Campagnes

Les campagnes correspondent à des révisions des accès des utilisateurs du point de vue de la certification et de la conformité. L'exécution de campagnes vous permet de vous assurer que vos utilisateurs disposent du bon niveau d'accès aux ressources telles que les apps (et les droits associés) et les groupes.

Chaque campagne vous permet de définir les éléments suivants :

  • La date de début et la durée de la campagne
  • Les ressources (apps ou groupes) que vous souhaitez inclure à la révision
  • Les utilisateurs ou les équipes que vous souhaitez inclure à la campagne
  • Les réviseurs qui doivent examiner l'accès pour chaque utilisateur et chaque ressource

Vous pouvez exécuter les types de campagnes suivants :

Campagnes préconfigurées
Les campagnes préconfigurées sont des campagnes prêtes à l'emploi. Vous pouvez les lancer sans configurations manuelles. Pour vous aider à démarrer avec les certifications d'accès, Okta prédéfinit les paramètres de campagne pour deux campagnes. Utilisez la campagne Détection des utilisateurs inactifs pour examiner les apps de votre org ayant le plus grand nombre d'utilisateurs inactifs. Utilisez la campagne Examen des administrateurs Okta pour vérifier l'accès des administrateurs à l'Admin Console.
Campagnes de ressources
Les campagnes de ressources se concentrent sur la définition de la permission des ressources de votre campagne afin que vous puissiez examiner tous les utilisateurs ayant accès à ces ressources et rôles administrateur. Ce type de campagne vous aide à examiner les accès aux ressources sensibles, à identifier les affectations de droits en conflit en fonction des règles de séparation des tâches et à répondre aux exigences de conformité.

Si vous avec un abonnement à Okta Privileged Access, vous pouvez également certifier l'accès aux comptes de service qui sont gérés dans Okta Privileged Access. Consultez Certifier des comptes de service.

Campagnes utilisateur
Les campagnes utilisateurs se concentrent sur la définition de la permission des utilisateurs de votre campagne afin que vous puissiez effectuer une révision complète de l'ensemble des ressources et des rôles administrateur affectés à ces utilisateurs. Ce type de campagne vous permet d'examiner accès des utilisateurs aux ressources lorsque des événements spécifiques se produisent (changement de service, de rôle ou de projet, par exemple).

Si vous êtes abonné à Okta Identity Governance, vous pouvez utiliser les campagnes de ressources et utilisateurs pour examiner les affectations des rôles administrateur d'un utilisateur pour régir la gouvernance des rôles administrateur Okta.

Si vous avez activé la fonctionnalité Domaines Realm, vous pouvez aussi restreindre la campagne afin d'inclure les utilisateurs d'un domaine Realm spécifique utilisant Okta Expression Language.

Vous pouvez planifier des campagnes à l'avance, les faire réapparaître à des intervalles spécifiques, puis les modifier avant leur lancement.

Une campagne devient active à la date de début et est clôturée à la date de fin prévue ou dès que tous les réviseurs de la campagne ont terminé leurs révisions, selon la première éventualité. Vous avez la possibilité de lancer une campagne avant sa date de début, et de terminer une campagne active avant sa date de fin prévue. Cependant, une fois la campagne lancée, vous pouvez uniquement réaffecter des éléments de réviseur ou mettre fin à la campagne. Une campagne terminée ne peut plus être modifiée.

Vous pouvez consulter les campagnes actives, planifiées et clôturées depuis la page Campagnes de certification d'accès. Les campagnes récurrentes sont marquées avec le libellé Récurrentes dans l'onglet Planifiées. Cela permet d'indiquer qu'elles font partie d'une série de campagnes récurrentes. Les campagnes clôturées sont stockées pendant 12 mois.

Après avoir planifié une campagne, elle devient active à la date de début planifiée.

Si le lancement d'une campagne planifiée échoue, vous recevez un e-mail de notification. Pour consulter les erreurs, vous devez effectuer l'une des étapes suivantes :

  • Cliquez sur le bouton Voir la campagne à partir de l'e-mail de notification.
  • Ouvrez la campagne à partir de l'onglet Clôturées de la page Campagnes de certification d'accès.
  • Rendez-vous sur le journal système.

Résolvez les erreurs avant de créer la campagne à nouveau. Vous souhaiterez peut-être prendre note des expressions du Okta Expression Language en provenance de la section Aperçu pour les utilisateurs et les réviseurs avant de recréer la campagne. Il est possible de supprimer une campagne dont le lancement a échoué à partir du menu Actions.

Les réviseurs de campagnes peuvent accéder aux éléments de révision qui leur ont été affectés depuis l'app Okta Access Certification Reviews dans leur tableau de bord. Ils ont la possibilité d'approuver, de révoquer ou de réaffecter les éléments de révision.

Les super administrateurs et les réviseurs peuvent également affecter un délégué à des tâches de gouvernance au nom du réviseur. Voir Délégués Governance.

Si vous avez configuré les Collections de ressources, vous pouvez personnaliser les paramètres de votre campagne pour inclure des informations sur les collections de ressources affectant les apps et les droits. Les réviseurs disposent ainsi d'informations plus contextuelles lorsqu'ils décident d'approuver ou de révoquer l'accès d'un utilisateur.

Si vous, en tant que créateur de campagne, avez inclus des droits dans la campagne, les réviseurs peuvent également consulter ces droits ou le regroupement associé à la ressource et la manière dont le droit ou le regroupement a été affecté à l' utilisateur pour un élément de révision. Ils peuvent examiner l'accès aux droits et aux regroupements de la même manière qu'ils examinent l'accès des utilisateurs aux apps et aux groupes. Ils peuvent révoquer un droit ou un regroupement en tant qu'unités individuelles, mais ne peuvent pas révoquer un droit spécifique faisant partie d'un regroupement affecté à l'utilisateur. Les réviseurs doivent procéder à la remédiation manuelle des droits qui ont été affectés à un utilisateur par une règle de politique.

Vous pouvez exécuter des campagnes pour examiner les droits relatifs à une app uniquement si Governance Engine est activé pour cette app. Consultez Activer la Gestion des droits et Considérations et limites.

Il est également possible de consulter les campagnes déjà clôturées et de générer des rapports. Par ailleurs, vous pouvez créer des rapports propres à vos campagnes pour faciliter les préparations en matière d'audit et de conformité.

Gouvernance pour les rôles administrateur

Une fois la fonctionnalité activée, les super administrateurs peuvent examiner les affectations administrateur d'un utilisateur à l'aide d'une campagne de révision des ressources, des utilisateurs ou de l'administrateur Okta. Les certifications d'accès traitent les affectations d'administrateur comme des droits associés à la Okta Admin Console. Plus précisément, il traite le rôle d'administrateur et l'ensemble de ressources au sein de l'affectation administrateur d'un utilisateur comme une paire clé-valeur pour un droit.

Si vous n'êtes pas abonné à Okta Identity Governance, les campagnes utilisateurs ne sont pas disponibles. Consultez Considérations.

Après avoir activé la fonctionnalité, vous devrez peut-être attendre quelques heures avant de pouvoir exécuter une campagne de révision des rôles d'administrateur.

Rubriques liées

Créer des campagnes préconfigurées

Créer des campagnes de ressources

Créer des campagnes utilisateurs

Govern Okta admin roles