Créer des campagnes utilisateurs

Les campagnes utilisateurs affichent toutes les ressources auxquelles un utilisateur a accès. L'exécution fréquente de campagnes utilisateurs permet de s'assurer que les utilisateurs disposent d'un accès basé sur le principe du moindre privilège. Ces campagnes vous permettent de gérer l'accès des utilisateurs aux ressources de manière efficace, en particulier lorsque la relation de l'utilisateur avec votre organisation évolue à la suite d'événements tels qu'un changement de rôle, de service ou de projet.

Vous pouvez sélectionner un utilisateur ou un groupe d'utilisateurs en particulier et examiner les ressources qui lui sont affectées. L'accès basé sur le principe du privilège le plus élevé est demandé par l'utilisateur ou lui est affecté de manière individuelle. Souvent, les réviseurs n'ont pas besoin d'examiner les accès aux ressources qui sont accordées à travers l'appartenance à un groupe ou des règles de groupe. Les campagnes utilisateurs vous permettent de configurer une campagne dans laquelle les réviseurs doivent uniquement examiner l'accès aux ressources et aux droits attribués individuellement aux utilisateurs.

Avant de commencer

  • Si des Libellés de ressource sont activées dans votre org, les libellés ne sont pas pris en charge pour les campagnes utilisateurs.

  • Si Propriétaires de la ressource est activé dans votre org, le paramètre de type de réviseur Propriétaire du groupe est appelé Propriétaire de la ressource. Les propriétaires de groupes, d'applications, de droits et de paquets de droits sont considérés comme des propriétaires de la ressource. Okta affecte les propriétaires de la ressource en tant que réviseurs lors du lancement de la campagne :

    • Si le propriétaire des droits n'est pas disponible et qu'un regroupement inclut le droit, le propriétaire du regroupement est désigné comme réviseur si le regroupement est inclus dans la permission des ressources de la campagne.

    • Si le propriétaire des droits n'est pas disponible et qu'aucun regroupement n'inclut de droits, le propriétaire de l'app est alors désigné comme réviseur.

    • Si le propriétaire du paquets de droits n'est pas disponible, le propriétaire de l'app est alors désigné comme réviseur.

    • Si le propriétaire de l'app n'est pas non plus disponible, Okta assigne l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

    • Si le propriétaire du groupe n'est pas disponible, Okta affecte l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

  • Facultatif. Si vous savez qu'un réviseur ne sera pas disponible pendant un certain temps, vous pouvez lui affecter un délégué depuis l'Admin Console. Consultez Attribuer un délégué depuis la console administrateur. Pour les campagnes dont le Type de réviseur est défini sur Groupe ou Propriétaire du groupe ou Propriétaire de la ressource, si vous ou un membre d'un groupe affectez un délégué ne faisant pas partie du groupe, tous les éléments de révision futurs seront affectés au délégué ainsi qu'aux membres actuels du groupe.

  • Vous pouvez exclure jusqu'à 50 apps ou groupes, ou une combinaison des deux.

  • Pour les apps pour lesquelles la Gestion des droits est activée, les éléments de révision d'un utilisateur ne sont disponibles pour le réviseur que si l'utilisateur dispose de droits ou de regroupements qui lui sont attribués. Pour réviser l'accès d'un utilisateur auquel aucun droit ou regroupement n'a été attribué, créez une campagne de ressources en désactivant l'option Examiner les droits.

  • Une campagne peut inclure entre 1 et 100 000 éléments de révision. Pour mieux gérer les campagnes importantes, divisez les révisions en plusieurs campagnes.

Configurer la campagne

  1. Dans l'Admin Console, accédez à Identity Governance Certification d'accès Campagnes de certification.

  2. Cliquez sur Créer une campagne.

  3. Sélectionnez Campagnes utilisateurs comme type de campagne dans le menu déroulant Créer une campagne.

  4. Configurez les paramètres suivants dans l'assistant, puis cliquez sur Planifier la campagne.

Configurer les paramètres généraux

Configurez les paramètres suivants :

  1. Nom de la campagne : nommez la campagne. Dans l'idéal, saisissez un nom qui soit facile à comprendre pour vos réviseurs.
  2. Description : décrivez l'objectif de la campagne.
  3. Date de début : choisissez la date de début de votre campagne.
  4. Heure de début : choisissez l'heure de début et le fuseau horaire de votre campagne.
  5. Durée : indiquez combien de temps durera votre campagne. Les campagnes comportant des réviseurs à plusieurs niveaux nécessitent une durée de sept jours minimum.
  6. Facultatif. Sélectionnez En faire une récurrence et définissez le calendrier de récurrence de la campagne. Pour planifier des campagnes récurrentes de manière efficace, consultez Considérations relatives aux campagnes récurrentes

Configurer les paramètres utilisateur

Sélectionnez l'une des options suivantes pour définir les utilisateurs inclus dans la campagne :

  • Utilisateurs individuels : sélectionnez un ou plusieurs utilisateurs. Vous pouvez sélectionner jusqu'à 100 utilisateurs individuels.

  • Groupes spécifiques : sélectionnez un ou plusieurs groupes. Vous pouvez sélectionner jusqu'à cinq groupes.

  • Personnalisé (Okta Expression Language) : saisissez une expression Okta Expression Language pour inclure les utilisateurs ou les groupes qui répondent à des critères spécifiques. Dans l'expression, true (vrai) doit inclure l'utilisateur à la campagne et false (faux) doit l'exclure de la campagne. Consultez la section Définir la permission de l'utilisateur.

    Si la fonctionnalité Domaines Realm est activée, utilisez cette option pour restreindre la permission de la campagne à un domaine Realm spécifique.

Configurer les paramètres de ressources

  1. Sélectionnez l'une des options suivantes pour définir les ressources incluses dans la campagne.

    • Toutes les apps et tous les groupes : sélectionnez cette option pour inclure toutes les apps et les groupes qui sont affectés aux utilisateurs que vous avez sélectionnés précédemment, ou si vous souhaitez examiner les affectations des rôles administrateur d'un utilisateur.

    • Toutes les apps : sélectionnez cette option pour inclure toutes les apps affectées aux utilisateurs que vous avez sélectionnés précédemment, ou si vous souhaitez examiner les affectations des rôles administrateur d'un utilisateur.

    • Tous les groupes : sélectionnez cette option pour inclure tous les groupes qui sont affectés aux utilisateurs que vous avez sélectionnés précédemment. Ne sélectionnez pas Tous les groupes si vous souhaitez inclure des droits à la campagne ou régir des rôles administrateur. L'option Inclure uniquement les droits affectés individuellement n'est pas disponible si vous sélectionnez Tous les groupes.

      Sélectionnez Toutes les apps et tous les groupes ou Toutes les apps si vous créez une campagne destinée à régir les rôles d'administrateur.

      Lorsque vous sélectionnez l'option Toutes les applications et tous les groupes ou Toutes les applications dans une campagne utilisateur qui n'est pas destinée à gouverner des rôles administrateur, gardez ces considérations à l'esprit afin d'éviter toute erreur au moment du lancement de la campagne :

      • Si la Gestion des droits n'est activée pour aucune application, assurez-vous qu'au moins une app est affectée à un utilisateur inclus dans la campagne.

      • Si la Gestion des droits est activée pour certaines applications, Okta inclut automatiquement les droits dans la portée des ressources de la campagne utilisateur. Assurez-vous qu'au moins une app est affectée à un utilisateur inclus dans la campagne.

  2. Facultatif. Sélectionnez Inclure uniquement les apps affectées individuellement pour restreindre la permission de la ressource aux apps ayant été individuellement affectées aux utilisateurs.

    Les apps affectées par un groupe ne sont pas incluses. Utilisez cette option pour réduire les révisions redondantes lors de l'examen des apps et des groupes affectés à un utilisateur (le groupe qui affecte les apps et les groupes ayant déjà été examiné).

  3. Facultatif. Sélectionnez Inclure uniquement les groupes affectés individuellement pour restreindre la permission de la ressource aux groupes qui ont été individuellement affectés aux utilisateurs. Les groupes affectés par une règle de groupe ne sont pas inclus. Cette option est utile lorsque vous faites confiance aux ressources affectées par les règles de groupe et que vous souhaitez uniquement examiner les groupes qui ont été affectés en dehors des règles de groupe.

  4. Facultatif. Sélectionnez Inclure uniquement les droits affectés individuellement pour exclure les droits qui ont été affectés par la politique de droits ou pour exclure les rôles d'administrateur affectés par le biais d'affectations de groupes.

    Pour examiner les droits d'une app dans une campagne, assurez-vous que Governance Engine est activé pour l'app et que vous avez créé des droits. Consultez Débuter avec la Gestion des droits.

    Pour examiner l'accès des utilisateurs auxquels aucun droit ou regroupement n'a été attribué, créez une campagne de ressources à la place en désactivant l'option Examiner les droits.

  5. Si vous créez une campagne afin de régir les rôles d'administrateur, sélectionnez Inclure les rôles d'administrateur Okta pour inclure les affectations des rôles administrateur d'un utilisateur dans la révision. Sinon, passez cette étape.

  6. Facultatif. Sélectionnez Exclure des apps spécifiques de la campagne et identifiez les apps qui doivent être exclues de la campagne.

  7. Facultatif. Sélectionnez Exclure des groupes spécifiques de la campagne et identifiez les groupes devant être exclus de la campagne.

Configurer les paramètres du réviseur

La campagne ne sera pas lancée si les réviseurs inclus dans cette campagne ont le statut Désactivé ou Supprimé au moment où la campagne doit commencer.

  1. Sélectionnez un type de réviseur :

    • Utilisateur : saisissez le nom du réviseur qui doit examiner les certifications d'accès de tous les utilisateurs de la campagne.

    • Responsable : affectez les éléments de révision au responsable de l'utilisateur indiqué dans le profil de l'utilisateur sur Okta. La révision est affectée au réviseur de secours si le profil de l'utilisateur sur Okta ne mentionne aucun responsable.

    • Groupe : affectez les éléments de révision à tous les membres d'un groupe d'utilisateurs spécifique. Un seul membre du groupe doit se charger de la révision et agir sur l'élément de révision. Ainsi, si un membre d'un groupe approuve ou révoque l'accès d'un élément de révision, celui-ci sera marqué comme terminé pour tous les réviseurs. Le menu déroulant affiche uniquement les groupes comptant entre un et dix membres. Si vous ajoutez d'autres membres au groupe, les éléments de révision sont affectés de manière aléatoire aux 10 membres du groupe.

    • Propriétaire du groupe ou Propriétaire de la ressource : affectez des éléments de révision au propriétaire d'un groupe indiqué dans le profil du groupe sur Okta. L'option Propriétaire du groupe est disponible et applicable uniquement lorsque les conditions suivantes sont remplies :

      • Vous avez sélectionné un ou plusieurs groupes en tant que ressources dans le volet Ressource.

      • Les propriétaires de chaque groupe peuvent être des utilisateurs individuels, un groupe, ou les deux à la fois. Si le groupe en compte plus de 10, les éléments de révision sont affectés aléatoirement aux 10 propriétaires du groupe.

        Si vous avez sélectionné Propriétaire de la ressource comme type de réviseur, le propriétaire d'une application, d'un droit ou d'un regroupement est soit une personne, soit un groupe, mais pas les deux à la fois. Cependant, les propriétaires d'un groupe peuvent être des utilisateurs individuels, un groupe, ou les deux à la fois. De plus, si le nombre de propriétaires de la ressource au sein d'un groupe est supérieur à 10, les éléments de révision sont affectés de manière aléatoire aux 10 propriétaires de la ressource.

    • Personnalisé : saisissez une expression Okta Expression Language valide pour définir le réviseur. L'expression doit renvoyer l'ID utilisateur ou le nom d'utilisateur Okta de l'utilisateur devant être affecté comme réviseur. Si l'expression ne renvoie pas de valeur pour le réviseur, le réviseur de secours est affecté comme réviseur pour les utilisateurs. Consultez Définir des réviseurs dynamiques.

      Si la fonctionnalité Domaines Realm est activée, utilisez cette option pour limiter les réviseurs de campagne à un domaine Realm spécifique.

  2. Dans le champ Réviseur de secours, indiquez un utilisateur responsable de la révision de l'ensemble des éléments de révision.

    Lorsque la campagne est lancée, le propriétaire de l'app est désigné comme réviseur si le paquets de droits ou le propriétaire des droits n'est pas disponible. Si le propriétaire de l'app n'est pas non plus disponible, Okta assigne l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

  3. Recommandé. Cliquez sur le lien Aperçu du réviseur et suivez les instructions dans l'interface utilisateur.

  4. Facultatif. Sélectionnez Désactiver l'auto-évaluation. Cette option vous permet d'autoriser ou non les auto-évaluations pour les campagnes en fonction de la criticité ou de la sensibilité des ressources incluses. Cette option est activée par défaut pour les campagnes examinant l'accès aux rôles administrateur. Lorsque les auto-évaluations sont désactivées pour une campagne, vous ne pouvez pas approuver, révoquer ou réaffecter votre propre élément de révision. Cette option est activée par défaut pour les campagnes examinant l'accès aux rôles administrateur. Consultez Comprendre la désactivation de l'auto-évaluation.

  5. Facultatif. Cliquez sur Ajouter un niveau pour ajouter un autre niveau de révisions et sélectionnez un type de réviseur.

  6. Si vous avez ajouté un second niveau de révisions, dans la section Paramètres de niveau supplémentaire, sélectionnez les décisions du réviseur de premier niveau qui doivent être prises en compte par le réviseur de second niveau.

    • Uniquement les décisions approuvées : le réviseur de second niveau est le réviseur final pour les décisions approuvées. Cette option permet aux réviseurs de second niveau de prendre une décision concernant les approbations des réviseurs de premier niveau, mais pas leurs décisions révoquées. Le réviseur de premier niveau est toujours le réviseur final pour les décisions révoquées.

    • Décisions approuvées et révoquées : le réviseur de second niveau est le réviseur final pour les décisions approuvées et révoquées. Cette option permet aux réviseurs de second niveau de se prononcer sur toutes les décisions prises par le réviseur de premier niveau.

    • Utilisez le curseur pour déterminer la date à laquelle les révisions de second niveau doivent commencer. Ce nombre doit être inférieur à la durée de la campagne. Les révisions de second niveau commencent une fois les révisons de premier niveau terminées. Les révisions de premier niveau sont signalées comme étant en retard si les révisions sont en attente lorsque les révisions de second niveau commencent.

  7. Configurez les notifications :

    • Révisions affectées : les réviseurs reçoivent une notification par e-mail lorsque des éléments de révisions leur sont affectés au moment du lancement de la campagne et lorsqu'un élément de révision est réaffecté. En tant qu'administrateur, vous avez la possibilité de personnaliser l'e-mail reçu par les réviseurs au moment du lancement de la campagne. Consultez la section Personnaliser un modèle d'e-mail

    • Rappel pour les révisions en attente : les réviseurs ayant des révisions en cours reçoivent une notification par e-mail quelques jours avant la fin de la campagne. Vous pouvez choisir d'envoyer des rappels à mi-parcours de la campagne, le jour où la campagne se termine ou quelques jours avant.

      Les réviseurs de premier et de second niveau des campagnes comportant des révisions à plusieurs niveaux reçoivent ces rappels.

      En tant qu'administrateur, sélectionnez cette option si vous souhaitez recevoir un e-mail de rappel avant la date de fin prévue d'une campagne.

    • Rappels de retard pour les réviseurs de premier niveau : les réviseurs de premier niveau ayant des éléments de révision en attente reçoivent une notification par e-mail chaque jour suivant la fin des révisions de premier niveau et jusqu'à la fin de la campagne. Cette option est disponible uniquement pour les campagnes avec révisions à plusieurs niveaux.

    • Campagne terminée : les réviseurs reçoivent une notification par e-mail à la clôture de la campagne. En tant qu'administrateur, vous recevez automatiquement les notifications par e-mail lorsqu'une campagne que vous avez créée commence ou touche à sa fin. Vous recevez aussi une notification par e-mail comportant un lien vers la page de la campagne lorsque le lancement d'une campagne échoue.

  8. Configurez des paramètres supplémentaires pour les réviseurs :

    • Exiger une justification: sélectionnez cette option pour obliger les réviseurs à justifier leur décision d'approuver ou de révoquer l'accès d'un utilisateur à une ressource. Cette option est activée par défaut pour les campagnes examinant l'accès aux rôles administrateur.

    • Désactiver les décisions en bloc : sélectionnez cette option pour empêcher les réviseurs de sélectionner plusieurs révisions à approuver ou à révoquer. Les réviseurs peuvent toujours réaffecter plusieurs révisions à un autre utilisateur et doivent justifier cette réaffectation (même si l'option Exiger une justification n'est pas cochée).

    • Désactiver la réaffectation : sélectionnez cette option pour empêcher les réviseurs de réaffecter des éléments de révision à d'autres utilisateurs depuis l'application Okta Access Certifications Reviews. Cette option est activée par défaut pour les campagnes examinant les accès aux rôles administrateur. Cependant, les super administrateurs ou les administrateurs des certifications d'accès peuvent toujours réaffecter les éléments de révision à partir de la page de la campagne dans l'Admin Console.

Configurer les paramètres de remédiation

Déterminez ce qui se produit lorsqu'un réviseur approuve ou révoque l'accès d'un utilisateur à une ressource, ou ne procède pas à la révision.

Vous avez également la possibilité de personnaliser la remédiation à l'aide d'Okta Workflows. Pour la plupart des campagnes, vous devez procéder à une remédiation manuelle des révisions si l'app d'un utilisateur ou l'affectation d'un groupe passe par l'intermédiaire de règles de groupe ou de l'appartenance à un groupe.

Pour mieux comprendre le fonctionnement de la remédiation, consultez Comprendre la remédiation.

Rubriques connexes

Exemples d'Okta Expression Language

Voir la progression d'une campagne active

Modifier une campagne planifiée

Modifier la date de fin d'une campagne