Configurer les règles de compte Active Directory

Version en accès anticipé

Vous pouvez créer des règles de compte individuel, des règles de compte partagé et gérer les règles en modifiant leur ordre de priorité ou en les supprimant.

Avant de commencer

• Vous devez avoir un rôle administrateur de ressources Okta Privileged Access.

• Examinez les exigences et les limites et effectuez les étapes requises.

• Pour créer une règle de compte individuel, vous devez d'abord configurer les paramètres de la règle de compte individuel.

• Les comptes doivent être importés dans Okta avant d'être découverts par Okta Privileged Access. La fréquence des importations d'agents AD affecte la fréquence d'apparition des comptes dans Okta Privileged Access.

• Il existe des problèmes connus lors de la gestion des comptes Active Directory avec Okta Privileged Access. Consultez la section Intégration d'Active Directory pour Okta Privileged Access en accès anticipé - Problèmes connus.

Configurer les paramètres de règle de compte individuel

Si vous n'avez pas encore configuré ce paramètre, un avis prenant la forme d'une bannière jaune sera visible sur la page Règles de compte.

1. Dans le tableau de bord Okta Privileged Access, accédez à Administration des ressources Affectation des ressources.

2. Sélectionnez l'onglet Active Directory, puis le domaine AD que vous souhaitez configurer.

3. Cliquez sur Configurer les paramètres sur la bannière de notification.

4. Spécifiez les critères de correspondance des utilisateurs pour les correspondances exactes. Sélectionnez une ou plusieurs des options suivantes :

   • Nom de compte

   • Prénom et nom

   • Nom d'affichage

   • Adresse e-mail

   • Commence par (préfixe)

   • Se termine par (suffixe)

     Vous pouvez configurer plusieurs chaînes de préfixes et de suffixes ainsi que d'autres options. Lorsque ces options sont configurées, elles fonctionnent comme une opération OU, ce qui signifie que n'importe laquelle des options configurées peut être utilisée pour corréler et affecter des comptes individuels. Si plusieurs comptes Active Directory (AD) correspondent à un seul utilisateur, l'ensemble de ces comptes sera affecté à cet utilisateur. Cela permet à un seul utilisateur de posséder et de se voir affecter plusieurs comptes AD.

Exemples pour la configuration Commence par et Se termine par

Vous trouverez ci-dessous des exemples d'utilisation des opérateurs Commence par et Se termine par :

• Vous pouvez filtrer les schémas de dénomination de type admin.Username en saisissant : Commence par = admin.

• Si vous avez un schéma de dénomination Active Directory de type Username-A, vous pouvez saisir Se termine par = -A.

• Vous pouvez filtrer les schémas de dénomination de type Username-A en saisissant : Se termine par = -A.

• Vous pouvez filtrer plusieurs schémas de dénomination de type tier0.Username, tier1.Username, tier2.Username en saisissant :

  • Commence par = tier0

  • Commence par = tier1

  • Commence par = tier2

Créer une règle de compte individuel

Vous pouvez créer plusieurs règles pour un domaine Active Directory (AD). Chaque règle indique si elle met en correspondance un compte partagé ou individuel, l'unité organisationnelle (OU) pour laquelle la règle est définie, ainsi que le groupe de ressources et le projet auxquels les comptes seront affectés.

Vous devez configurer le paramètre de règle de compte individuel pour créer une règle de compte individuel. Les règles de compte individuel sont désactivées tant que les paramètres de règle de compte individuel ne sont pas configurés.

1. Dans le tableau de bord Okta Privileged Access, accédez à Administration des ressources Affectation des ressources.

2. Sélectionnez l'onglet Active Directory, puis le domaine AD que vous souhaitez configurer.

3. Sélectionnez l'onglet Règles de compte.

4. Cliquez sur Créer une règle de compte Individuel, puis procédez comme suit :

   Paramètre	Action
   Type de règle	Sélectionnez un type de règle.
   Nom de la règle	Saisissez un nom de la règle.
   Paramètres	Procédez à la configuration suivante : Conserver les comptes découverts en tant qu'utilisateurs Okta existants Lorsque cette fonctionnalité est activée, Okta Privileged Access gère les mots de passe de tout compte AD découvert par cette règle, garantissant ainsi que l'utilisateur Okta associé reste actif. Cette opération sécurise le mot de passe du compte Okta dans Okta Privileged Access et met indirectement en place une rotation du mot de passe AD en faisant pivoter le mot de passe de l'utilisateur Okta qui lui est associé. Pour pouvoir utiliser cette fonctionnalité, la synchronisation des mots de passe d'Okta vers AD doit être activée dans l'Okta Admin Console pour l'intégration AD. Il s'agit d'une condition nécessaire essentielle, et les administrateurs Okta doivent avoir configuré l'un des paramètres suivants : Synchroniser les mots de passe d'Active Directory vers Okta : lorsqu'Okta Privileged Access modifie le mot de passe d'un utilisateur, l'agent AD d'Okta le met à jour dans AD. Activer authentification déléguée pour Active Directory : permet à AD de servir de source principale pour l'authentification, ce qui simplifie également la synchronisation des mots de passe dans le cadre de ce processus. Effectuer une rotation du mot de passe lors de la découverte Sous Paramètres, la fonctionnalité Effectuer une rotation du mot de passe lors de la découverte est activée par défaut. Décochez la case pour la désactiver. Si vous désactivez cette option, les comptes AD dans Okta Privileged Access passent à l'état non géré. Les utilisateurs ne peuvent pas afficher les mots de passe de ces comptes tant qu'ils n'ont pas été modifiés au moins une fois. Les administrateurs de sécurité doivent créer des politiques de sécurité à l'aide de règles Active Directory (AD) qui autorisent la rotation des mots de passe pour ces comptes. Cette opération permet aux utilisateurs disposant du privilège de rotation des mots de passe de changer les mots de passe de leurs comptes une fois qu'ils sont prêts.
   Unité organisationnelle	Procédez comme suit : Incluez tous les comptes dans l'OU, en indiquant une unité organisationnelle. Par exemple, ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz Facultatif. Vous pouvez Définir des comptes à l'aide de conditions. Ces filtres améliorés ne sont disponibles que lorsque l'option Conserver les comptes découverts en tant qu'utilisateur Okta existant est sélectionnée à l'étape précédente. Pour chaque OU, un compte n'est mis en correspondance que si toutes les conditions sont remplies. Vous pouvez configurer les types de filtre suivants : Nom du compte : ce filtre vous permet de filtrer les comptes au sein d'une unité organisationnelle (OU) en fonction de leur nom d'utilisateur principal (UPN) ou de leur sAMAccountName. Si une règle comporte plusieurs filtres, le compte doit correspondre à tous les filtres. Les opérateurs suivants sont pris en charge : STARTS_WITH, ENDS_WITH, CONTAINS, EQUALS. Vous pouvez créer un ou plusieurs filtres, mais chaque opérateur pris en charge ne peut être utilisé qu'une seule fois pour chaque OU. Groupe Okta : ce filtre vous permet de filtrer les comptes en fonction de leur appartenance à un groupe Okta précis. Seul l'opérateur EQUALS est pris en charge. Pour plus d'informations sur la bonne utilisation des filtres, consultez la section Hiérarchisation et ordre des règles pour les OU Active Directory. Facultatif. Cliquez sur Ajouter une autre entrée pour ajouter une autre OU.
   Groupes de ressources	Sélectionnez un groupe de ressources.
   Projet	Sélectionnez un projet.

S'il y a plusieurs règles, les nouvelles règles ont la priorité la plus faible. Pour modifier la priorité, consultez la section Modifier la priorité des règles.

Créer une règle de compte partagé

Créez des règles de compte partagé pour gérer les comptes utilisés par plusieurs personnes.

1. Dans le tableau de bord Okta Privileged Access, accédez à Administration des ressourcesGestion des ressources.

2. Sélectionnez l'onglet Active Directory, puis le domaine AD que vous souhaitez configurer.

3. Sélectionnez l'onglet Règles de compte.

4. Cliquez sur Créer une règle de compte Partagé, puis procédez comme suit :

   Paramètre	Action
   Type de règle	Sélectionnez un type de règle.
   Nom de la règle	Saisissez un nom de la règle.
   Paramètres	Procédez à la configuration suivante : Conserver les comptes découverts en tant qu'utilisateurs Okta existants Lorsque cette fonctionnalité est activée, Okta Privileged Access gère les mots de passe de tout compte AD découvert par cette règle, garantissant ainsi que l'utilisateur Okta associé reste actif. Cette opération sécurise le mot de passe du compte Okta dans Okta Privileged Access et met indirectement en place une rotation du mot de passe AD en faisant pivoter le mot de passe de l'utilisateur Okta qui lui est associé. Pour pouvoir utiliser cette fonctionnalité, la synchronisation des mots de passe d'Okta vers AD doit être activée dans l'Okta Admin Console pour l'intégration AD. Il s'agit d'une condition nécessaire essentielle, et les administrateurs Okta doivent avoir configuré l'un des paramètres suivants : Synchroniser les mots de passe d'Active Directory vers Okta : lorsqu'Okta Privileged Access modifie le mot de passe d'un utilisateur, l'agent AD d'Okta le met à jour dans AD. Activer authentification déléguée pour Active Directory : permet à AD de servir de source principale pour l'authentification, ce qui simplifie également la synchronisation des mots de passe dans le cadre de ce processus. Effectuer une rotation du mot de passe lors de la découverte Sous Paramètres, la fonctionnalité Effectuer une rotation du mot de passe lors de la découverte est activée par défaut. Décochez la case pour la désactiver. Si vous désactivez cette option, les comptes AD dans Okta Privileged Access passent à l'état non géré. Les utilisateurs ne peuvent pas afficher les mots de passe de ces comptes tant qu'ils n'ont pas été modifiés au moins une fois. Les administrateurs de sécurité doivent créer des politiques de sécurité à l'aide de règles Active Directory (AD) qui autorisent la rotation des mots de passe pour ces comptes. Cette opération permet aux utilisateurs disposant du privilège de rotation des mots de passe de changer les mots de passe de leurs comptes une fois qu'ils sont prêts.
   Unité organisationnelle	Procédez comme suit : Incluez tous les comptes dans l'OU, en indiquant une unité organisationnelle. Par exemple, ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz Facultatif. Vous pouvez Définir des comptes à l'aide de conditions. Ces filtres améliorés ne sont disponibles que lorsque l'option Conserver les comptes découverts en tant qu'utilisateur Okta existant est sélectionnée à l'étape précédente. Pour chaque OU, un compte n'est mis en correspondance que si toutes les conditions sont remplies. Vous pouvez configurer les types de filtre suivants : Nom du compte : ce filtre vous permet de filtrer les comptes au sein d'une unité organisationnelle (OU) en fonction de leur nom d'utilisateur principal (UPN) ou de leur sAMAccountName. Si une règle comporte plusieurs filtres, le compte doit correspondre à tous les filtres. Les opérateurs suivants sont pris en charge : STARTS_WITH, ENDS_WITH, CONTAINS, EQUALS. Vous pouvez créer un ou plusieurs filtres, mais chaque opérateur pris en charge ne peut être utilisé qu'une seule fois pour chaque OU. Groupe Okta : ce filtre vous permet de filtrer les comptes en fonction de leur appartenance à un groupe Okta précis. Seul l'opérateur EQUALS est pris en charge. Pour plus d'informations sur la bonne utilisation des filtres, consultez la section Hiérarchisation et ordre des règles pour les OU Active Directory. Facultatif. Cliquez sur Ajouter une autre entrée pour ajouter une autre OU.
   Groupes de ressources	Sélectionnez un groupe de ressources.
   Projet	Sélectionnez un projet.

S'il y a plusieurs règles, les nouvelles règles ont la priorité la plus faible. Pour modifier la priorité, consultez la section Modifier la priorité des règles.

Modifier la priorité des règles

S'il y a plusieurs règles, toutes les nouvelles règles sont ajoutées en tant que priorité de dernier rang. Vous pouvez modifier la priorité d'une règle en modifiant la priorité.

1. Dans le tableau de bord Okta Privileged Access, accédez à Administration des ressources Affectation des ressources.

2. Sélectionnez l'onglet Active Directory, puis le domaine AD que vous souhaitez configurer.

3. Sélectionnez l'onglet Règles de compte.

4. Cliquez sur Modifier la priorité.

5. Glissez et déplacez une règle pour lui donner la priorité, ou cliquez sur le menu déroulant et sélectionnez les options disponibles pour déplacer la priorité vers le haut ou le bas.

6. Cliquez sur Enregistrer la priorité.

Arrêter de gérer des comptes AD

S'il est nécessaire de supprimer un compte AD d'Okta Privileged Access, vous devez supprimer la règle de compte.

1. Dans le tableau de bord Okta Privileged Access, accédez à Administration des ressources Affectation des ressources.

2. Sélectionnez l'onglet Active Directory, puis le domaine AD que vous souhaitez configurer.

3. Sélectionnez l'onglet Règles de compte.

4. Trouvez la règle qui cible l'OU de ce compte, puis supprimez-la.

Rubriques liées

Règles de compte Active Directory

Affectation des ressources

Projets

Politique de sécurité

Guide utilisateur Okta Privileged Access