Examiner les campagnes

Utilisez les campagnes de certification d'accès pour examiner l'accès des utilisateurs aux ressources de manière périodique. Au cours d'une campagne, un créateur de campagne détermine les utilisateurs, les ressources et les réviseurs faisant partie de la campagne.

Si un réviseur se voit affecter un ou plusieurs éléments dans une campagne, il se voit accorder l'accès à l'app Okta Access Certifications Review dans son End-User Dashboard. Il peut examiner l'accès actuel d'un utilisateur et prendre des décisions le concernant dans l'application.

Les réviseurs utilisent l'app Okta Access Certification Review pour approuver ou révoquer l'accès d'un utilisateur, ou réaffecter l'élément de révision à un autre utilisateur, le cas échéant. Leurs décisions sur les éléments réviseurs sont définitives et ne peuvent être modifiées.

Lorsque les auto-évaluations sont désactivées pour la campagne, les administrateurs ne peuvent pas approuver, révoquer ou réaffecter leur propre élément de révision.

Bonnes pratiques pour les réviseurs

  • Si vous ou les réviseurs examinez l'accès des utilisateurs aux rôles d'administrateur, consultez plutôt Examiner l'accès aux rôles d'administrateur.

  • Avant de prendre une décision, vérifiez-la. Lorsque les réviseurs soumettent une décision concernant un élément de révision, celle-ci est définitive et ne peut pas être modifiée.
  • Ajoutez une justification commerciale pour mettre la décision en contexte, qu'elle approuve ou révoque un accès. Vous, le créateur de campagne, et les réviseurs serez les seuls à pouvoir consulter cette note. La justification devient également visible pour tout utilisateur réaffecté à l'élément de révision.
  • Les réviseurs peuvent réassigner un élément de révision à une autre personne s'ils pensent qu'une autre personne est mieux placée pour examiner l'accès d'un utilisateur. La réaffectation d'un élément de révision ne repousse pas la date de fin de la campagne. Le nouveau réviseur doit approuver ou révoquer l'accès avant la fin de la campagne. Consultez la section Réaffecter les éléments de révision.

  • Pour les campagnes comportant des révisions à plusieurs niveaux, gardez les points suivants à l'esprit :

    • Certains éléments de révision sont envoyés aux réviseurs de second niveau.

    • Le réviseur de second niveau ne peut prendre une décision que lorsque le réviseur de premier niveau a approuvé ou révoqué un élément de révision. Il est important pour les réviseurs de premier niveau qu'ils terminent les révisions à temps afin de ne pas bloquer la progression de la campagne.

    • Le réviseur de second niveau peut consulter la décision du réviseur de premier niveau, ainsi que sa justification, concernant un élément de révision.

    • Le réviseur final dépend de la configuration de la campagne.

    • La remédiation concerne uniquement les décisions du réviseur final. Consultez Comprendre la désactivation de l'auto-évaluation.

  • Les réviseurs peuvent définir un autre utilisateur comme délégué ou apporter des modifications à leur délégué affecté uniquement si vous avez activé le bouton Autoriser les utilisateurs à désigner leur propre délégué. Consultez Autoriser les utilisateurs à désigner des délégués.

Commencer cette tâche

  1. Sur le End-User Dashboard, les réviseurs cliquent sur Okta Access Certification Reviews.
  2. Sur la page Mes révisions, rendez-vous sur l'onglet Ouvrir et sélectionnez la campagne de certification d'accès qu'ils souhaitent commencer à réviser.

  3. Facultatif. Personnalisez les filtres de colonne. Par exemple, si vous souhaitez voir les éléments de révision des utilisateurs dont les droits sont en conflit, sélectionnez la règle de séparation des tâches (SOD) ou le filtre de colonne Présente un conflit de séparation des tâches.

  4. Facultatif. Ils sélectionnent un élément de révision afin d'afficher plus d'informations sur l'utilisateur et la ressource qu'ils examinent, ainsi que sur l'utilisation de la ressource par l'utilisateur.

    Le panneau Détails de la révision comprend les sections suivantes. Les réviseurs peuvent trier, filtrer ou masquer les colonnes de ce volet si vous avez activé la fonctionnalité Contexte personnalisable à destination du réviseur.

    • Détails de l'utilisateur : informations directement tirées du profil de l'utilisateur sur Okta.

    • La section des détails de la ressource varie en fonction de la ressource (autorisation, app, groupe ou collection de ressources) examinée et des paramètres de contexte configurés par l'administrateur. Consultez Contexte personnalisable à destination du réviseur.

    • Détails sur le conflit SOD : cette section contient des informations sur les règles de séparation des tâches en conflit et les droits spécifiques à l'origine du conflit.

    • Historique : cette section contient des informations utiles telles que des détails concernant l'affectation initiale du réviseur et du délégué, la justification commerciale de la réaffectation, des détails sur le réviseur affecté et la décision des réviseurs.

  5. Facultatif. Ils peuvent cliquer sur Réaffecter pour réaffecter un élément de révision à une autre personne. Ils peuvent suivre les étapes 3 à 6 indiquées dans la rubrique Réaffecter les éléments de révision. Si vous avez désactivé la réaffectation des révisions pour une campagne, les réviseurs ne peuvent pas réaffecter un élément de révision depuis l'application Okta Access Certifications Review. Cependant, les super administrateurs ou les administrateurs des certifications d'accès peuvent toujours réaffecter les révisions depuis la page de la campagne dans l'Admin Console.
  6. Les réviseurs cliquent sur Approuver ou Révoquer. Ils fournissent une justification commerciale pour leur décision. Lorsqu'ils approuvent ou révoquent un accès, le processus de remédiation commence immédiatement.
  7. Cliquez sur Soumettre.

Si le créateur de la campagne a autorisé la sélection de plusieurs éléments de révision simultanément, les réviseurs peuvent également sélectionner plusieurs éléments de révision et approuver un accès, le révoquer ou encore réaffecter les révisions des éléments sélectionnés. Ils ne peuvent effectuer qu'une seule action à la fois. La justification commerciale qu'ils saisissent s'applique aux éléments de révision sélectionnés. Les réviseurs peuvent toujours réaffecter plusieurs éléments de révision à un autre utilisateur, à condition de justifier cette réaffectation.

Les réviseurs peuvent également suivre les métriques de leurs réviseurs à l'aide des totaux figurant sur la page de la campagne. Par ailleurs, il est possible de référencer les éléments qu'ils ont déjà examinés à partir de l'onglet Clôturées de la page de la campagne. Dans l'onglet Clôturées, ils peuvent filtrer leurs révisions à l'aide de diverses options ou rechercher un utilisateur spécifique.

Rubriques liées

Réaffecter les éléments de révision

Révisions des campagnes de certification