Récemment, Okta a activé un nouveau flux d'inscription destiné à simplifier le processus pour les utilisateurs. La fonctionnalité s’appelle Same Device Enrollment, et elle permet à un utilisateur de s’inscrire à Okta Verify sur le terminal qu’il utilise actuellement en moins d’étapes. Elle constitue un progrès considérable en matière de sécurité, offrant une solution intuitive et résistante au phishing pour les utilisateurs. Ce nouveau flux corrige les vulnérabilités critiques présentes dans les anciennes méthodes d’inscription basées sur navigateur, telles que les codes QR, les SMS et les e-mails, qui étaient susceptibles d’être interceptées par des acteurs malveillants. Le processus mis à jour garantit le respect des politiques d’authentification et récupère en toute sécurité les tokens d’autorisation nécessaires, améliorant ainsi la posture de sécurité globale des inscriptions des utilisateurs.
La nécessité d’une inscription simplifiée et sécurisée
Par le passé, nos procédures d'inscription basées sur navigateur privilégiaient l’inscription sur un terminal mobile ; lorsqu’un utilisateur essayait d’ajouter une inscription Okta Verify à son compte, il pouvait soit scanner un code QR affiché sur le navigateur avec un terminal mobile, soit envoyer un SMS ou un e-mail au terminal mobile avec un lien d’activation pour s’inscrire.
Cette approche présentait plusieurs problèmes :
- Limitation de l’inscription mobile – Les utilisateurs déjà sur leur terminal mobile ne pouvaient pas scanner le code QR, ce qui les obligeait à s’appuyer sur des méthodes SMS ou e-mail moins sécurisées.
- Limitation de l’inscription sur poste de travail – Les utilisateurs sur poste de travail ne pouvaient pas utiliser le flux basé sur navigateur pour s’inscrire sur le même terminal ; ils devaient s’inscrire sur un terminal mobile distinct.
- Risque de sécurité – Le problème le plus critique était que les méthodes d’inscription par code QR, e-mail et SMS sont intrinsèquement non sécurisées, car un acteur malveillant pouvait facilement intercepter le code QR, l’e-mail ou le SMS pour inscrire son propre terminal.
La nouvelle approche
Un nouveau modèle était nécessaire, qui permettrait à l’utilisateur de s’authentifier en toute sécurité sur le terminal d’inscription, afin de garantir le respect des politiques d’authentification de votre entreprise. Pour les entreprises utilisant la dernière version d’Okta Identity Engine, les utilisateurs pouvaient déjà s’inscrire de manière plus sécurisée en s’authentifiant manuellement via OIDC pour récupérer les tokens d’authentification appropriés afin d’autoriser l’inscription. Nous avons donc choisi d’utiliser ce flux existant, mais de fournir des parcours semi-automatisés pour guider les utilisateurs.
Quand cette fonctionnalité est activée, lorsque l’utilisateur tente de s’inscrire à Okta Verify via le widget de connexion, le navigateur lance automatiquement l’application Okta Verify, et l’application oriente l’utilisateur dans un flux OIDC pour recevoir un token d’authentification avec les autorisations et les champs d'application appropriés pour autoriser l’inscription.
Cette nouvelle approche représente une avancée significative en matière de sécurité. En s'éloignant des méthodes vulnérables où l'inscription s'effectue dans un navigateur sur les appareils mobiles, susceptibles d'être interceptées, le nouveau flux basé sur OIDC garantit un processus d'inscription résistant au phishing et plus intuitif.
Utilisation de Same Device Enrollment
Pour activer Same Device Enrollment, assurez-vous que FastPass est activé dans les paramètres de votre authentificateur Okta Verify.
Pour configurer les paramètres de sécurité d’Okta Verify :
- Sécurité élevée : choisissez l'option « High security » pour imposer l’inscription sur le même terminal comme méthode exclusive d’inscription à Okta Verify.
- N’importe quelle sécurité : sélectionnez « Any security » pour offrir aux utilisateurs la possibilité de s’inscrire via des méthodes mobiles en plus de l’inscription sur le même appareil.
Pour obtenir de l’aide supplémentaire sur ces paramètres, veuillez consulter la documentation.
Diagramme de flux
Vous avez des questions sur cet article de blog ? Contactez-nous à l’adresse eng_blogs@okta.com.
Explorez d'autres articles du blog Engineering d'Okta pour approfondir vos connaissances.
Vous souhaitez rejoindre notre équipe d’ingénieurs aussi passionnés qu’exceptionnels ? Consultez notre page Carrières.
Libérez le potentiel d’une gestion des identités moderne et sophistiquée pour votre entreprise. Contactez notre équipe commerciale pour plus d’informations.
