Adgangskodefri godkendelse i Okta er afhængig af Factor Sequencing og Okta Verify. For at konfigurere Factor Sequencing¹, skal du sørge for, at din licenspakke dækker dette. Hvis det er tilfældet, skal du kontakte support og anmode om at Factor Sequencing aktiveres for din instans. Som regel har du mulighed for selv at aktivere Okta-funktioner, men dette stadig ikke for Factor Sequencing.
Når du aktiverer en Factor Sequencing kan dette ændre login formularens design og påvirke alle brugere. I stedet for en login formular, der beder om et brugernavn og en adgangskode, bliver brugeren først bedt om at angive et brugernavn, derefter skal brugeren klikke på næste, og først derefter vises den faktor, der er konfigureret for brugerobjektet (adgangskode eller adgangskodefri).
Okta Verify er godkendelsesappen til Okta og er nem at bruge til multifaktorgodkendelse. Forhåbentlig har du allerede etableret Okta Verify i dit miljø, men selvom du ikke har gjort det, kan du aktivere det gennem en Multifactor Enrollment Policy for brugere. Hvis det defineres som "valgfrit", har brugere, der opfylder retningslinjerne, lov til at bruge det, hvis de har installeret Okta Verify på deres Android- eller iOS-smartphone.²
Som regel tager feedback fra support vedrørende aktivering af funktioner ikke lang tid. Men afhængigt af tidszone og supportniveau kan der stadig være ventetid.
Når funktionen er aktiveret, er du klar til at starte.
¹ Okta Factor Sequencing: https://help.okta.com/en/prod/Content/Topics/Security/mfa-factor-sequencing.htm
² Okta Verify: https://help.okta.com/en/prod/Content/Topics/Mobile/okta-verify-overview.htm
I stedet for at gå ud til et bredt publikum fra start, ønsker vi gradvist at lægge adgangskodefri brugere ind. Derfor opretter vi en testgruppe, som for eksempel kan kaldes "Enroll Passwordless" med en eller nogle få brugere.
Figur 2: Opret testgruppe for "Enroll Passwordless"
Når Okta-support har aktiveret Factor Sequencing, vil grænsefladen og indstillingerne i forbindelse med retningslinjer for login ændre sig lidt. De eksisterende alternativer vil dog ikke blive påvirket, udover at der nu er flere rådighed.
For at aktivere adgangskodefri for testgruppen, kan man også oprette en ny login retningslinje under Security → Authentication → Sign-On og tildele den til den nye testgruppe.
Figur 3: Opret en loginpolicy for testgruppen for adgangskodefri
1. Definer navne og generelle indstillingerNår du har klikket dig ind på “Create Policy and Add Rule”,, åbnes Add Rule boksen automatisk for at oprette den første regel.
Her skal du definere et navn og andre generelle indstillinger. Dette afhænger lidt af dit miljø, så det er muligt, at du vil ændre det. I vores eksempel bruger vi standard.
Figur 4: Login regler - Standardindstillinger
Det næste trin er der, hvor magien sker. Her vælger vi "Factor Sequence" som godkendelsesmetode, så vi nu kan definere, hvilken godkendelsessekvens en bruger tilbydes.
Der kan kun være én (adgangskodefri) eller flere, for eksempel hvis du ønsker at give brugerne af gruppen valget mellem adgangskodefri og adgangskodefri med MFA
Figur 5: Adgangskodefri godkendelsesregel
Hvis du vil definere en godkendelsessekvens uden adgangskode, skal du bare vælge "Okta Verify Push" og ingen “Additional Authentication”. Octa Verify betragtes allerede som en sikker form for godkendelse, så du behøver ikke en ekstra faktor for at opfylde en stærk sikkerhedsindstilling.
I vores eksempel vil vi nu også tilføje en ekstra sekvens med adgangskode og MFA. Derved giver vi brugerne et valg, hvis de ikke har en smartphone eller ikke kan downloade og installere Okta Verify lige nu.
For at gøre det skal du klikke på “Add Authentication Chain” og vælge “Password” og “SMS Authentication”.
Figur 6: Tilleggskjede for autentisering for passord med MFA
Definer sessionens levetid ud fra dine behov, og klik på "Create Rule". Når det er gjort, skal du sikre, at både retningslinjen og reglen er "ACTIVE" og står højt på prioritetslisten, så de tiltænkte brugere vil være omfattet af retningslinjerne. Hvis en anden policy prioriteres højere og er bedre egnet for brugeren, de får ikke adgangskodefrie muligheder.
Nu kan du gå til login-siden i Okta og indtaste et brugernavn på en af brugerne i testgruppen og klikke på "next".
Hvis brugeren allerede har Okta Verify Push registreret, vil du opdage, at du kan sende push-meddelelser med det samme.
Vær opmærksom på, at du har et udvalg til rådighed ved siden af det runde Okta-ikon. Dette er den anden mulighed, vi definerede i loginpolitikken, "Adgangskode med SMS". Husk også at teste dette alternativ efter du har testet adgangskodefri.
Figur 7: Push uden adgangskode
Klik derefter på "Send Push", før du går ind og accepterer denne anmodning i Okta Verify, og så er du færdig.
Det var det hele. Snup en kop kaffe og nyd dit arbejde!
Du har netop aktiveret en adgangskodefri løsning.
Spred glæden og inviter andre ind i gruppen, så de også kan teste godkendelsesmetoderne og selv opleve, hvor let det er.
