Comprendre la remédiation
Les paramètres de remédiation vous permettent de déterminer ce qui se produit lorsqu'un réviseur approuve ou révoque l'accès d'un utilisateur à une ressource, ou ne procède pas à la révision. Vous avez également la possibilité de personnaliser la remédiation à l'aide des Okta Workflows. Vous devez procéder à une remédiation manuelle des révisions si l'affectation d'un utilisateur à une app ou à un groupe passe par des règles de groupe ou par l'appartenance à un groupe.
- Remédiation pour les campagnes avec révisions à plusieurs niveaux
- Personnaliser la remédiation à l'aide des Okta Workflows
- Gérer la remédiation manuellement
Remédiation pour les campagnes avec révisions à plusieurs niveaux
Pour les campagnes avec un seul niveau d'évaluation, le processus de remédiation commence dès que le réviseur approuve ou révoque l'accès d'un utilisateur.
Pour les campagnes qui comportent des révisions à plusieurs niveaux, les révisions sont envoyées au réviseur de second niveau uniquement après que le réviseur de premier niveau les a approuvées ou révoquées. Si le réviseur de premier niveau ne répond pas et que la campagne se termine, la configuration de votre remédiation pour le réviseur Ne répond pas prend effet.
Les décisions du réviseur de premier niveau qui sont envoyées au réviseur de second niveau déterminent le réviseur final pour ces éléments et la remédiation qui s'en suit.
Décisions approuvées uniquement: le réviseur de second niveau est le réviseur final pour les révisions approuvées. S'il ne répond pas et que la campagne se termine, votre configuration de la remédiation pour le réviseur Ne répond pas prend effet.
Par exemple, vous avez que les Décisions approuvées uniquementsont transmises au réviseur de second niveau. Dans ce cas, le réviseur de second niveau est le réviseur final pour tous les éléments de révision approuvés, mais pas pour les éléments révoqués. Votre configuration de la remédiation s'applique aux décisions prises par le réviseur de second niveau.
Cependant, pour les éléments de révision que le réviseur de premier niveau a révoqués, le réviseur de premier niveau est le réviseur final. Votre configuration de la remédiation pour Révoquer l'accès s'applique pour ces révisions.
Décisions approuvées et révoquées: le réviseur de second niveau est le réviseur final pour toutes les révisions approuvées et révoquées. Si le réviseur de deuxième niveau ne répond pas et que la campagne se termine, la configuration de votre remédiation pour le réviseur Ne répond pas prend effet.
Par exemple, vous avez sélectionné Décisions approuvées et révoquées pour le réviseur de second niveau. Dans ce cas, le réviseur de second niveau est le réviseur final pour ces éléments de révision. Votre configuration de la remédiation s'applique aux décisions prises par le réviseur de second niveau. S'il ne répond pas, votre configuration de la remédiation pour le réviseur Ne répond pas prend effet.
Personnaliser la remédiation à l'aide des Okta Workflows
Les Okta Workflows vous permettent d'automatiser les tâches de remédiation suivantes :
-
Déclencher un ticket pour votre service de gestion de TI (ITSM), comme ServiceNow, afin de déprovisionner manuellement les comptes de votre application.
-
Retarder les événements de remédiation de quelques jours ou jusqu'à la fin de la campagne.
-
Envoyer des notifications personnalisées aux utilisateurs dont l'accès a été révoqué. Ils sauront ainsi qu'ils peuvent refaire une demande d'accès si nécessaire.
Vous pouvez utiliser toutes les décisions relatives aux certifications d'accès comme des événements afin de créer des workflows personnalisés. Consultez la section Décision de certification d'accès soumise dans le connecteur Okta.
Pour obtenir des informations supplémentaires sur la configuration des Okta Workflows, consultez la section Créer des flux.
Gérer la remédiation manuellement
Si vous avez défini Supprimer l'utilisateur de la ressource comme option de remédiation, le statut de la remédiation peut être défini sur Remédiation manuelle requise dans le situations suivantes :
-
L'utilisateur a été affecté à une application par l'intermédiaire d'un groupe ou d'une collecte de ressources
-
L'utilisateur a été affecté à un groupe par l'intermédiaire des règles de groupe.
-
L'utilisateur est membre d'un groupe provenant d'une application.
-
Des droits ont été affectés à utilisateur par le biais d'une collecte de ressources.
Si vous avez sélectionné Supprimer automatiquement l'accès basé sur les groupes, les certifications d'accès peuvent automatiquement révoquer l'accès des utilisateur aux apps affectées aux groupes. Cependant, vous devez toujours procéder à la remédiation de l'accès des utilisateur si l'app a été affectée à l'aide de règles de groupe ou si le groupe est un groupe provenant d'une app.
La remédiation de groupe améliorée n'est disponible que pour les campagnes de ressources qui examinent l'accès aux apps sans examiner les droits.
Si vous êtes abonné à Okta Privileged Access et que vous incluez des comptes de service en tant que portée des ressources dans une campagne, vous devez procéder à la remédiation manuelle de l'accès aux comptes de service.
Considérations relatives à la remédiation manuelle
-
Avant de supprimer un utilisateur d'un groupe, vérifiez les affectations dont dispose l'utilisateur en raison de son appartenance au groupe. En effet, les apps, les rôles d'administrateurs, les politiques d'authentifications et bien d'autres privilèges sont souvent affectés par l'intermédiaire des groupes. Le fait de supprimer un utilisateur d'un groupe révoque l'ensemble des affectations obtenues par l'utilisateur via ce groupe.
-
Vérifiez si l' utilisateur appartient à plusieurs groupes qui pourraient l'affecter à une application. Pour supprimer l'accès, vous devez supprimer l'utilisateur de tous les groupes qui lui donnent accès à une application.
-
Avant de supprimer un groupe en provenance d'une application, vérifiez son utilisation dans l'aplication source.
Pour procéder à la remédiation de l'accès, procédez aux actions recommandées suivantes :
|
Ressource |
Affectée via |
Action recommandée |
|---|---|---|
|
Application |
Appartenance à un groupe en provenance d'Okta |
Supprimez l'utilisateur du groupe en provenance d'Okta à l'aide des workflows. |
|
Application |
Appartenance à un groupe en provenance d'une application (par exemple, un groupe Active Directory [AD]) |
Supprimez l'utilisateur du groupe en provenance de l'application. |
|
Application |
Collecte de ressources |
Supprimez l'utilisateur ou l'app de la collecte de ressources. |
|
Droit de l'utilisateur |
Collecte de ressources |
Supprimez le droit de la collecte de ressources. |
|
Groupe en provenance d'Okta |
Règles de groupe |
Supprimez l'utilisateur du groupe et ajoutez-le en tant qu'exception à la règle du groupe. |
|
Groupe en provenance d'une application |
Importations |
Supprimez l'utilisateur du groupe en provenance de l'application. |
|
Le compte de service associé avec l'app (géré dans Okta Privileged Access) |
Groupe ou politique de sécurité |
Supprimez l'utilisateur du groupe, du projet ou de la politique de sécurité |
Rubriques connexes
Créer des campagnes préconfigurées