation, supprimez d'abord les stratégies d'authentification de l'application qui contiennent un paramètre Approbation du périphérique, puis désactivez ce paramètre sur la page Sécurité > Approbation du périphérique.
- Si vous demandez à Okta de désactiver la solution Approbation du périphérique pour votre organisation (qui est différente du paramètre Activer l'approbation du périphérique que vous avez activé sur la page Sécurité > Approbation du périphérique), veillez d'abord à passer le paramètre Approbation du périphérique dans les règles de la stratégie d'authentification de l'application sur N'importe. Si vous n'effectuez pas cette modification et que vous configuré ensuite Okta afin qu'il réactive la solution Approbation du périphérique pour votre organisation, le paramètre Approbation du périphérique dans les règles de la stratégie d'authentification de l'application prendra effet immédiatement, ce que vous n'avez peut-être pas prévu.
Pour plus d'informations sur la création de règles de stratégie d'authentification, consultez la section https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.
Conditions préalables
Connectez-vous à la console d'administration d'Okta en tant qu'administrateur de l'application, de l'organisation ou super administrateur, car seuls ces rôles peuvent configurer les stratégies d'authentification de l'application.
Procédure
Exemple : Exemple de liste blanche
Les utilisateurs disposant de périphériques non approuvés sont guidés à travers l'inscription à Workspace ONE ou redirigés vers la destination du lien Inscription configuré dans Activer les paramètres d'approbation du périphérique dans Okta.
Exemple de règle 1 : Web browser; Modern Auth; iOS et/ou Android; Trusted; Allow access + MFA
Exemple de règle 2 : Web browser; Modern Auth; All platforms except iOS et/ou Android; Any Trust; Allow access + MFA
Exemple de règle 3 : Web browser; Modern Auth; iOS et/ou Android; Not Trusted; Deny access
Exemple de règle 4 : règle de connexion par défaut – Any client, All platforms; Any Trust; Allow access
