Examiner les campagnes

Utilisez les campagnes de Certifications d'accès pour examiner l'accès des utilisateurs aux ressources de manière périodique. Lors de la création d'une campagne, un créateur de campagne détermine les utilisateurs, les ressources et les réviseurs faisant partie de la campagne.

Si un réviseur se voit affecter un ou plusieurs éléments dans une campagne, il se voit accorder l'accès à l'app Okta Certifications d'accès Review dans son End-User Dashboard. Il peut examiner l'accès actuel d'un utilisateur et prendre des décisions le concernant dans l'application.

Les réviseurs utilisent l'app Okta Access Certification Review pour approuver ou révoquer l'accès d'un utilisateur, ou réaffecter l'élément de révision à un autre utilisateur, le cas échéant. Leurs décisions sur les éléments réviseurs sont définitives et ne peuvent être modifiées.

Lorsque les auto-évaluations sont désactivées pour la campagne, les administrateurs ne peuvent pas approuver, révoquer ou réaffecter leur propre élément de révision.

Si vous avez activé la fonctionnalité Analyseur Governance pour votre org, vous pouvez fournir des insights et des recommandations aux réviseurs pour les aider à prendre des décisions éclairées en matière d'approbation ou de révocation d'accès pendant les campagnes Access Certification. Consultez Configurer Governance Analyzer.

Remarque :

Okta restreint les auto-évaluations pour les campagnes qui régissent les rôles d'administrateur. Cela signifie que les administrateurs ne peuvent pas approuver, refuser ou réaffecter leur propre élément de révision. Toutefois, si la fonctionnalité Auto-évaluation pour les rôles d'administrateur Okta est activée, vous pouvez configurer si l'auto-évaluation est autorisée ou restreinte dans les campagnes qui régissent l'accès aux rôles d'administrateur Okta.

Les données sur les recommandations et les insights relatives aux approbations/révocations Analyseur Governance qui sont fournies aux réviseurs le sont uniquement à des fins d'information. Les réviseurs doivent utiliser ces informations en complément, et non en remplacement, de leur décision indépendante et des processus de révision habituels. Okta n'offre aucune garantie concernant votre utilisation des insights et des recommandations pour éclairer vos décisions en matière de révision de certification, et décline toute responsabilité à cet égard.

Si la fonctionnalité Révision intelligente est activée dans votre org, vous pouvez contribuer à accroître l'efficacité des révisions pour les campagnes comportant un volume élevé d'éléments de révision et à réduire la fatigue y afférente pour les réviseurs. Consultez Révision intelligente.

Si vous avez sélectionné l'option d'informations contextuelles Méthodes d'affectation avant le lancement de la campagne, les réviseurs peuvent voir comment un utilisateur s'est vu attribuer l'accès à une ressource. Cela inclut une visibilité sur toutes les méthodes utilisées pour accorder des habilitations spécifiques. Consultez Méthodes d'affectation.

Pratiques exemplaires pour les réviseurs

Si vous ou les réviseurs examinez l'accès des utilisateurs aux rôles d'administrateur, consultez plutôt Examiner l'accès aux rôles d'administrateur.
Avant de prendre une décision, vérifiez-la. Lorsque les réviseurs rendent une décision concernant un élément de révision, celle-ci est définitive et ne peut pas être modifiée.
Selon les paramètres de justificationde la campagne, l'ajout d'une justification commerciale peut être facultatif, obligatoire pour des décisions spécifiques ou désactivé. Le cas échéant, ajoutez une justification pour fournir le contexte de la décision Vous, le créateur de campagne, et les réviseurs serez les seuls à pouvoir consulter cette note. La justification devient également visible pour tout utilisateur réaffecté à l'élément de révision.
Les réviseurs peuvent réassigner un élément de révision à une autre personne s'ils pensent qu'une autre personne est mieux placée pour examiner l'accès d'un utilisateur. La réaffectation d'un élément de révision ne repousse pas la date de fin de la campagne. Le nouveau réviseur doit approuver ou révoquer l'accès avant la fin de la campagne. Consultez la section Réaffecter les éléments de révision.
Pour les campagnes comportant des révisions à plusieurs niveaux, gardez les points suivants à l'esprit :
- Certains éléments de révision sont envoyés aux réviseurs de second niveau.
- Le réviseur de second niveau ne peut prendre une décision que lorsque le réviseur de premier niveau a approuvé ou révoqué un élément de révision. Il est important pour les réviseurs de premier niveau qu'ils terminent les révisions à temps afin de ne pas bloquer la progression de la campagne.
- Le réviseur de second niveau peut consulter la décision du réviseur de premier niveau, ainsi que sa justification, concernant un élément de révision.
- Le réviseur final dépend de la configuration de la campagne.
- La remédiation concerne uniquement les décisions du réviseur final. Voir Paramètres de remédiation.
Les réviseurs peuvent définir un autre utilisateur comme délégué ou apporter des modifications à leur délégué affecté uniquement si vous avez activé l'option Permettre aux utilisateurs finaux d'affecter leur propre délégué. Consultez la section Autoriser les utilisateurs à désigner des délégués.
Pour les campagnes comportant un volume élevé d'éléments à réviser, utilisez la fonctionnalité Révision intelligente pour prendre facilement des décisions d'accès plus réfléchies et plus précises.

Commencer cette tâche

Sur le End-User Dashboard, les réviseurs cliquent sur Okta Access Certification Reviews.
Sur la page Mes révisions, il accèdent à l'onglet Ouvrir et sélectionnent la campagne de certification d'accès qu'ils souhaitent commencer à réviser.
Facultatif. Si la révision intelligente est disponible pour la campagne, cliquez sur Commencer la révision et sélectionnez l'un des modes disponibles et suivez les instructions dans l'interface utilisateur :
- Par utilisateur
- Par ressource
- Par recommandation (Ce mode est disponible uniquement si vous avez configuré Governance Analyzer.)
(Facultatif) En mode Révision intelligente, les réviseurs peuvent cliquer sur Toutes les révisions pour afficher la File de révision (une liste d'étapes) et accéder rapidement aux différentes étapes.
(Facultatif) Personnalisez les filtres de colonne. Par exemple, si vous souhaitez voir les éléments de révision des utilisateurs dont les droits sont en conflit, sélectionnez la règle de séparation des tâches (SOD) ou le filtre de colonne Présente un conflit de séparation des tâches.

Remarque :
Les colonnes disponibles dans la section Révisions en attente et les champs disponibles dans le volet Détails de la révision dépendent des configurations de vos informations contextuelles avant le lancement de la campagne. Consultez Contexte personnalisable à destination du réviseur.
(Facultatif) Ils sélectionnent un élément de révision afin d'afficher plus d'informations sur l'utilisateur et la ressource qu'ils examinent, ainsi que sur l'utilisation de la ressource par l'utilisateur. Notez que les informations d'une collection de ressources sont disponibles uniquement si vous avez configuré des Collections de ressources pour votre org et personnalisé les paramètres de contexte.
Le panneau Détails de la révision comprend les sections suivantes.
- Détails de l'utilisateur : informations directement tirées du profil de l'utilisateur sur Okta.
- La section des détails de la ressource varie en fonction de la ressource (droit, application, groupe ou collection de ressources) examinée.
- Analyseur Governance : cette section (si elle est disponible) contient des insights et des recommandations Analyseur Governance.
- Détails sur le conflit SOD : cette section contient des informations sur les règles de séparation des tâches en conflit et les droits spécifiques à l'origine du conflit.
- Historique : cette section contient des informations utiles telles que des détails concernant l'affectation initiale du réviseur et du délégué, la justification commerciale de la réaffectation, des détails sur le réviseur affecté et la décision des réviseurs.
Facultatif. Ils peuvent cliquer sur Réaffecter pour réaffecter un élément de révision à une autre personne. Ils peuvent suivre les étapes 3 à 6 indiquées dans la rubrique Réaffecter les éléments de révision. Si vous avez désactivé la réaffectation des révisions pour une campagne, les réviseurs ne peuvent pas réaffecter un élément de révision depuis l'application Okta Certifications d'accès Review. Cependant, les super administrateurs ou les administrateurs des certifications d'accès peuvent toujours réaffecter les révisions depuis la page de la campagne dans l'Admin Console.
Les réviseurs cliquent sur Approuver ou Révoquer. Selon les paramètres de justificationde la campagne, ils pourront être amenés à saisir une justification commerciale pour justifier leur décision. Le processus de correction commence dès qu'ils approuvent ou refusent un accès.
Ils cliquent sur Soumettre.

Si le créateur de la campagne a autorisé les réviseurs à sélectionner plusieurs éléments de révision simultanément, ces réviseurs peuvent également sélectionner plusieurs éléments de révision et approuver un accès, le révoquer ou encore réaffecter les révisions des éléments sélectionnés. Ils ne peuvent effectuer qu'une seule action à la fois. Toute justification commerciale saisie s'applique aux éléments de révision sélectionnés. Les réviseurs peuvent toujours réatribuer plusieurs éléments de révision à un autre utilisateur, à condition de justifier cette réaffectation.

Les réviseurs peuvent également suivre les métriques de leurs réviseurs à l'aide des totaux figurant sur la page de la campagne. Par ailleurs, il est possible de référencer les éléments qu'ils ont déjà examinés à partir de l'onglet Clôturées de la page de la campagne. Dans l'onglet Clôturées, ils peuvent filtrer leurs révisions à l'aide de diverses options ou rechercher un utilisateur spécifique.

Rubriques liées

Réaffecter les éléments de révision

À propos des campagnes de révision