Créer des campagnes de ressources

Les campagnes de ressources affichent tous les utilisateurs ayant accès à une ressource. L'exécution régulière de campagnes de ressources permet de limiter l'accès aux ressources sensibles. Ces campagnes sont également utiles pour répondre à vos exigences en matière d'audit et de conformité, ou à des normes professionnelles telles que SOC2 et SOX.

Si vous avez activé Govern Okta admin roles, utilisez ce type de campagne pour examiner les affectations des rôles d'administrateur aux utilisateurs.

Vous pouvez sélectionner une ressource, telle qu'une app ou un groupe, et examiner les personnes y ayant accès ainsi que les droits et les regroupements associés (y compris les rôles d'administrateur personnalisés et standard).

Les comptes de service associés aux applications sont également disponibles en tant que ressources si vous êtes abonné à Okta Privileged Access. Les applications avec des comptes de service doivent être gérées dans Okta Privileged Access pour être incluses dans une campagne. Consultez Certifier des comptes de service.

Vous pouvez sélectionner tous les utilisateurs affectés à la ressource ou définir un ensemble spécifique d'utilisateurs à l'aide de Okta Expression Language. Vous pouvez également exclure certains utilisateurs de la campagne.

Avant de commencer

  • Si votre org possède des Libellés de ressource activées et affectées aux ressources, vous pouvez utiliser les étiquettes de ressource pour filtrer et spécifier les ressources qui doivent être incluses dans une campagne de ressources. Okta fournit les valeurs des étiquettes Crown Jewell et Privileged par défaut. Toutefois, pour voir une liste complète des étiquettes, les ressources balisées avec des étiquettes pour votre org ou pour affecter des étiquettes aux ressources, utilisez les API d'étiquettes. Seuls les super administrateurs ou les administrateurs des certifications accès peuvent consulter les étiquettes.

  • Si Propriétaires de la ressource est activé dans votre org, le paramètre de type de réviseur Propriétaire du groupe est appelé Propriétaire de la ressource. Les propriétaires de groupes, d'applications, de droits et de paquets de droits sont considérés comme des propriétaires de la ressource. Okta affecte les propriétaires de la ressource en tant que réviseurs lors du lancement de la campagne :

    • Si le propriétaire du droit n'est pas disponible et qu'un regroupement inclut le droit, le propriétaire du regroupement est désigné comme réviseur si le regroupement est inclus dans la permission des ressources de la campagne.

    • Si le propriétaire des droits n'est pas disponible et qu'aucun regroupement n'inclut de droits, le propriétaire de l'app est alors désigné comme réviseur.

    • Si le propriétaire du paquets de droits n'est pas disponible, le propriétaire de l'app est alors désigné comme réviseur.

    • Si le propriétaire de l'app n'est pas non plus disponible, Okta assigne l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

    • Si le propriétaire du groupe n'est pas disponible, Okta affecte l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

  • Pour les abonnés Okta Privileged Access : lorsque vous sélectionnez Propriétaire de ressources comme type de réviseur pour la certification des comptes de service, Okta utilise les valeurs spécifiées dans les attributs Groupes de propriétaire ou Utilisateurs propriétaires pour les attributs le compte de service à affecter au réviseur. Si ces valeurs ne sont pas définies ou ne sont pas disponibles pour un compte de service, la révision est affectée au réviseur de secours.

  • Facultatif. Si vous savez qu'un réviseur ne sera pas disponible pendant un certain temps, vous pouvez lui affecter un délégué depuis l'Admin Console. Consultez Attribuer un délégué depuis la console administrateur. Pour les campagnes dont le Type de réviseur est défini sur Groupe ou Propriétaire du groupe ou Propriétaire de la ressource, si vous ou un membre d'un groupe affectez un délégué ne faisant pas partie du groupe, tous les éléments de révision futurs seront affectés au délégué ainsi qu'aux membres actuels du groupe.

  • Vous pouvez sélectionner jusqu'à 250 apps, groupes, ou une combinaison des deux, et examiner les personnes qui y ont accès. Consultez Limites et problèmes connus .

  • Vous pouvez posséder jusqu'à 100 000 éléments de révision par campagne. Pour gérer les campagnes importantes, divisez les révisions en plusieurs campagnes.

  • Si vous créez une campagne pour régir les rôles d'administrateur, assurez-vous d'être connecté en tant que super administrateur et d'avoir activé la fonctionnalité. Consultez également les considérations répertoriées dans la rubrique Créer des campagnes pour examiner les rôles d'administrateur.

    Les affectations d'administrateurs existantes sont traitées comme des paires clé-valeur : le droit et la ressource (l'Admin Console).

  • Si vous créez une campagne de manière à examiner des affectations de droits en conflit, vérifiez que la case Détails sur la séparation des tâches (SOD) est cochée avant de lancer la campagne. La case à cocher se trouve sur la page Informations contextuelles. Cette case permet aux réviseurs de campagne de voir les détails du conflit SOD. Consultez Contexte personnalisable à destination du réviseur.

Configurer la campagne

  1. Dans l'Admin Console, accédez à Identity Governance Certification d'accès Campagnes de certification.

  2. Cliquez sur Créer une campagne.

  3. Sélectionnez Campagnes de ressources comme type de campagne dans le menu déroulant Créer une campagne.

  4. Configurez les paramètres suivants dans l'assistant, puis cliquez sur Planifier la campagne.

Configurer les paramètres généraux

Configurez les paramètres suivants :

  1. Nom de la campagne : nommez la campagne. Dans l'idéal, saisissez un nom qui soit facile à comprendre pour vos réviseurs.
  2. Description : décrivez l'objectif de la campagne.
  3. Date de début : choisissez la date de début de votre campagne.
  4. Heure de début : choisissez l'heure de début et le fuseau horaire de votre campagne.
  5. Durée : indiquez combien de temps durera votre campagne. Les campagnes comportant des réviseurs à plusieurs niveaux nécessitent une durée de sept jours minimum.
  6. Facultatif. Sélectionnez En faire une récurrence et définissez le calendrier de récurrence de la campagne. Pour planifier des campagnes récurrentes de manière efficace, consultez Considérations relatives aux campagnes récurrentes
  7. Facultatif. Cochez la case Créer un package de rapports pour l'auditeur. Vous pourrez ainsi générer des rapports qui pourront vous aider à répondre à vos exigences en matière d'audit et de conformité. Cela vous permet de générer des rapports contenant des informations sur les ressources, les utilisateurs et les réviseurs inclus dans la permission de la campagne. Ils fournissent également des informations sur les accès des utilisateurs au début de la campagne, les décisions concernant les révisions et les résultats de la remédiation, ainsi que sur les accès des utilisateurs à la fin de la campagne.

Configurer les paramètres de ressources

Sélectionnez le type de ressource Application, Groupe ou Compte de service.

Application

  1. Utilisez l'une des méthodes suivantes :

    • Sélectionnez jusqu'à 10 étiquettes si vous souhaitez inclure toutes les ressources associées telles que des apps, des droits et des regroupements. Vous ne pouvez pas sélectionner des apps individuelles si vous utilisez des étiquettes pour spécifier la permission.

    • Sélectionnez des apps individuelles. Si vous souhaitez examiner les droits, y compris ceux qui sont en conflit selon les règles SOD, vous ne pouvez sélectionner que 20 apps au maximum. Consultez Limites et problèmes connus . Si vous sélectionnez des apps individuelles, vous ne pouvez pas utiliser d'étiquettes.

    • Recherchez et sélectionnez Okta Admin Console si vous souhaitez régir les rôles d'administrateur. Vous ne pouvez pas ajouter d'autres apps si vous sélectionnez celle-ci.

  2. Activez l'option Examiner les droits pour examiner les droits, y compris ceux comportant des étiquettes de gouvernance ou ceux qui sont en conflit selon les règles SOD. Toutefois, si vous souhaitez examiner les apps comportant des utilisateurs inactifs, laissez-la désactivée.

  3. Pour chaque application, indiquez si vous souhaitez voir Tous les droits et regroupements ou Droits et regroupements spécifiques. Si vous spécifiez un droit, vous pouvez également récupérer n'importe quel regroupement contenant votre valeur de droit en cochant la case.

    Une fois l'option Examiner les droits activée, vous devez sélectionner Tous les droits et regroupements pour voir les conflits de droits selon vos règles SOD.

    Si les étiquettes sont activées et configurées, des options supplémentaires sont disponibles :

    1. Sélectionnez l'une des options suivantes :

      • Droits comportant des étiquettes de gouvernance spécifiques
      • Regroupements comportant des étiquettes de gouvernance spécifiques
      • Droits ou regroupements comportant des étiquettes de gouvernance spécifiques

    2. Spécifiez les étiquettes.

  4. Si vous spécifiez un droit, vous pouvez également récupérer n'importe quel regroupement contenant votre valeur de droit en cochant la case Inclure les regroupements comportant ces valeurs de droit.

  5. Cliquez sur Ajouter pour inclure d'autres regroupements ou droits.

Groupe

Sélectionnez un ou plusieurs groupes en utilisant l'une des méthodes suivantes :

  • Sélectionnez jusqu'à 10 étiquettes si vous souhaitez inclure tous les groupes associés. Vous ne pouvez pas sélectionner des groupes individuels si vous utilisez des étiquettes pour spécifier la permission.

  • Sélectionnez des groupes individuels. Si vous sélectionnez des groupes individuels, vous ne pouvez pas utiliser d'étiquettes.

Ne sélectionnez pas Groupe si vous souhaitez inclure des droits à la campagne. L'option Examiner les droits n'est pas disponible si vous sélectionnez Groupe.

Compte de service

Cette option est disponible uniquement si vous êtes abonné à Okta Privileged Access. Consultez la section Okta Privileged Access avec Certifications d'accès. N'oubliez pas que seules les applications dont les comptes de service sont gérés dans Okta Privileged Access sont disponibles.

Définissez le type de compte de service sur Compte de service d"application SaaS ou Compte de service Okta.

Comptes de service d'application SaaS

Utilisez l'une des méthodes suivantes :

  • Sélectionnez jusqu'à 10 étiquettes si vous souhaitez inclure toutes les applications associées aux comptes de service. Vous ne pouvez pas sélectionner des apps individuelles si vous utilisez des étiquettes pour spécifier la permission. Lorsque vous sélectionnez des étiquettes, toutes les applications associées à l'étiquette sont incluses dans la campagne.

  • Sélectionnez des apps individuelles. Consultez Limites et problèmes connus . Si vous sélectionnez des apps individuelles, vous ne pouvez pas utiliser d'étiquettes.

    1. Dans le menu déroulant Sélectionner la portée, sélectionnez soit Tous les comptes de service soit Comptes de service spécifiques et spécifiez les comptes. Vous pouvez spécifier un maximum de 20 comptes de service si vous les sélectionnez individuellement.

    2. Cliquez sur Suivant.

Compte de service Okta Compte de service Okta

  1. Dans le menu déroulant Sélectionner la portée, sélectionnez soit Tous les comptes de service soit Comptes de service spécifiques et spécifiez les comptes. Vous pouvez spécifier un maximum de 20 comptes de service.

  2. Cliquez sur Suivant.

Configurer les paramètres utilisateur

  1. Sélectionnez l'une des options disponibles :

    • Tous les utilisateurs affectés à la ressource : sélectionnez cette option pour inclure les utilisateurs qui sont affectés à des ressources que vous avez sélectionnées précédemment.

    • Spécifier la permission de l'utilisateur : sélectionnez cette option pour limiter la permission de l'utilisateur à un ensemble spécifique d'utilisateurs dans votre org. Si la fonctionnalité Domaines Realm est activée, utilisez cette option pour restreindre la campagne aux utilisateurs d'un domaine Realm spécifique.

      1. Saisissez une expression dans le langage d'expression Okta (EL) pour préciser la permission de l'utilisateur. Dans l'expression, true doit inclure l'utilisateur à la campagne et false doit l'exclure de la campagne. Consultez la section Définir la permission de l'utilisateur.

      2. Recommandé. Cliquez sur Aperçu de la portée de l'expression et suivez les invites de l'interface utilisateur pour vérifier si elle est dans la portée du Okta Expression Language (OEL) fourni.

        Okta ne valide l'utilisateur que par rapport à l'expression OEL. Un utilisateur qui n'est affecté à aucune ressource dans la campagne n'en fait pas partie, même s'il correspond à la portée de l'expression OEL.

    • Permission de l'utilisateur prédéfinie :

      • Aucune activité récente : sélectionnez cette option pour examiner les apps qui n'ont pas été utilisées depuis un certain temps. Indiquez le nombre de jours d'inactivité des utilisateurs. Cette option apparaît uniquement si vous avez défini la permission des ressources de la campagne sur Apps et que vous avez désactivé le paramètre Examiner les droits.

      • Avoir des conflits de séparation des tâches (SOD) : sélectionnez cette option si vous souhaitez uniquement examiner les utilisateurs dont les droits sont en conflit sur la base des règles de séparation des tâches. Cette option apparaît uniquement si vous avez défini la permission des ressources de la campagne sur Apps, activé le paramètre Examiner les droits et sélectionné Tous les droits et regroupements.

    • Inclure uniquement les utilisateurs Okta actifs dans cette campagne : sélectionnez cette option pour inclure uniquement les utilisateurs dont le statut est Actif, Réinitialisation de mot de passe (ou Récupération), Mot de passe expiré ou Verrouillé dans Okta.

  2. Facultatif. Exclure les utilisateurs de la campagne : pour exclure des utilisateurs spécifiques d'une campagne, sélectionnez Exclure les utilisateurs de la campagne et saisissez les noms des utilisateurs que vous souhaitez exclure de la campagne.

Configurer les paramètres du réviseur

La campagne ne sera pas lancée si les réviseurs inclus dans cette campagne ont le statut Désactivé ou Supprimé au moment où la campagne doit commencer.

  1. Sélectionnez un type de réviseur :

    • Utilisateur : saisissez le nom du réviseur qui doit examiner les certifications d'accès de tous les utilisateurs de la campagne.

    • Responsable : affectez les éléments de révision au responsable de l'utilisateur indiqué dans le profil de l'utilisateur sur Okta. La révision est affectée au réviseur de secours si le profil de l'utilisateur sur Okta ne mentionne aucun responsable.

    • Groupe : affectez les éléments de révision à tous les membres d'un groupe d'utilisateurs spécifique. Un seul membre du groupe doit se charger de la révision et agir sur l'élément de révision. Ainsi, si un membre d'un groupe approuve ou révoque l'accès d'un élément de révision, celui-ci sera marqué comme terminé pour tous les réviseurs. Le menu déroulant affiche uniquement les groupes comptant entre un et dix membres. Si vous ajoutez d'autres membres au groupe, les éléments de révision sont affectés de manière aléatoire aux 10 membres du groupe.

    • Propriétaire du groupe ou Propriétaire de la ressource : affectez des éléments de révision au propriétaire d'un groupe indiqué dans le profil du groupe sur Okta. L'option Propriétaire du groupe est disponible et applicable uniquement lorsque les conditions suivantes sont remplies :

      • Vous avez sélectionné un ou plusieurs groupes en tant que ressources dans le volet Ressource.

      • Les propriétaires de chaque groupe peuvent être des utilisateurs individuels, un groupe, ou les deux à la fois. Si le groupe en compte plus de 10, les éléments de révision sont affectés aléatoirement aux 10 propriétaires du groupe.

        Si vous avez sélectionné Propriétaire de la ressource comme type de réviseur, le propriétaire d'une application, d'un droit ou d'un regroupement est soit une personne, soit un groupe, mais pas les deux à la fois. Cependant, les propriétaires d'un groupe peuvent être des utilisateurs individuels, un groupe, ou les deux à la fois. De plus, si le nombre de propriétaires de la ressource au sein d'un groupe est supérieur à 10, les éléments de révision sont affectés de manière aléatoire aux 10 propriétaires de la ressource.

    • Personnalisé : saisissez une expression Okta Expression Language valide pour définir le réviseur. L'expression doit renvoyer l'ID utilisateur ou le nom d'utilisateur Okta de l'utilisateur devant être affecté comme réviseur. Si l'expression ne renvoie pas de valeur pour le réviseur, le réviseur de secours est affecté comme réviseur pour les utilisateurs. Consultez Définir des réviseurs dynamiques.

      Si la fonctionnalité Domaines Realm est activée, utilisez cette option pour limiter les réviseurs de campagne à un domaine Realm spécifique.

  2. Dans le champ Réviseur de secours, indiquez un utilisateur responsable de la révision de l'ensemble des éléments de révision.

    Lorsque la campagne est lancée, le propriétaire de l'app est désigné comme réviseur si le paquets de droits ou le propriétaire des droits n'est pas disponible. Si le propriétaire de l'app n'est pas non plus disponible, Okta assigne l'élément de révision au réviseur de secours indiqué dans les paramètres Réviseur de la campagne.

  3. Recommandé. Cliquez sur le lien Aperçu du réviseur et suivez les instructions dans l'interface utilisateur.

  4. Facultatif. Sélectionnez Désactiver l'auto-évaluation. Cette option vous permet d'autoriser ou non les auto-évaluations pour les campagnes en fonction de la criticité ou de la sensibilité des ressources incluses. Cette option est activée par défaut pour les campagnes examinant l'accès aux rôles administrateur. Lorsque les auto-évaluations sont désactivées pour une campagne, vous ne pouvez pas approuver, révoquer ou réaffecter votre propre élément de révision. Cette option est activée par défaut pour les campagnes examinant l'accès aux rôles administrateur. Consultez Comprendre la désactivation de l'auto-évaluation.

  5. Facultatif. Cliquez sur Ajouter un niveau pour ajouter un autre niveau de révisions et sélectionnez un type de réviseur.

  6. Si vous avez ajouté un second niveau de révisions, dans la section Paramètres de niveau supplémentaire, sélectionnez les décisions du réviseur de premier niveau qui doivent être prises en compte par le réviseur de second niveau.

    • Uniquement les décisions approuvées : le réviseur de second niveau est le réviseur final pour les décisions approuvées. Cette option permet aux réviseurs de second niveau de prendre une décision concernant les approbations des réviseurs de premier niveau, mais pas leurs décisions révoquées. Le réviseur de premier niveau est toujours le réviseur final pour les décisions révoquées.

    • Décisions approuvées et révoquées : le réviseur de second niveau est le réviseur final pour les décisions approuvées et révoquées. Cette option permet aux réviseurs de second niveau de se prononcer sur toutes les décisions prises par le réviseur de premier niveau.

    • Utilisez le curseur pour déterminer la date à laquelle les révisions de second niveau doivent commencer. Ce nombre doit être inférieur à la durée de la campagne. Les révisions de second niveau commencent une fois les révisons de premier niveau terminées. Les révisions de premier niveau sont signalées comme étant en retard si les révisions sont en attente lorsque les révisions de second niveau commencent.

  7. Configurez les notifications :

    • Révisions affectées : les réviseurs reçoivent une notification par e-mail lorsque des éléments de révisions leur sont affectés au moment du lancement de la campagne et lorsqu'un élément de révision est réaffecté. En tant qu'administrateur, vous avez la possibilité de personnaliser l'e-mail reçu par les réviseurs au moment du lancement de la campagne. Consultez la section Personnaliser un modèle d'e-mail

    • Rappel pour les révisions en attente : les réviseurs ayant des révisions en cours reçoivent une notification par e-mail quelques jours avant la fin de la campagne. Vous pouvez choisir d'envoyer des rappels à mi-parcours de la campagne, le jour où la campagne se termine ou quelques jours avant.

      Les réviseurs de premier et de second niveau des campagnes comportant des révisions à plusieurs niveaux reçoivent ces rappels.

      En tant qu'administrateur, sélectionnez cette option si vous souhaitez recevoir un e-mail de rappel avant la date de fin prévue d'une campagne.

    • Rappels de retard pour les réviseurs de premier niveau : les réviseurs de premier niveau ayant des éléments de révision en attente reçoivent une notification par e-mail chaque jour suivant la fin des révisions de premier niveau et jusqu'à la fin de la campagne. Cette option est disponible uniquement pour les campagnes avec révisions à plusieurs niveaux.

    • Campagne terminée : les réviseurs reçoivent une notification par e-mail à la clôture de la campagne. En tant qu'administrateur, vous recevez automatiquement les notifications par e-mail lorsqu'une campagne que vous avez créée commence ou touche à sa fin. Vous recevez aussi une notification par e-mail comportant un lien vers la page de la campagne lorsque le lancement d'une campagne échoue.

  8. Configurez des paramètres supplémentaires pour les réviseurs :

    • Exiger une justification: sélectionnez cette option pour obliger les réviseurs à justifier leur décision d'approuver ou de révoquer l'accès d'un utilisateur à une ressource. Cette option est activée par défaut pour les campagnes examinant l'accès aux rôles administrateur.

    • Désactiver les décisions en bloc : sélectionnez cette option pour empêcher les réviseurs de sélectionner plusieurs révisions à approuver ou à révoquer. Les réviseurs peuvent toujours réaffecter plusieurs révisions à un autre utilisateur et doivent justifier cette réaffectation (même si l'option Exiger une justification n'est pas cochée).

    • Désactiver la réaffectation : sélectionnez cette option pour empêcher les réviseurs de réaffecter des éléments de révision à d'autres utilisateurs depuis l'application Okta Access Certifications Reviews. Cette option est activée par défaut pour les campagnes examinant les accès aux rôles administrateur. Cependant, les super administrateurs ou les administrateurs des certifications d'accès peuvent toujours réaffecter les éléments de révision à partir de la page de la campagne dans l'Admin Console.

Configurer les paramètres de remédiation

  1. Déterminez ce qui se produit lorsqu'un réviseur approuve ou révoque l'accès d'un utilisateur à une ressource, ou ne procède pas à la révision. Si vous avez sélectionné Supprimer accès de l'utilisateur pour toute action de réviseur, la case à cocher Supprimer automatiquement l'accès basé sur les groupes est disponible.

    • La remédiation manuelle est toujours nécessaire lors de la certification des comptes de service.

    • La remédiation de groupe améliorée n'est disponible que pour les campagnes de ressources qui examinent l'accès aux apps sans examiner les droits.

  2. Facultatif. Sélectionnez Supprimer automatiquement l'accès basé sur les groupes pour permettre aux certifications d'accès de révoquer automatiquement les apps affectées à un groupe d'accès. Cela réduit le besoin de remédiations manuelles une fois qu'un réviseur a décidé de révoquer l'accès d'un utilisateur. Cependant, vous devez toujours procéder à la remédiation de l'accès des utilisateurs si l'app a été affectée à l'aide de règles de groupe ou si le groupe est un groupe provenant d'une app.

  3. Facultatif. Spécifiez jusqu'à 50 groupes dont les certifications d'accès peuvent supprimer les utilisateurs pour révoquer leur accès à l'app. Par défaut, les certifications d'accès peuvent supprimer les utilisateurs de tous les groupes affectant des apps aux utilisateurs.

Vous avez également la possibilité de personnaliser la remédiation à l'aide d'Okta Workflows. Pour la plupart des campagnes, vous devez procéder à une remédiation manuelle des révisions si l'app d'un utilisateur ou l'affectation d'un groupe passe par l'intermédiaire de règles de groupe ou de l'appartenance à un groupe.

Pour mieux comprendre le fonctionnement de la remédiation, consultez Comprendre la remédiation.

Rubriques connexes

Exemples d'Okta Expression Language

Voir la progression d'une campagne active

Modifier une campagne planifiée

Modifier la date de fin d'une campagne