Débuter avec les certifications d'accès
Utilisez les certifications d'accès pour créer des campagnes d'audit afin d'examiner et de gérer automatiquement les accès des utilisateurs aux ressources, de manière régulière ou selon les besoins.
Suivez cette séquence de tâches de configuration pour commencer à utiliser les certifications d'accès :
|
Tâches de l'administrateur |
Description |
|---|---|
| Campagnes | Comprendre les types de campagnes que vous pouvez utiliser pour vous assurer que vos utilisateurs ont le bon niveau d'accès à des ressources telles que les apps et les groupes. |
| Limites et problèmes connus | Gardez ces points à l'esprit avant de configurer des campagnes. |
| Contexte personnalisable à destination du réviseur | Personnalisez vos campagnes avec les données dont les réviseurs ont besoin pour prendre de meilleures décisions en matière de gouvernance. |
|
Facultatif. Mettre à jour les attributs de profil des groupes |
Définissez des noms d'affichage et des descriptions conviviaux pour les groupes inclus dans les campagnes de Certifications d'accès afin de permettre aux réviseurs d'approuver ou de révoquer plus facilement l'accès. |
| Créer des campagnes préconfigurées | Les campagnes préconfigurées sont des campagnes prêtes à l'emploi nécessitant une configuration minimale. Okta propose deux types de campagnes préconfigurées :
|
| Bonnes pratiques pour la création de campagnes | Gardez ces bonnes pratiques à l'esprit avant de créer des campagnes. |
| Créer des campagnes de ressources |
Utilisez ce type de campagne pour examiner tous les utilisateurs ayant accès à une ressource et identifier les affectations de droits des utilisateurs qui sont en conflit avec vos règles de séparation des tâches. Vous pouvez utiliser des campagnes de ressources pour régir les rôles administrateur, certifier les comptes de service ou vous aider à répondre à vos exigences d'audit et de conformité. Si vous avez souscrit un abonnement Okta pour les agents IA et avez terminé la configuration requise, consultez Certifier les agents IA avant de créer une campagne. |
| Créer des campagnes utilisateurs | Utilisez ce type de campagne pour examiner toutes les ressources auxquelles un utilisateur a accès. Les campagnes d'utilisateurs permettent de gérer efficacement l'accès des utilisateurs aux ressources, de régir les rôles administrateur et d'adopter un modèle d'accès basé sur les principes du moindre privilège pour votre org. |
| Références | Consultez les rubriques suivantes pour comprendre les concepts clés et optimiser vos campagnes : |
| Attribuer un délégué depuis la console administrateur | Les super administrateurs peuvent désigner un autre utilisateur comme délégué afin qu'il accomplisse des tâches de gouvernance à leur place. Les tâches de gouvernance comprennent les éléments de révision des campagnes de certification d'accès ainsi que les approbations, questions et tâches liées aux requêtes d'accès. Consultez également Tâches de gouvernance des délégués. |
| Voir la progression d'une campagne active | Suivez la progression de vos campagnes actives et des éléments de révision en attente. |
| Modifier une campagne planifiée | Modifiez une campagne qui n'a pas encore été lancée. |
| Générez le rapport détaillé sur les campagnes antérieures, le rapport de synthèse sur les campagnes passées ou le package de rapports pour l'auditeur | Le rapport détaillé sur les campagnes antérieures fournit des informations détaillées sur toute campagne de certification. Le rapport de synthèse sur les campagnes passées permet d'obtenir une vue d'ensemble des configurations et statuts des campagnes de certification d'accès. Le package de rapports pour l'auditeur est un ensemble de divers rapports contenant des informations sur les ressources, les utilisateurs et les réviseurs inclus dans la campagne, les détails relatifs aux accès des utilisateurs, les décisions concernant les révisions et les résultats de la remédiation. |
Comprendre les tâches du réviseur du point de vue de l'administrateur :
|
Tâches du réviseur |
Description |
|---|---|
| Examiner les campagnes | Comprendre comment les réviseurs peuvent vérifier les éléments qui leur sont affectés. |
| Réaffecter les éléments de révision | Comprendre comment les réviseurs peuvent réaffecter les éléments de révision qui leur ont été affectés. |
| Gérer les délégués | Comprendre comment les réviseurs peuvent affecter un délégué ou examiner un délégué que vous (super administrateur) leur avez affecté. |
Limites et problèmes connus
-
Le lancement de la campagne échoue si les ressources ou les réviseurs inclus dans cette campagne ont le statut Désactivé ou Supprimé au moment où la campagne démarre. Vous recevez une notification par e-mail contenant une liste d'erreurs lorsque le lancement d'une campagne échoue. Vous pouvez également consulter l'onglet Clôturées de la page Campagnes de certification d'accès ou bien le tableau Événements du System Log afin d'obtenir de plus amples informations concernant l'erreur.
- La révocation d'accès automatique est limitée aux ressources (groupes ou apps) qui ont été individuellement affectées à un utilisateur. Procédez à une remédiation manuelle dans les cas où un utilisateur s'est vu obtenir l'accès à une ressource par l'intermédiaire de l'appartenance à un groupe ou des règles d'un groupe. Consultez la section Comprendre la remédiation pour obtenir de plus amples informations sur la manière d'identifier ces cas et de procéder à une résolution manuelle.
-
Si vous avez souscrit un abonnement Okta pour les agents IA, utilisez des campagnes de ressources pour avoir une visibilité sur qui peut accéder aux applications auxquelles des agents IA actifs sont liés. Bien que vous puissiez utiliser les fonctionnalités suivantes pour examiner les accès, elles ne font pas encore de distinction entre les applications liées et non liées :
-
Campagnes utilisateur
-
Examen des accès de sécurité
-
Ensemble de rapports de l'auditeur
-
Les limites suivantes s'appliquent à votre org :
|
Type de limite |
Limite | Maximum |
|---|---|---|
|
Général
|
Campagnes actives dans une org | 500 |
| Examiner les éléments d'une campagne |
1 à 100 000 Pour mieux gérer les campagnes importantes, divisez les révisions en plusieurs campagnes. |
|
|
Campagnes de ressources
|
Ressources incluses dans une campagne* | 250 |
|
Apps avec droits* |
20 | |
|
Apps avec comptes de service* |
20 | |
|
|
Libellés dans une campagne | 10 |
|
Campagnes utilisateur
|
Utilisateurs individuels | 100 |
| Groupe d'utilisateurs | 5 | |
| Ressources exclues |
100 Vous pouvez exclure jusqu'à 100 apps ou groupes, ou une combinaison des deux. |
* — Cette limite s'applique lorsque vous sélectionnez individuellement des ressources à inclure dans une campagne.