Règles de compte Active Directory
Version en accès anticipé
Les règles de compte Active Directory (AD) sont conçues pour automatiser la gestion des comptes AD dans Okta Privileged Access. Elles servent à trouver automatiquement les comptes AD dans certaines OU et à contrôler ces comptes. Pour ne plus gérer un compte avec Okta Privileged Access, la règle de compte doit être modifiée ou supprimée de façon à ne plus inclure ces OU.
Types de règles de compte
Il existe deux types de règles de compte :
-
Règles de comptes partagés : utilisées pour gérer les comptes que plusieurs personnes utilisent et qui n'appartiennent pas à un seul utilisateur. Ces comptes sont partagés au sein d'une équipe, comme un compte administrateur appartenant à l'équipe Active Directory ou un compte d'expédition géré par l'équipe de logistique.
-
Règles de comptes individuels : destinées aux comptes qui appartiennent à des utilisateurs spécifiques. Dans un environnement AD, il existe généralement des comptes dédiés distincts utilisés par des utilisateurs disposant de privilèges, de telle sorte que leurs comptes quotidiens n'aient pas d'accès basé sur des privilèges. Ces comptes administrateur sont destinés uniquement à un usage individuel et sont nommés à l'aide d'un préfixe ou d'un suffixe qui indique qu'il s'agit de comptes administrateur. Par exemple, ils peuvent ressembler à ceci : adm.Jane.Doe@ad.domain.net ou clark.kent-admin@ad.dailyplanet.org. Avant de créer une règle de compte individuel, il est nécessaire de configurer les paramètres de ce compte individuel.
Les paramètres des règles de comptes individuels déterminent comment Okta Privileged Access met en correspondance un compte individuel à son utilisateur principal. Okta Privileged Access prend en charge plusieurs options pour mettre en corrélation ces comptes et leurs propriétaires respectifs. Une règle de politique contrôle ensuite si un utilisateur peut accéder à son propre compte administrateur individuel et spécifie les conditions appliquées à cet accès. Un utilisateur ne peut consulter que son propre compte.
Comptes AD en tant qu'utilisateurs Okta actifs dans Okta Privileged Access
Okta Privileged Access peut gérer les mots de passe de tout compte Active Directory (AD). Pour ce faire, vous devez configurer une règle de compte qui conserve les comptes découverts en tant qu'utilisateurs Okta actifs. Si vous modifiez ce paramètre pour un compte ou si certains comptes étaient précédemment gérés par Okta Privileged Access avec ce paramètre désactivé, ils afficheront l'état Suspendu. Un administrateur Okta doit activer ces comptes.
De plus, pour associer à nouveau le compte Okta à AD, une réimportation depuis AD est nécessaire. Elle peut avoir lieu par le biais d'une importation planifiée dans Okta Admin Console ou par le biais d'une importation manuelle. Il est important de noter qu'Okta Privileged Access n'effectuera pas de rotation du mot de passe AD tant que ce processus ne sera pas terminé.
Hiérarchisation et ordre des règles pour les OU Active Directory
L'ordre des règles est essentiel pour obtenir le comportement souhaité, en particulier dans les environnements complexes avec des unités organisationnelles (OU) imbriquées.
-
La première correspondance l'emporte : Okta Privileged Access traite les règles de compte Active Directory (AD) en fonction de leur ordre de priorité. La première règle qui correspond à un compte détermine la façon dont ce compte est géré.
-
Hiérarchisation au niveau de l'OU : la décision d'utiliser le flux Conserver les comptes découverts en tant qu'utilisateurs Okta existants ou Rotation des mots de passe lors de la découverte est basée uniquement sur la correspondance avec l'OU et la priorité de la règle. Des filtres améliorés (Nom du compte et Groupe Okta) sont appliqués après avoir déterminé la règle principale en fonction de son OU et de sa priorité. Ils n'affectent pas la priorité des règles.
-
Ordre OU parent/enfant obligatoire : si une règle active la fonctionnalité Conserver les comptes découverts en tant qu'utilisateurs Okta existants alors qu'une autre règle la désactive, toutes les règles de compte s'appliquant à ce domaine AD doivent être organisées de manière à ce que les règles s'appliquant aux UO parent apparaissent avant les règles s'appliquant à leurs UO enfant.
Corriger l'ordre
OU=parent,DC=okta,DC=com
OU=child,OU=parent,DC=okta,DC=com
Ordre incorrect
OU=child,OU=parent,DC=okta,DC=com
OU=parent,DC=okta,DC=com
Le non-respect de cet ordre peut entraîner un comportement inattendu. Plus particulièrement, une règle plus précise s'appliquant à une OU enfant peut être remplacée par une règle parent plus large si la règle parent a une priorité plus élevée. Okta interdit la création de combinaisons de règles de ce type.