Bonnes pratiques pour la création de campagnes

Gardez ces bonnes pratiques à l'esprit avant de créer des campagnes.

Si vous avez activé Govern Okta admin roles, utilisez une campagne de ressources pour examiner les affectations des rôles d'administrateur aux utilisateurs.

Govern Okta admin roles est en disponibilité générale si vous êtes abonné à Okta Identity Governance. Sinon, en fonction de l'éligibilité de votre org, il se peut que les Govern Okta admin roles ne soient pas disponibles. Contactez votre responsable de compte ou votre gestionnaire de la réussite clients pour en savoir plus.

Paramètres généraux

  • Choisissez un nom de campagne qui soit explicite. Les noms des campagnes sont visibles pour vos réviseurs.

  • Pour la description de la campagne, indiquez des informations qui aideront le réviseur à comprendre l'objectif de la campagne. Par exemple, si vous avez configuré une campagne de manière à examiner les permissions Salesforce des utilisateurs, vous pouvez le préciser dans la description de la campagne afin d'apporter un contexte aux réviseurs.

  • Assurez-vous que la ressource associée à la campagne existe dans Okta et qu'elle n'a pas été désactivée ou supprimée.

  • Gardez Limites et problèmes connus à l'esprit.

  • Consultez la section Considérations relatives aux campagnes récurrentes.

  • Si vous exécutez des campagnes de ressources pour répondre à des exigences d'audit et de conformité, pensez à cocher la case Créer le package de rapports pour l'auditeur . Cela vous permet de générer des rapports contenant des informations sur les ressources, les utilisateurs et les réviseurs inclus dans la permission de la campagne. Ils fournissent également des informations sur les accès des utilisateurs au début de la campagne, les décisions concernant les révisions et les résultats de la remédiation, ainsi que sur les accès des utilisateurs à la fin de la campagne. Consultez Générer le package de rapports pour l'auditeur.

Paramètres des ressources

  • Si votre org possède des Libellés de ressource activées et affectées aux ressources, vous pouvez utiliser les étiquettes de ressource pour filtrer et spécifier les ressources qui doivent être incluses dans une campagne de ressources. Okta fournit les valeurs des étiquettes Crown Jewell et Privileged par défaut. Toutefois, pour voir une liste complète des étiquettes, les ressources balisées avec des étiquettes pour votre org ou pour affecter des étiquettes aux ressources, utilisez les API d'étiquettes.

  • Seuls les super administrateurs ou les administrateurs des certifications accès peuvent consulter les étiquettes.

  • Si vous créez une campagne de ressources pour certifier les comptes de service, n'oubliez pas que seules les apps dont le compte de service est géré dans Okta Privileged Access sont disponibles. Les comptes de service qui sont associés aux apps sont disponibles en tant que ressource uniquement avec un abonnement à Okta Privileged Access. Consultez Certifier des comptes de service.

Paramètres du réviseur

  • Assurez-vous d'avoir choisi un réviseur de secours actif dans Okta.

  • Pour affecter le responsable de l'utilisateur en tant que réviseur, vous pouvez utiliser le type de réviseur Responsable ou Personnalisé :

    • Type de réviseur Responsable : assurez-vous que l'attribut utilisateur managerId est défini comme nom d'utilisateur Okta ou ID Okta du responsable de l'utilisateur.

    • Type de réviseur Personnalisé : assurez-vous que l'attribut auquel vous faites référence contient le nom d'utilisateur ou ID Okta du responsable Okta. Par exemple, lorsque vous faites référence à l'attribut utilisateur.profile.manager, le nom d'utilisateur Okta ou l'ID Okta du responsable doit être renseigné sur la page de profil de l'utilisateur.

      Dans le cas contraire, la campagne ne parviendra pas à identifier le responsable et la révision sera affectée au réviseur de secours.

  • Pour examiner les droits d'une app dans une campagne, assurez-vous que Governance Engine est activé pour l'app et que vous avez créé des droits. Consultez Débuter avec la Gestion des droits.

  • Pour utiliser le type de réviseur Propriétaire du groupe, assurez-vous que les propriétaires du groupe sont configurés dans Okta. Consultez Configurer les propriétaires de groupes Okta.

  • Gardez les considérations suivantes à l'esprit si vous utilisez Propriétaire de ressource comme type de réviseur :

    • Les propriétaires de ressources comprennent les propriétaires d'apps et les propriétaires de groupes. Okta affecte les propriétaires de groupes, d'applications, de droits ou de paquets de droits en tant que réviseurs en fonction de la ressource révisée dans la campagne.

    • Lorsque la campagne est lancée, le propriétaire de l'app est désigné comme réviseur si le paquets de droits ou le propriétaire des droits n'est pas disponible. Si le propriétaire de l'app n'est pas non plus disponible, Okta assigne l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

    • Pour les abonnés à Okta Privileged Access : lorsque vous sélectionnez Propriétaires de ressource comme type de réviseur pour la certification des comptes de service, Okta utilise les valeurs spécifiées dans les attributs Groupes de propriétaires ou Utilisateurs propriétaires du compte de service à affecter au réviseur. Si ces valeurs ne sont pas définies ou ne sont pas disponibles pour un compte de service, la révision est affectée au réviseur de secours.

  • Lorsque vous définissez des réviseurs, cochez la case Désactiver l'auto-évaluation pour vous assurer que les utilisateurs ne révisent et n'approuvent pas leur propre accès aux ressources critiques.

  • Pour les campagnes comportant des révisions à plusieurs niveaux, gardez les points suivants à l'esprit :

    • Vous pouvez configurer deux niveaux de révision dans une seule campagne.

    • Les éléments de révision sont envoyés au réviseur de second niveau uniquement une fois que le réviseur de premier niveau les a approuvés ou révoqués. Il est important que les réviseurs de premier niveau prennent des décisions sur les points à réviser dans le délai imparti afin de ne pas bloquer la progression de la campagne.

    • Le réviseur de second niveau peut consulter la décision du réviseur de premier niveau et la justification d'un élément de révision.

    • Le réviseur final varie en fonction de la configuration de la campagne.

    • Les options de remédiation que vous configurez pour une campagne s'appliquent aux décisions prises par le réviseur final. Consultez Comprendre la remédiation.

  • Si vous savez qu'un réviseur ne sera pas disponible pendant un certain temps, vous pouvez lui affecter un délégué depuis l'Admin Console. Consultez Délégués dan Governance et Affectuer un délégué depuis l'Admin Console.

Rubriques liées

Créer des campagnes préconfigurées

Créer des campagnes de ressources

Créer des campagnes utilisateurs