Okta Privileged Access avec demandes d'accès

Lorsque des clients s'inscrivent à Okta Privileged Access, une org Demandes d'accès est configurée et une équipe est automatiquement générée. Par défaut, Demandes d'accès configure des comptes pour tous les super administrateurs Okta et les administrateurs Demandes d'accès. Néanmoins, tout autre utilisateur ou groupe doit avoir une autorisation spécifique.

Lorsque vous intégrez Okta Privileged Access à Demandes d'accès, l'administrateur de sécurité d'Okta Privileged Access peut inclure une exigence de requête/d'approbation dans la politique de sécurité. Un administrateur Demandes d'accès configure les conditions d'approbation de la requête en créant un type de requête, puis l'administrateur de sécurité Okta Privileged Access peut utiliser le type de requête dans la politique de sécurité Okta Privileged Access. Les administrateurs de sécurité peuvent protéger l'accès aux ressources privilégiées en ajoutant une condition qui exige que les utilisateurs finaux envoient une requête pour accéder à une ressource. Un utilisateur désigné ou un groupe d'utilisateurs doit approuver la requête.

Comment Demandes d'accès fonctionne avec Okta Privileged Access

Étape Utilisateur Tâche

1.

Administrateur Okta Demandes d'accès

Crée un ou plusieurs types de requêtes à utiliser dans la politique de sécurité Okta Privileged Access.

2.

 Administrateur de sécurité Okta Privileged Access Active dans la politique de sécurité les conditions pour exiger une approbation avant d'accorder un accès privilégié à une ressource. Pour ce faire, il convient d'ajouter une règle à une politique et sélectionner le type de requête à utiliser.

3.

 Utilisateur Okta Privileged Access

L'utilisateur tente d'accéder à une ressource privilégiée.

La requête de l'utilisateur est comparée à la politique Okta Privileged Access et, en fonction de cette politique, une demande d'accès est automatiquement initiée si elle est requise.

4.

Approbateurs des requêtes Okta Privileged Access

Approuve ou rejette la requête.

Les approbateurs reçoivent une notification leur indiquant qu'une approbation en attente est nécessaire. Le processus d'approbation est basé sur la façon dont la solution Demande d'accès est configurée et les canaux utilisés par l'organisation pour informer l'approbateur.

Configurer la connexion Okta Privileged Access dans Demande d'accès

Okta Privileged Access est configuré avec un ensemble de fonctionnalités de demandes d'accès. Lorsque vous configurez une connexion Okta Privileged Access dans Demandes d'accès, vous devez configurer le connecteur Okta Privileged Access dans Demandes d'accès, puis créer un ou plusieurs types de requêtes. Une fois que le type de requête est créé et publié, les conditions d'approbation sont visibles dans la politique de sécurité Okta Privileged Access. Les administrateurs de sécurité Okta Privileged Access peuvent ensuite activer ces conditions. Une fois que la condition pour exiger l'approbation de la requête est activée, une demande d'accès est automatiquement initiée lorsque les utilisateurs essaient d'accéder à une ressource.

La durée de l'approbation peut être configurée et commence dès que la requête est approuvée. Pour les serveurs, lorsqu'elle expire, toute nouvelle tentative de connexion nécessite une nouvelle approbation. Si un utilisateur accède à son compte, la session prend fin lorsque l'approbation expire. Pour les comptes partagés, la session reste active une fois la durée d'approbation terminée. Après l'expiration de la durée, toute nouvelle action impliquant des secrets nécessitera une nouvelle approbation.

Administrateur Demandes d'accès, le demandeur (l'utilisateur final) et l'approbateur peuvent utiliser la console Demandes d'accès pour consulter les mises à jour pertinentes pour leur requête. Par exemple, l'utilisateur final peut consulter le statut de sa requête, et les approbateurs peuvent consulter l'historique des requêtes qu'ils ont reçues.

Lors de la configuration de Demandes d'accès avec Okta Privileged Access, la possibilité de créer une liste de ressources n'est pas disponible.

Conditions nécessaires

  • Assurez-vous d'être connecté en tant qu'administrateur Demandes d'accès.

  • Assurez-vous que la dernière version du client Okta Privileged Access est installée.

Configurer la connexion Okta Privileged Access dans Demandes d'accès

La première étape consiste à établir une connexion Okta Privileged Access dans Demandes d'accès. Une fois la connexion établie entre Okta Privileged Access et Demandes d'accès, vous pouvez créer les types de requêtes qui seront visibles dans la politique de sécurité Okta Privileged Access.

  1. Dans la console Demandes d'accès, accédez à Paramètres.

  2. Cliquez sur Se connecter sur la carte Okta Privileged Access.

  3. Dans la boîte de dialogue qui s'affiche, procédez comme suit :

    1. Saisissez le nom de votre équipe Okta Privileged Access et cliquez sur Se connecter.

    2. Sous Équipes, utilisez le menu déroulant pour sélectionner votre équipe Okta Privileged Access.

    3. Assurez-vous que les options Approuver la demande d'accès et Refuser la demande d'accès sont activés.

    4. Cliquez sur Mettre la connexion à jour.

Créer un type de requête

Vous devez effectuer plusieurs étapes spécifiées et obligatoires pour générer avec succès un type de requête qui fonctionne avec une politique Okta Privileged Access. Vous devez au moins ajouter les étapes suivantes au processus de requête/d'approbation :

  • Une tâche d'approbation de premier niveau
  • Une action pour approuver la requête
  • Une action pour refuser la requête

Vous pouvez éventuellement ajouter d'autres étapes au processus. Par exemple, vous pouvez demander à l'utilisateur final de fournir une justification commerciale pour la requête.

Okta Privileged Access n'utilise pas ou n'applique pas le paramètre de date d'échéance dans Demandes d'accès.

Tâche 1 : ajouter les détails du type de requête

  1. Dans la console Demandes d'accès, accédez à Équipes Toutes.
  2. Cliquez sur la carte Okta Privileged Access.
  3. Sélectionnez l'onglet Types de requêtes.
  4. Cliquez sur Ajouter un type de requête.
  5. Dans la boîte de dialogue qui s'affiche, procédez comme suit :
    1. Saisissez un nom et ajoutez une description. Notez le nom ; vous en aurez besoin lors de la création d'une politique Okta Privileged Access.
    2. Sélectionnez une équipe.
    3. Sélectionnez un public.
    4. Cliquez sur Continuer.

Tâche 2 : ajouter une tâche d'approbation

Vous devez ajouter une tâche d'approbation de premier niveau au type de requête.

  1. Cliquez sur Ajouter au type de requête dans la section Approbation.

  2. Sur la page Tâches et actions, procédez comme suit :

    1. Dans le champ Texte, saisissez le texte qui s'affiche dans la question Demande d'accès.

    2. Sélectionnez Définir comme une tâche requise.

    3. Dans le champ Affecté à, sélectionnez un chargé de requêtes. Il s'agit de l'approbateur de votre requête.

Tâche 3 : configurer l'action d'approbation des demandes d'accès

  1. Cliquez sur Action Okta Privileged Access.

  2. Sélectionnez Approuver la demande d'accès. Un élément d'action est créé.

  3. Dans le champ Texte, saisissez le texte qui s'affiche dans la question.

  4. Sélectionnez Définir comme requise.

  5. Sélectionnez Exécuter automatiquement pour exécuter l'action automatiquement. Le fichier Affecté à est automatiquement renseigné.

  6. Facultatif. Définissez une date d'échéance.

  7. Sélectionnez l'onglet Logique et procédez comme suit :

    1. Sélectionnez Afficher cette tâche uniquement si depuis le menu déroulant.

    2. Dans Champ ou tâche, sélectionnez le nom de la tâche d'approbation que vous avez créée, puis sélectionnez est approuvé.

Tâche 4 : mettre à jour la logique dans les tâches d'approbation

  1. Sélectionnez la tâche d'approbation que vous venez de créer. Un onglet Logique sera désormais disponible pour la configuration.

  2. Cliquez sur l'onglet Logique.

  3. Sélectionnez Toujours afficher cette tâche.

Tâche 5 : configurer la tâche de refus des demandes d'accès

  1. Cliquez sur Action Okta Privileged Access.

  2. Sélectionnez Refuser la demande d'accès. Un élément d'action est créé.

  3. Dans le champ Texte, saisissez un objet pour la tâche.

  4. Sélectionnez Définir comme une tâche requise.

  5. Sélectionnez Exécuter automatiquement pour exécuter cette action automatiquement. Le champ Affecté à est automatiquement renseigné.

  6. Facultatif. Ajoutez une date d'échéance.

  7. Sélectionnez l'onglet Logique et procédez comme suit :

    1. Sélectionnez Afficher cette tâche uniquement si depuis le menu déroulant.

    2. Dans le champ Champ ou tâche, sélectionnez le nom de la tâche d'approbation que vous avez créée.

    3. Dans le champ Conditions, sélectionnez est refusé.

  8. Vérifiez votre saisie, puis cliquez sur Publier.

L'administrateur de sécurité Okta Privileged Access pourra désormais activer cette nouvelle condition de type de requête lorsqu'il créera une politique. Consultez la section Créer ou mettre à jour une politique de sécurité.

Tâche 6 : tester la configuration de Demandes d'accès

Pour tester Demandes d'accès avec Okta Privileged Access, vous devez procéder comme suit :

  1. Ajoutez votre serveur et vos comptes locaux à Okta Privileged Access. Consultez la section Projets.
  2. Créez une politique pour protéger l'accès à un autre compte intégré. Consultez la section Créer ou mettre à jour une politique de sécurité.
  3. Publiez la politique. Consultez la section Publier une politique.
  4. Les utilisateurs finaux peuvent ensuite utiliser le client Okta Privileged Access pour tester la configuration en accédant au serveur pour vous connecter via SSH au compte qui nécessite une approbation. Consultez la section Utiliser le client Okta Privileged Access.
  5. Lorsqu'un utilisateur tente d'accéder à un serveur, une requête est automatiquement générée et l'approbateur reçoit la notification de la demande d'accès. Le statut de la requête peut être consulté sur la console Demandes d'accès.

Rubrique liée

Créer ou mettre à jour une politique de sécurité

Conditions des règles