Configurer les paramètres

Configurez les paramètres pour toutes les demandes d'accès à l'app ou à la collection de ressources. Vous pouvez indiquer si les utilisateurs peuvent demander l'accès au nom d'autres utilisateurs. Vous pouvez également définir si les demandes d'accès qui provoquent un conflit entre les règles de séparation des tâches (SOD, separation of duties) sont autorisées, autorisées avec des paramètres personnalisés, ou bloquées.

Le paramètre de conflit SOD est disponible même si vous n'avez pas activé Governance Engine pour l'app ou défini des droits et des paquets. Dans ce cas, vous pouvez configurer les paramètres, mais ils n'auront aucun impact sur la demande d'accès.

Pour autoriser ou empêcher les demandeurs de réaffecter des tâches dans leurs demandes d'accès, consultez Autoriser les demandeurs à escalader les tâches.

Commencer cette tâche

  1. Accédez aux paramètres de demande d'accès pour une app, une collection de ressources ou les rôles d'administrateur.

    Paramètres de demande d'accès pour une app

    1. Dans Admin Console, accédez à ApplicationsApplications.

    2. Sélectionnez une app et accédez à l'onglet Requêtes d'accès sur la page de profil de l'app.

    3. Cliquez sur Paramètres.

    Paramètres de demande d'accès pour une collection de ressources

    1. Dans l'Admin Console, accédez à Identity GovernanceCollectes de ressources.

    2. Recherchez la collection et cliquez sur l'option Voir correspondant à cette collection.

    3. Accédez à l'onglet Demandes d'accès.

    4. Cliquez sur Paramètres.

    Paramètres de demande d'accès pour les rôles d'administrateur

    1. Dans l'Admin Console, accédez à SécuritéAdministrateursGouvernance.

    2. Cliquez sur Demandes d'accès.

    3. Cliquez sur Paramètres.

  2. Configurez les paramètres pour autoriser ou bloquer les demandes au nom d'un autre utilisateur et les demandes impliquant des conflits de séparation des tâches.

    Configurer le paramètre Demande au nom de

    Pour permettre à un utilisateur de demander l'accès pour un autre utilisateur, activez l'option Activer la demande au nom de.

    • Seuls les managers peuvent demander l'accès pour leurs subordonnés : cette option permet uniquement aux gestionnaires de demander un accès au nom de leur équipe.

    • Tous les utilisateurs peuvent demander l'accès pour les autres utilisateurs : cette option permet à tous les utilisateurs de l'org de demander accès à la ressource au nom d'autres utilisateurs, indépendamment de leurs rôles et de leurs relations hiérarchiques au sein de l'org.

      Ces options n'empêchent pas un utilisateur de demander un accès pour lui-même.

    Définissez ce qui se produit lorsqu'un conflit de séparation des tâches (SOD) se produit.

    Cette option n'est pas disponible pour les demandes d'accès pour les rôles d'administrateur.

    Par défaut, un demandeur ne peut pas soumettre de demande d'accès pour les paquets de droits qui entrent en conflit avec ses attributions de droits existantes. Pour modifier cela, cliquez sur Modifier et sélectionnez l'une des options suivantes :

    • Autoriser les demandes : les demandeurs voient un avertissement, mais ils peuvent demander un accès. Leur accès est traité à l'aide des paramètres définis dans la condition de demande d'accès applicable.

    • Autoriser les demandes avec des paramètres personnalisés : les demandeurs voient un avertissement, mais ils peuvent demander un accès. Toutefois, leur demande est gérée par la séquence d'approbation et la durée d'accès que vous spécifiez sur cette page.

      1. Sélectionnez une séquence d'approbation.

      2. Spécifiez la durée d'accès.

      Pour les demandes d'accès qui provoquent des conflits SOD, la séquence d'approbation et la durée d'accès que vous spécifiez ici remplacent les paramètres similaires définis dans toute autre condition pour cette app.

    • Bloquer les demandes : les demandeurs peuvent voir le niveau d'accès, mais ne peuvent pas le demander. Il s'agit du paramètre par défaut.

      Okta évalue les règles de séparation des tâches en fonction des affectations de droits existantes du demandeur au moment où il soumet la requête. Cela signifie que les avertissements de conflit de règles de séparation des tâches ne seront pas affichés aux demandeurs et ne les empêcheront pas de demander l'accès à des droits en conflit s'ils créent plusieurs requêtes dans un court laps de temps ou si plusieurs requêtes sont ouvertes simultanément.

      Avant d'accorder l'accès, vérifiez toutes les requêtes ouvertes provenant du demandeur pour vous assurer qu'il n'y a aucun conflit entre les requêtes de droits et les règles de séparation des tâches. Par ailleurs, exécutez des campagnes de certification des droits d'accès qui examinent régulièrement les conflits de séparation des tâches afin de révoquer les affectations de droits conflictuelles.

  3. Cliquez sur Enregistrer. L'événement Paramètres de la demande d'accès mis à jour est enregistré dans le System Log.

Rubriques connexes

Créer des requêtes