Recentemente, a Okta habilitou um novo fluxo de inscrição destinado a otimizar o processo para os usuários. Ele se chama Same Device Enrollment e permite que um usuário se inscreva no Okta Verify no dispositivo que está usando no momento, com menos etapas. O Same Device Enrollment do Okta Verify representa um avanço significativo na segurança, oferecendo uma solução intuitiva e resistente a phishing para os usuários. Esse novo fluxo aborda vulnerabilidades críticas em métodos de inscrição mais antigos baseados em navegador, como QR codes, SMS e e-mail, que eram vulneráveis à interceptação por agentes mal-intencionados. O processo atualizado garante a conformidade com as políticas de autenticação e recupera com segurança os tokens de autorização necessários, aprimorando a postura de segurança das inscrições de usuários.
A necessidade de uma inscrição otimizada e segura:
No passado, os fluxos de inscrição baseados em navegador priorizavam a inscrição em dispositivos móveis. Quando um usuário tentava adicionar uma inscrição do Okta Verify à sua conta, ele podia escanear um QR code exibido no navegador com um dispositivo móvel ou enviar um SMS ou e-mail para o dispositivo móvel com um link de ativação para se inscrever.
A abordagem existente apresentava diversos problemas:
- Limitação na inscrição em dispositivos móveis: os usuários que já estavam em seus dispositivos móveis não conseguiam escanear o QR code, tendo que recorrer a métodos menos seguros, como SMS ou e-mail.
- Limitação na inscrição em desktop: os usuários em um dispositivo desktop não podiam usar o fluxo baseado em navegador para se inscrever no mesmo dispositivo. Era essencialmente necessário que se inscrevessem em um dispositivo móvel separado.
- Risco de segurança: o problema mais crítico era que os métodos de inscrição por QR code, e-mail e SMS são inerentemente inseguros, pois um agente mal-intencionado poderia facilmente interceptar o QR code, o e-mail ou o SMS para inscrever seu próprio dispositivo.
A nova abordagem:
Era necessário um novo modelo para o usuário se autenticar com segurança no dispositivo de inscrição, garantindo que as políticas de autenticação da sua organização sejam obedecidas. Nas organizações que usam o Okta Identity Engine mais recente, os usuários já conseguiam se inscrever de maneira mais segura, com autenticação manual via OIDC para recuperar os tokens de autenticação apropriados para permitir a inscrição. Por isso, optamos por utilizar esse fluxo existente, mas fornecer alguns caminhos semiautomatizados para orientar os usuários.
Com esse recurso habilitado, quando o usuário tentar se inscrever no Okta Verify usando o widget de login, o navegador iniciará automaticamente o app Okta Verify e o app levará o usuário a um fluxo do OIDC para receber um token de autenticação com as permissões e escopos corretos para permitir a inscrição.
Essa nova abordagem representa um avanço significativo na segurança. Deixando de lado os métodos de inscrição vulneráveis baseados em navegador em dispositivo móvel, que eram suscetíveis à interceptação, o novo fluxo baseado em OIDC garante um processo de inscrição resistente a phishing e mais intuitivo.
Como usar o Same Device Enrollment:
Para ativar o Same Device Enrollment, o FastPass deve estar ativado nas configurações do autenticador Okta Verify.
Defina as configurações de segurança do Okta Verify:
- High Security: escolha "High Security" (Alta segurança) para impor o Same Device Enrollment como o método exclusivo para a inscrição do Okta Verify.
- Any Security: selecione "Any Security" (Qualquer segurança) para fornecer aos usuários a opção de se inscreverem por meio de métodos baseados em dispositivos móveis, além do Same Device Enrollment.
Para assistência adicional sobre essas configurações, consulte a documentação.
Diagrama de fluxo
Tem perguntas sobre este artigo no blog? Entre em contato conosco pelo e-mail eng_blogs@okta.com.
Confira mais blogs de engenharia da Okta para expandir seu conhecimento.
Quer se juntar à nossa equipe apaixonada de engenheiros excepcionais? Visite nossa página de carreiras.
Aproveite o potencial do gerenciamento de identidade moderno e sofisticado para sua organização. Entre em contato com o departamento de vendas para mais informações.
