Examiner les campagnes

Utilisez les campagnes de certification d'accès pour examiner l'accès des utilisateurs aux ressources de manière périodique. Lors de la création d'une campagne, un créateur de campagne détermine les utilisateurs, les ressources et les réviseurs faisant partie de la campagne.

Si un réviseur se voit affecter un ou plusieurs éléments dans une campagne, il se voit accorder l'accès à l'app Okta Access Certifications Review dans son End-User Dashboard. Il peut examiner l'accès actuel d'un utilisateur et prendre des décisions le concernant dans l'application.

Les réviseurs utilisent l'app Okta Access Certification Review pour approuver ou révoquer l'accès d'un utilisateur, ou réaffecter l'élément de révision à un autre utilisateur, le cas échéant. Leurs décisions sur les éléments réviseurs sont définitives et ne peuvent être modifiées.

Lorsque les auto-évaluations sont désactivées pour la campagne, les administrateurs ne peuvent pas approuver, révoquer ou réaffecter leur propre élément de révision.

Si vous avez activé la fonctionnalité Governance Analyzer pour votre org, vous pouvez fournir des insights et des recommandations aux réviseurs pour les aider à prendre des décisions éclairées en matière d'approbation ou de révocation d'accès pendant les campagnes Access Certification. Consultez Configurer les paramètres de Governance Analyzer.

Okta restreint les auto-évaluations pour les campagnes qui régissent les rôles d'administrateur. Cela signifie que les administrateurs ne peuvent pas approuver, refuser ou réaffecter leur propre élément de révision. Toutefois, si la fonctionnalité Auto-évaluation pour les rôles d'administrateur Okta est activée, vous pouvez configurer si l'auto-évaluation est autorisée ou restreinte dans les campagnes qui gouvernent l'accès aux rôles d'administrateur Okta.

Les recommandations d'approbation/révocation et les données d'insights Governance Analyzer qui sont fournies aux réviseurs le sont à des fins d'information uniquement. Les réviseurs doivent utiliser ces informations en complément, et non en remplacement, de leur jugement personnel et des processus de révision habituels Okta ne donne aucune garantie et rejette toute responsabilité liée à l'utilisation des informations et des recommandations afin d'éclairer vos décisions en matière de révision de certification.

Si la fonctionnalité Révision intelligente est activée dans votre org, vous pouvez contribuer à accroître l'efficacité des révisions pour les campagnes comportant un volume élevé d'éléments de révisions et à réduire la fatigue y afférente pour les réviseurs. Consultez Révision intelligente.

Si vous avez sélectionné l'option d'informations contextuelles Méthodes d'affectation avant le lancement de la campagne, les réviseurs peuvent voir comment un utilisateur s'est vu attribuer l'accès à une ressource. Cela inclut une visibilité sur toutes les méthodes utilisées pour accorder des habilitations spécifiques. Voir Méthodes d'affectation.

Pratiques exemplaires pour les réviseurs

  • Si vous ou les réviseurs examinez l'accès des utilisateurs aux rôles d'administrateur, consultez plutôt Examiner l'accès aux rôles d'administrateur.

  • Avant de prendre une décision, vérifiez-la. Lorsque les réviseurs soumettent une décision concernant un élément de révision, celle-ci est définitive et ne peut pas être modifiée.
  • Ajoutez une justification commerciale pour mettre la décision en contexte, qu'elle approuve ou révoque un accès. Vous, le créateur de campagne, et les réviseurs serez les seuls à pouvoir consulter cette note. La justification devient également visible pour tout utilisateur réaffecté à l'élément de révision.
  • Les réviseurs peuvent réassigner un élément de révision à une autre personne s'ils pensent qu'une autre personne est mieux placée pour examiner l'accès d'un utilisateur. La réaffectation d'un élément de révision ne repousse pas la date de fin de la campagne. Le nouveau réviseur doit approuver ou révoquer l'accès avant la fin de la campagne. Consultez la section Réaffecter les éléments de révision.

  • Pour les campagnes comportant des révisions à plusieurs niveaux, gardez les points suivants à l'esprit :

    • Certains éléments de révision sont envoyés aux réviseurs de second niveau.

    • Le réviseur de second niveau ne peut prendre une décision que lorsque le réviseur de premier niveau a approuvé ou révoqué un élément de révision. Il est important pour les réviseurs de premier niveau qu'ils terminent les révisions à temps afin de ne pas bloquer la progression de la campagne.

    • Le réviseur de second niveau peut consulter la décision du réviseur de premier niveau, ainsi que sa justification, concernant un élément de révision.

    • Le réviseur final dépend de la configuration de la campagne.

    • La remédiation concerne uniquement les décisions du réviseur final. Consultez Comprendre la désactivation de l'auto-évaluation.

  • Les réviseurs peuvent définir un autre utilisateur comme délégué ou apporter des modifications à leur délégué affecté uniquement si vous avez activé l'option Permettre aux utilisateurs finaux d'affecter leur propre délégué. Consultez Permettre aux utilisateurs finaux d'affecter des délégués.

  • Pour les campagnes comportant un volume élevé d'éléments à réviser, utilisez la fonctionnalité Révision intelligente pour prendre facilement des décisions d'accès plus réfléchies et plus précises.

Commencer cette tâche

  1. Sur le End-User Dashboard, les réviseurs cliquent sur Okta Access Certification Reviews.

  2. Sur la page Mes révisions, rendez-vous sur l'onglet Ouvrir et sélectionnez la campagne de certification d'accès qu'ils souhaitent commencer à réviser.

  3. Facultatif. Si la révision intelligente est disponible pour la campagne, cliquez sur Commencer la révision et sélectionnez l'un des modes disponibles et suivez les instructions dans l'interface utilisateur :

    • Par utilisateur

    • Par ressource

    • Par recommandation (Ce mode est disponible uniquement si vous avez configuré Governance Analyzer.)

  4. Facultatif. En mode de révision intelligente, les réviseurs peuvent cliquer sur Toutes les révisions pour afficher la File de révision (une liste d'étapes) et accéder rapidement aux différentes étapes.

  5. Facultatif. Personnalisez les filtres de colonne. Par exemple, si vous souhaitez voir les éléments de révision des utilisateurs dont les droits sont en conflit, sélectionnez la règle de séparation des tâches (SOD) ou le filtre de colonne Présente un conflit de séparation des tâches.

    Les colonnes disponibles dans la section Révisions en attente et les champs disponibles dans le volet Détails de la révision dépendent de la configuration de vos informations contextuelles avant le lancement de la campagne. Consultez Contexte personnalisable à destination du réviseur.

  6. Facultatif. Ils sélectionnent un élément de révision afin d'afficher plus d'informations sur l'utilisateur et la ressource qu'ils examinent, ainsi que sur l'utilisation de la ressource par l'utilisateur. Notez que les informations d'une collection de ressources sont disponibles uniquement si vous avez configuré des Collections de ressources pour votre org et personnalisé les paramètres de contexte.

    Le panneau Détails de la révision comprend les sections suivantes.

    • Détails de l'utilisateur : informations directement tirées du profil de l'utilisateur sur Okta.

    • La section des détails de la ressource varie en fonction de la ressource (droit, app, groupe ou collection de ressources) examinée.

    • Governance Analyzer : cette section (si elle est disponible) contient les insights et les recommandations Governance Analyzer.

    • Détails sur le conflit SOD : cette section contient des informations sur les règles de séparation des tâches en conflit et les droits spécifiques à l'origine du conflit.

    • Historique : cette section contient des informations utiles telles que des détails concernant l'affectation initiale du réviseur et du délégué, la justification commerciale de la réaffectation, des détails sur le réviseur affecté et la décision des réviseurs.

  7. Facultatif. Ils peuvent cliquer sur Réaffecter pour réaffecter un élément de révision à une autre personne. Ils peuvent suivre les étapes 3 à 6 indiquées dans la rubrique Réaffecter les éléments de révision. Si vous avez désactivé la réaffectation des révisions pour une campagne, les réviseurs ne peuvent pas réaffecter un élément de révision depuis l'application Okta Access Certifications Review. Cependant, les super administrateurs ou les administrateurs des certifications d'accès peuvent toujours réaffecter les révisions depuis la page de la campagne dans l'Admin Console.

  8. Les réviseurs cliquent sur Approuver ou Révoquer. Ils fournissent une justification commerciale pour leur décision. Lorsqu'ils approuvent ou révoquent un accès, le processus de remédiation commence immédiatement.

  9. Cliquez sur Soumettre.

Si le créateur de la campagne a autorisé la sélection de plusieurs éléments de révision simultanément, les réviseurs peuvent également sélectionner plusieurs éléments de révision et approuver un accès, le révoquer ou encore réaffecter les révisions des éléments sélectionnés. Ils ne peuvent effectuer qu'une seule action à la fois. La justification commerciale qu'ils saisissent s'applique aux éléments de révision sélectionnés. Les réviseurs peuvent toujours réaffecter plusieurs éléments de révision à un autre utilisateur, à condition de justifier cette réaffectation.

Les réviseurs peuvent également suivre les métriques de leurs réviseurs à l'aide des totaux figurant sur la page de la campagne. Par ailleurs, il est possible de référencer les éléments qu'ils ont déjà examinés à partir de l'onglet Clôturées de la page de la campagne. Dans l'onglet Clôturées, ils peuvent filtrer leurs révisions à l'aide de diverses options ou rechercher un utilisateur spécifique.

Rubriques liées

Réaffecter les éléments de révision

Révisions des campagnes de certification