Considérations et bonnes pratiques pour l'intégration de Slack et Microsoft Teams
L'intégration d'Access Requests à Slack et Microsoft Teams vous aide à rationaliser la gestion des demandes et à améliorer la productivité des utilisateurs.
Si vous avez activé la fonctionnalité Identity Governance – Notifications Slack pour votre org, vous pouvez également utiliser Slack pour avertir les administrateurs et les réviseurs de campagnes sur Access Certification.
Toutefois, gardez à l'esprit les considérations et les bonnes pratiques suivantes avant d'intégrer Slack ou Microsoft Teams à votre org Okta.
Considérations
-
Les demandes et les approbations dans Slack et Microsoft Teams utilisent la session de l'application de chat, et non la session Okta. Les applications de chat ont souvent des politiques d'authentification souples, le niveau de sécurité de cette action pourrait donc ne pas répondre aux standards de sécurité de votre org. Une session de chat compromise pourrait permettre à un acteur malveillant d'effectuer des demandes sans avoir à se réauthentifier auprès d'Okta.
-
L'intégration fait correspondre les utilisateurs de l'application de chat aux utilisateurs Okta par adresse e-mail. Si ces attributs ne sont pas gérés de manière stricte (c'est-à-dire s'ils peuvent être modifiés par des utilisateurs ou ne proviennent pas d'un système de confiance), des utilisateurs pourraient usurper l'identité d'autres personnes afin d'obtenir un accès non autorisé.
-
Les utilisateurs ne peuvent pas approuver leurs propres demandes, à moins d'être désignés individuellement comme approbateurs. Cela permet d'éviter qu'une identité compromise ne soit utilisée à la fois pour soumettre et approuver sa propre requête d'accès et définir eux-mêmes la priorité de leurs demandes.
-
Les demandes de rôles administrateur Okta ne peuvent être ni soumises ni approuvées depuis des applications de chat. Les demandeurs doivent demander l'accès au rôle administrateur depuis Okta End-User Dashboard et les approbateurs doivent approuver l'accès au rôle administrateur dans l'application Okta Access Requests. Cette approche oblige à disposer d'une session Okta valide pour les deux actions et applique vos politiques d'authentification les plus strictes aux actions sensibles.
Bonnes pratiques
-
Appliquer des politiques strictes en matière d'authentification et de session
La sécurité d'Access Requests dans Slack et Microsoft Teams dépend de la sécurité de l'application de chat. Configurez les politiques d'authentification des applications pour Slack et Teams afin d'obliger les utilisateurs à se réauthentifier régulièrement. Cela permet de réduire le risque de sessions compromises et de longue durée. Pour les applications critiques, exigez une réauthentification fréquente et des facteurs forts, tels que l'authentification multifacteur (MFA) résistante à l'hameçonnage. Ainsi, même si un accès non autorisé est approuvé par Access Requests, l'utilisateur doit se soumettre à des niveaux d'assurance élevés pour utiliser cet accès.
-
Activer Universal Logout
Universal Logout met immédiatement fin aux sessions lorsqu'un risque est détecté. Elle est actuellement prise en charge pour Slack Enterprise et vous pouvez la configurer pour déclencher la fin de la session dès qu'un risque est détecté. Consultez Applications tierces prenant en charge Universal Logout pour obtenir la liste complète des applications prises en charge.
-
Centraliser votre source de données
Synchronisez les attributs critiques des utilisateurs, tels que les adresses e-mail, à partir d'une source de référence unique, comme un système d'information des ressources humaines (SIRH) ou Active Directory. Configurez les paramètres de l'application de chat pour empêcher les utilisateurs de modifier leur propre adresse e-mail. Cela permet d'empêcher les hackers informatiques d'usurper l'identité d'autres utilisateurs afin de contourner les workflows d'approbation.
-
Activer la fonctionnalité Expérience de requête unifiée
Lorsque vous activez la fonctionnalité Expérience de requête unifiée, tous les utilisateurs sont redirigés vers le Web pour soumettre leurs demandes, ce qui nécessite une session Okta valide. Bien que les autorisations puissent toujours être accordées dans Slack, cela élimine les vecteurs à haut risque d'accès non autorisé. L'expérience de requête unifiée garantit qu'une session Okta est nécessaire pour obtenir un accès, renforçant ainsi votre posture de sécurité.