Lösenordsfri autentisering för Okta förlitar sig på ”Factor Sequencing” och ”Okta Verify”. För att ställa in ”Factor Sequencing” måste du se till att ditt licenspaket inkluderar ”Factor Sequencing”. Om så är fallet behöver du kontakta supporten och be att få ”Factor Sequencing aktiverad för din instans. Som regel har du möjlighet att själv aktivera Okta-funktioner, men det gäller ännu inte för ”Factor Sequencing”.
När du aktiverar en faktorsekvensering kan detta ändra inloggningsformulärets design och påverka alla användare. Istället för ett inloggningsformulär, som ber om ett användarnamn och ett lösenord, uppmanas användaren först att ange ett användarnamn, sedan måste användaren klicka på nästa, och först då är faktorn konfigurerad för användarobjektet (lösenord eller lösenordsfritt) visas.
Okta Verify är Oktas autentiseringsapp och är lätt att använda för multifaktorautentisering. Förhoppningsvis har du redan etablerat Okta Verify i din miljö, men annars kan du aktivera det genom en Multifactor Enrollment Policy för användare. Om policyn definieras som "valfri" kan användarna som har Okta Verify installerat på sin Android- eller iOS-smarttelefon använda applikationen förutsatt att de även uppfyller policyn.²
Feedback från supporten angående aktivering av funktioner tar vanligtvis inte lång tid. Beroende på tidszon och supportnivå kan det fortfarande förekomma viss väntetid.
När funktionen är aktiverad är du redo att börja.
Figur 1 - Inloggningsformulär med Factor Sequencing (eller IDP Discovery) aktiverat. Lösenordet kommer att begäras efter att du klickat på "next".
¹ Okta Factor Sequencing: https://help.okta.com/en/prod/Content/Topics/Security/mfa-factor-sequencing.htm
² Okta Verify: https://help.okta.com/en/prod/Content/Topics/Mobile/okta-verify-overview.htm
Istället för att gå ut till en bred målgrupp från början vill vi gradvis göra funktionen tillgänglig för slutanvändare. Därför skapar vi en testgrupp som kan kallas t.ex. “Enroll Passwordless” med en eller ett fåtal testanvändare inkluderade.
Figure 2 - Create test group "Enroll Passwordless"
När Factor Sequencing har aktiverats av Okta-support, ändras gränssnittet och alternativen för inloggningspolicyer lite. Befintliga sådana påverkas inte, men vi har nu fler alternativ tillgängliga.
För att aktivera Passwordless för den skapade gruppen skapar vi även en ny inloggningspolicy under Security → Authentication → Sign-On och tilldelar den till den nyskapade gruppen.
Figure 3: Create Sign-On Policy for Passwordless Group
Efter att du har klickat “Create Policy and Add Rule,” öppnas dialogrutan “Add Rule” automatiskt för att skapa policyns första regel.
Här måste du definiera ett namn och de generella alternativen. Dessa beror lite på din miljö, så du kanske vill ändra detta. I vårt exempel använder vi standardalternativen.
Figure 4: Inloggningsregel - Standardinställningar
Den andra delen är där magin händer, här väljer vi "Factor Sequence" som autentiseringsmetod och nu kan vi definiera vilken autentiseringsmetod en användare erbjuds.
Det kan vara bara en (lösenordsfri) eller flera, exempelvis om du vill erbjuda gruppmedlemmarna valet mellan lösenordsfritt och lösenord med MFA.
Figure 5: Lösenordsfri autentiseringsregel
För att definiera en lösenordsfri autentiseringskedja, välj helt enkelt "Okta Verify Push" och ingen "Ytterligare autentisering". Okta Verify anses redan vara en säker form av autentisering, så du behöver inte en extra faktor för att uppfylla en stark säkerhetsinställning.
I vårt exempel kommer vi nu även lägga till ytterligare en kedja med lösenord och MFA. Därmed erbjuder vi användarna ett ytterligare alternativ om de exempelvis inte har en smartphone eller inte kan ladda ner och installera Okta Verify just nu. För att göra det, klicka på “Add Authentication Chain” och välj “Password” och “SMS Authentication” som ytterligare autentisering.
Figur 6:Tilläggskedja för autentisering med lösenord och MFA
Definiera sessionens livslängd baserat på dina behov och klicka på "Create Rule". Se sedan till att både policyn och regeln är "ACTIVE" och högt upp på prioritetslistan så de avsedda användarna kommer att omfattas av riktlinjerna. Om en annan policy har högre prioritet och är bättre lämpad för användaren kommer de inte att få lösenordsfria alternativ.
Nu kan du gå till inloggningssidan i Okta och ange ett användarnamn på en av användarna i testgruppen och klicka på “next”.
Om användaren redan har registrerat Okta Verify Push, kommer du att upptäcka att du bara kan skicka push-meddelandet just nu.
Observera att du har ett urval tillgängligt bredvid den runda Okta-ikonen. Detta är det andra alternativet vi definierade i inloggningspolicyn "Lösenord med SMS". Se till att du testar det här alternativet också efter att du har testat Passwordless.
Figur 7: Lösenordsfri Push
Klicka på “Send Push”, bekräfta begäran i Okta Verify och du är klar.
Det är det hela. Ta en kopp kaffe och njut av ditt arbete!
Du har aktiverat lösenordsfri inloggning.
Sprid glädjen och bjud in andra i gruppen för att testa autentiseringsmetoderna och se hur enkelt det är.
