Aktiver Okta Passwordless autentisering på 5 minutter

Aktiver Okta Passwordless autentisering på 5 minutter

Passordfri autentisering er et populært tema, og fordelene er godt dokumentert. Men hvordan setter man det opp? Hensikten med denne guiden er å vise deg hvordan du enkelt og sikkert kan konfigurere Okta Passwordless.

Andreas er Cloud Architect i Cloudworks og Okta Technical Champion. Han hjelper kunder på deres digitale identitetsreise ved å designe og implementere komplekse IAM-løsninger. Disse er i stor grad automatiserte for å oppnå mest mulig innvirkning med minimal brukerfriksjon.

FORBEREDELSER

Passordfri autentisering i Okta er avhengig av Factor Sequencing og Okta Verify. For å konfigurere Factor Sequencing¹ må du sørge for at lisenspakken din dekker dette. Hvis det er tilfellet må du kontakte support og be om å få Factor Sequencing aktivert for din instans. Som regel har du mulighet til å aktivere Okta funksjoner selv, men dette gjelder enn så lenge ikke Factor Sequencing.

Når du aktiverer en Factor Sequencing kan dette endre utformingen av påloggingsskjemaet og påvirke alle brukere. I stedet for at et påloggingsskjema ber om

brukernavn og passord, vil det først be om et brukernavn, deretter må brukeren trykke på neste og først da vil faktoren som er konfigurert for brukerobjektet (passord eller passordfri) bli vist.

Okta-Sign-In-1

Okta Verify er autentiseringsappen til Okta og er enkel å bruke for multifaktor autentisering. Forhåpentligvis har du allerede etablert Okta Verify i ditt miljø, men selv om du ikke har gjort det kan du aktivere det gjennom en Multifactor Enrollment Policy for brukere. Hvis det er definert som "valgfritt", har brukerne som oppfyller retningslinjene lov til å bruke det, hvis de har installert Okta Verify på sin Android- eller iOS -smarttelefon.²

Tilbakemeldingen fra support angående aktiveringen av funksjoner, tar som regel ikke lang tid. Avhengig av tidssone og støttenivå, kan det likevel bli noe ventetid.

Når funksjonen er aktivert, er du klar til å starte.

Figur 1 - Påloggingsskjema med Factor Sequencing (eller IDP Discovery) aktivert. Passordet vil bli forespurt etter du har klikket på “neste”.

Minutt 1: OPPRETT EN TESTGRUPPE

Fremfor å gå ut til et bredt publikum fra start, ønsker vi å legge inn passordfrie brukere gradvis. Derfor oppretter vi en testgruppe som kan eksempelvis hete ""Enroll Passwordless" med én eller noen få brukere.

Create Test group

Figur 2: Opprett testgruppe for "Enroll Passwordless"

Minutt 2: OPPRETT RETNINGSLINJER FOR PÅLOGGING

Når Factor Sequencing er aktivert av Okta support, vil grensesnittet og alternativene knyttet til retningslinjene for pålogging endres noe. De eksisterende alternativene vil derimot ikke bli påvirket, annet enn at det nå finnes flere tilgjengelig.

For å aktivere passordfri for testgruppen, kan man også opprette en ny retningslinje for pålogging under Security → Authentication → Sign-On og tildele det til den nye testgruppen.

Create Sign On Policy for Passwordless Group

Figur 3: Opprett en innloggingspolicy for testgruppen for passordfri

Minutt 3: LEGG TIL REGEL FOR PASSORDFRI RETNINGSLINJE

Figure-4-Sign-On-Rule-Generic-options

1. Definer navn og generelle alternativer

Etter du har klikket deg inn på “Create Policy and Add Rule”, vil Add Rule-boksen automatisk åpnes for å opprette den første regelen.

Her må du definere et navn og andre generelle alternativer. Dette avhenger litt av miljøet ditt, så det er mulig at du vil endre det. I vårt eksempel bruker vi standard.

 




   Figur 4: Innloggingsregler - standard alternativer            

2. Definer en autentiseringsmetode

Figure-5-Passwordless-Authentication-rule

Den andre delen er der magien skjer. Her velger vi "Factor Sequence" som autentiseringsmetode, slik at vi nå kan definere hvilken autentiseringskjede en bruker blir tilbudt.

Det kan bare være én (passordfri) eller flere, for eksempel dersom du vil gi brukerne av gruppen valget mellom passordfri og passord med MFA.

Figur 5: Passordfri autentiserings regel                   

For å definere en passordfri autentiseringskjede velger du ganske enkelt “Okta Verify Push” og ingen “Additional Authentication”. Okta Verify regnes allerede som en sikker form for autentisering, så du trenger derfor ikke en ekstra faktor for å innfri en sterk sikkerhetsinnstilling.

3. Tilleggskjede med passord og MFA

Figure-6-Additional-Authentication-Chain-Password-with-MFA

I vårt eksempel vil vi nå også legge til en ekstra kjede med passord og MFA. Dermed gir vi brukerne valget dersom de ikke har en smarttelefon eller ikke kan laste ned og installere Okta Verify akkurat nå.

For å gjøre det må du klikke på “Add Authentication Chain” og velge “Password” og “SMS Authentication”.                                                                                                                      Figur 6: Tilleggskjede for autentisering for passord med MFA

Definer sesjonens levetid basert på dine behov, og klikk på "Create Rule". Etter at det er gjort må du sørge for at både retningslinjen og regelen er "ACTIVE" og ligger høyt i prioritetslisten, slik at de tiltenkte brukerne vil bli dekket av retningslinjene. Hvis en annen policy er prioritert høyere og passer bedre for brukeren, vil de ikke få opp de passordfrie alternativene.

Minutt 4: TEST

Nå kan du gå til påloggingssiden til Okta og skrive inn et brukernavn for en av brukerne i testgruppen og klikke på "next".

Figure-7-Passwordless-Push

Hvis brukeren allerede har Okta Verify Push registrert, vil du oppdage at du kan sende push-varsler med én gang.

Vær oppmerksom på at du har et utvalg tilgjengelig ved siden av det runde Okta-ikonet. Dette er det andre alternativet vi definerte i påloggingspolicyen, "Password with SMS". Sørg for at du også tester dette alternativet etter å ha testet passordfri.                                       

                                                           Figur 7: Passordfri Push                                 

Klikk så på “Send Push”, før du går inn og aksepterer denne forespørselen i Okta Verify, og så er du ferdig.

Minutt 5: REFLEKTER OG NYT!

Cloudie-Coffee-300x300

Det var det. Ta deg en kopp kaffe og nyt arbeidet ditt!

Du har nettopp aktivert en passordfri løsning.

Spre gleden og inviter andre inn i gruppen, slik at de også kan teste autentiseringsmetodene og selv erfare hvor lett det er.

New call-to-action