Gouvernance des accès pour les groupes AD

Grâce à la gestion bidirectionnelle des groupes, vous pouvez demander accès à des groupes issus d'AD à l'aide de Requêtes d'accès et vérifier accès à ces groupes à l'aide de Certifications d'accès. Vous pouvez également utiliser l'API pour ajouter ou supprimer des utilisateurs et configurer un déclencheur d'événement avec des Workflows Connectors pour automatiser les appels d'API.

Demandes d'accès
Utilisez des groupes AD dans les conditions de demande d'accès afin de définir la permission du demandeur et les niveaux d'accès. En d'autres termes, les membres des groupes issus d'AD peuvent demander l'accès aux ressources, y compris l'accès aux groupes provenant d'AD, depuis leur End-User Dashboard. Lorsqu'une demande d'accès à un groupe provenant d'AD est approuvée sur Okta, le demandeur obtient l'accès à ce groupe sur AD.
Certifications d'accès
Vous pouvez régir l'accès aux groupes issus d'AD à l'aide des certifications d'accès. Pour une campagne utilisant comme ressource des groupes issus d'AD, lorsque les réviseurs soumettent une décision concernant un membre d'un groupe issu d'AD, la remédiation survient immédiatement dans Okta et dansActive Directory.
Pour utiliser la gestion bidirectionnelle des groupes avec Active Directory (AD), configurez une campagne Certifications d'accès avec un groupe AD à des fins d'évaluation. Les réviseurs peuvent évaluer l'appartenance à un groupe et sélectionner des utilisateurs à révoquer. Vous pourrez ensuite consulter le résumé de la campagne pour consulter la liste des utilisateurs supprimés du groupe AD spécifié.

Conditions préalables

Pour gérer les requêtes accès et certifier les groupes provenant d'AD, vous devez disposer de la configuration suivante :

  1. Une intégration Active Directory avec la configuration suivante :

    • Active Directory Agents Okta déployés et opérationnels

    • Active Directory défini comme source de profil

    • Approvisionnement JIT activé

  2. Votre AD Agent a besoin des permissions obligatoires pour mettre à jour les appartenances aux groupes. Consultez la section Envoi de groupes en mode push ou gestion bidirectionnelle des groupes.

  3. Vous devez exécuter une importation incrémentielle ou complète avant de réaliser d'autres opérations sur un utilisateur, comme son ajout ou sa suppression d'un groupe AD.

  4. Vous pouvez supprimer des utilisateurs d'un groupe uniquement s'ils sont des membres directs de ce groupe. Si un utilisateur hérite d'un groupe AD en raison d'une structure d'appartenance à un groupe imbriquée, il se peut que sa suppression ne soit pas possible.

Considérations relatives à la gestion des demandes d'accès aux groupes AD

  1. Vous pouvez spécifier un groupe AD dans la permission du demandeur ou dans le niveau d'accès d'une condition pour une app. Consultez Créer une condition de demande d'accès.

  2. Pour utiliser le propriétaire de la ressource comme chargé de requêtes dans une séquence d'approbation, assurez-vous de définir le champ managed-by pour le groupe dans AD. C'est l'équivalent d'un propriétaire de groupe dans Okta. Si le champ managed-by n'est pas renseigné dans AD ou si l'utilisateur spécifié dans le champ n'a pas été importé dans Okta en tant utilisateur Okta, la tâche reste non affectée.

  3. Vous ne pouvez pas ajouter un utilisateur Okta à un groupe AD si cet utilisateur n'a pas encore été envoyé (synchronisé) sur AD.

  4. Si un utilisateur demande et obtient l'accès à un groupe enfant (imbriqué) provenant d'AD, il est également ajouté au groupe parent. L'accès se propage uniquement vers le haut de la hiérarchie d'imbrication.

Considérations relatives à la certification d'accès aux groupes AD

  1. Configurez une campagne Certifications d'accès avec un groupe AD en tant que ressource pour l'examen. Les utilisateurs du groupe AD spécifié sont inclus dans la campagne Certifications d'accès . Consultez la section Créer des campagnes de ressources.

  2. Les réviseurs voient les actions en attente concernant l'examen de l'appartenance des utilisateurs au groupe. Si le réviseur marque un utilisateur en vue de sa révocation, cet utilisateur est supprimé du groupe AD local. Okta actualise le profil des utilisateurs et met à jour leur appartenance à un groupe.

  3. Vérifiez le résumé de la campagne Certifications d'accès pour les utilisateurs supprimés du groupe AD spécifié. Vous pouvez également le vérifier au travers des appartenances à des groupes dans l'Admin Console sous Répertoire Groupe Personnes.

  4. Les réviseurs devront peut-être quand même corriger l'accès manuellement dans les situations suivantes :

    • Lorsque l'appartenance de l'utilisateur à un groupe a été accordée par le biais d'un groupe imbriqué. Dans ce cas, le réviseur doit révoquer l'accès de l'utilisateur depuis le groupe imbriqué concerné.
    • Lorsqu'aucun agent n'est connecté à Okta.
    • Lorsque la connexion à AD expire.
    • Lorsque l'agent ne dispose pas des permissions obligatoires pour révoquer un accès dans AD.

Rubriques connexes

Gestion des groupes bidirectionnel avec Active Directory