Ajouter des règles à une politique

Ajoutez des règles pour définir la permission des ressources et la manière dont un accès avec privilèges est accordé à ces ressources. Le type de règle que vous pouvez ajouter dépend du type de politique que vous avez configuré. La politique de compte de service Okta vous permet uniquement d'ajouter des types de règles pour Okta, tandis que la politique par défaut vous permet d'ajouter des règles pour n'importe quel type de politique à l'exception d'Okta.

Avant de commencer

Ajouter des règles à une politique par défaut

Vous pouvez ajouter cette règle pour un serveur, des secrets, des comptes de service d'application SaaS ou des comptes Active Directory.

  1. Accédez à Administration de la sécuritéPolitiques.

  2. Sélectionnez la politique à laquelle vous souhaitez ajouter une règle.
  3. Sélectionnez Ajouter une règle, puis l'un des types de règle : Règle de serveur, Règle de secret, Règle de compte de service d'application SaaS ou Règle de compte Active Directory.
  4. Effectuez l'une des actions suivantes en fonction du choix que vous avez fait à l'étape précédente :

Configurer une règle de serveur

  1. Si vous avez sélectionné Règle de serveur, procédez comme suit :
    ParamètreAction

    Nom de la règle

    Saisissez un nom de la règle.

    Sélectionnez les ressources que vous souhaitez protéger avec cette règle.

    Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations.

    Sélectionner des ressources par libellé

    1. Activez Sélectionner des ressources par libellé.
    2. Dans le champ Ajouter des ressources, recherchez un libellé de ressource et sélectionnez-le. Vous pouvez sélectionner plusieurs libellés de ressource.

    Sélectionner des ressources par nom

    1. Activez Sélectionner les ressources par nom.
    2. Sélectionnez un par un un ou plusieurs serveurs.

    Méthode d'accès

    Sélectionnez une option ou les deux en fonction de la manière dont vous souhaitez que les principaux accèdent aux ressources.

    • Accéder aux ressources par compte individuel
    • Accéder aux ressources par compte sécurisé

    En fonction de votre sélection, vous devrez configurer les options suivantes :

    Accéder aux ressources par compte individuel

    Cette option permet aux principaux de se connecter aux ressources avec un compte individuel qu'Okta crée et gère automatiquement.

    Sélectionnez l'une des options suivantes :

    • Autorisations de niveau utilisateur
    • Autorisations de niveau administrateur
    • Niveau utilisateur avec commandes sudo

    Si vous sélectionnez Niveau utilisateur avec commandes sudo, suivez les étapes supplémentaires suivantes :

    1. Dans le champ Commandes sudo, saisissez un nom de commande et appuyez sur Entrée pour la sélectionner. Vous pouvez ajouter un maximum de 10 types de commandes sudo par règle.
    2. Dans le champ Nom d'affichage de l'utilisateur final, saisissez un surnom pour la collection de groupes de commandes sudo. Le surnom est limité à 64 caractères et vous ne pouvez utiliser que les caractères suivants : 0-9, A-Z, a-z, -, _ et espace.

    Accéder aux ressources par compte sécurisé

    Saisissez le nom du compte dans le champ Sélectionner des comptes sécurisés et appuyez sur la touche Entrée de votre clavier pour sélectionner le compte. Vous pouvez ajouter un ou plusieurs comptes.

    Activer l'enregistrement de session

    Facultatif. Les administrateurs de ressources Okta doivent inscrire et installer une passerelle avant d'activer l'enregistrement de session.

    1. Sélectionnez Activer la redirection du trafic via des passerelles.
    2. Sélectionnez Enregistrer la session via des passerelles.

    Requêtes d'approbation

    Facultatif. Créez d'abord un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Demandes d'accès.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes).

    Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

  2. Cliquez sur Enregistrer la règle. Vous pouvez maintenant publier cette politique.

Configurer une règle de secret

  1. Si vous avez sélectionné Règle de secret, procédez comme suit :
    ParamètreAction

    Nom de la règle

    Saisissez un nom de la règle.

    Sélectionner le dossier secret ou le secret que vous souhaitez protéger avec cette règle

    1. Cliquez sur Sélectionner le dossier secret ou le secret.
    2. Sélectionnez un dossier secret ou un secret.
    3. Cliquez sur Enregistrer.

    Sélectionner les autorisations

    Sélectionnez les autorisations. Vous devez sélectionner au moins une autorisation. Consultez la section Autorisations liées aux secrets pour plus de détails.

    Requêtes d'approbation

    Créez d'abord un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Demandes d'accès.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes).
  2. Cliquez sur Enregistrer la règle. Vous pouvez maintenant publier cette politique.

Configurer une règle de compte de service d'application SaaS

  1. Si vous avez sélectionné Règle de compte de service d'application SaaS, procédez comme suit :
    1. Saisissez un nom de la règle.
    2. Sélectionnez l'une des méthodes suivantes pour mettre à jour les mots de passe :
      • Automatique
      • Manuelle
    3. Si vous avez sélectionné la méthode Automatique, procédez comme suit :
      ParamètreAction

      Comptes à protéger

      Sélectionnez les comptes que vous souhaitez protéger avec cette règle.

      Sélectionner des comptes par libellé

      1. Activez Sélectionner des comptes par libellé.
      2. Cliquez sur le menu déroulant Comptes, puis ajoutez un ou plusieurs libellés.

      Sélectionner les comptes par nom

      1. Activez Sélectionner les ressources par nom.
      2. Sélectionnez un par un un ou plusieurs comptes.

      Requêtes d'approbation

      Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Demandes d'accès.

      1. Activez Activer les requêtes d'approbation.
      2. Sélectionnez le type de requête d'approbation.
      3. Choisissez la durée de l'approbation.

      Autorisations pour les comptes

      Facultatif. Sélectionnez au moins l'une des options suivantes :

      • Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut.

      • Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe.

      Activer la MFA

      Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

      1. Activez Activer la MFA.
      2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
      3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes).

      Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

      Délai d'emprunt maximal

      Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée.

      1. Activez Remplacer le délai d'emprunt maximal au niveau du projet.
      2. Définissez la quantité et l'unité.
    4. Si vous avez sélectionné la méthode manuelle, procédez comme suit :
      ParamètreAction

      Autorisation pour les comptes

      Facultatif. Sélectionnez au moins l'une des options suivantes :

      • Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut.

      • Mettre à jour : accorde à l'utilisateur la permission de modifier la valeur des identifiants.

      Comptes à protéger

      Sélectionnez les comptes par libellé.

      1. Activez Sélectionner les ressources par nom.
      2. Cliquez sur le menu déroulant Comptes, puis ajoutez un ou plusieurs libellés.

      Sélectionner les comptes par nom

      1. Activez Sélectionner les ressources par nom.
      2. Sélectionnez un par un un ou plusieurs comptes.

      Requêtes d'approbation

      Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Demandes d'accès.

      1. Activez Activer les requêtes d'approbation.
      2. Sélectionnez le type de requête d'approbation.
      3. Choisissez la durée de l'approbation.

      Activer la MFA

      Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

      1. Activez Activer la MFA.
      2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
      3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes).

      Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

  2. Cliquez sur Enregistrer la règle. Vous pouvez maintenant publier cette politique.

Configurer une règle de compte Active Directory

Si la politique de sécurité est configurée pour un groupe de ressources précis, le compte Active Directory et le serveur Windows doivent appartenir au même groupe de ressources. Sinon, l'accès à distance via RDP échoue, empêchant ainsi la connexion.

  1. Si vous avez sélectionné Règle de compte Active Directory, procédez comme suit :
    ParamètreAction

    Nom de la règle

    Saisissez un nom de la règle.

    Comptes à protéger

    Sélectionner des comptes individuels

    1. Cochez la case Sélectionner des comptes individuels.

    2. Facultatif. Sélectionnez un opérateur, puis saisissez une valeur.

    3. Facultatif. Saisissez un ou plusieurs noms de domaine dans le champ Domaines.

    Sélectionner les comptes partagés par nom de correspondance

    1. Cochez la case Sélectionner les comptes partagés par nom de correspondance.

    2. Saisissez un ou plusieurs comptes dans le champ Nom de compte.

    3. Facultatif. Saisissez un ou plusieurs noms de domaine dans le champ Domaines.

    Sélectionner des comptes partagés spécifiques

    Sous Sélectionner des comptes partagés spécifiques, utilisez la barre de recherche pour rechercher un compte, puis sélectionnez un ou plusieurs comptes.

    Comptes partagés par nom fait correspondre n'importe quel compte portant ce nom. Il n'est pas nécessaire que le compte existe et tout compte, actuel ou à venir, qui possède ce nom constitue une correspondance.

    Lorsque vous sélectionnez des comptes spécifiques, vous sélectionnez en fait un compte et un SID précis. Si le compte est supprimé et recréé dans ce domaine avec le même nom mais avec un SID différent, il ne correspondra plus à cette politique et devra être sélectionné à nouveau.

    Autorisations pour le compte

    Sélectionnez au moins l'une des options suivantes :

    • Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut.

    • Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe.

    • Session RDP : accorde à l'utilisateur l'autorisation d'initier une session RDP sur les serveurs Windows.

    Serveurs à protéger

    Cette option est disponible lorsque vous sélectionnez Session RDP à l'étape précédente. Vous pouvez spécifier les serveurs dans une règle de politique Active Directory (AD), en autorisant les utilisateurs à démarrer des sessions RDP sur les serveurs comportant les comptes AD ciblés.

    1. Choisissez l'une des options suivantes pour déterminer la manière dont Okta Privileged Accessgère l'appartenance aux groupes locaux. Les deux premières options permettent d'ajouter le compte soit au groupe Administrateurs, soit au groupe Utilisateurs du bureau à distance. Si vous utilisez une autre méthode pour gérer les groupes locaux, sélectionnez Ne pas ajouter à aucun groupe local.

      • Être ajouté au groupe « Utilisateurs du bureau à distance »

      • Être ajouté au groupe « Administrateurs »

      • Ne pas être ajouté à un groupe local

      Cela ne s'applique pas aux contrôleurs de domaine, sauf si le fichier sftd.yaml sur le contrôleur de domaine est configuré de manière à permettre la gestion des groupes. Voir Contrôleur de domaine Windows.

    2. Sélectionnez les serveurs que vous souhaitez protéger avec cette règle.

      1. Sélectionnez Par libellé.

      2. Dans le champ Ajouter des ressources, recherchez un libellé de serveur et sélectionnez-la. Vous pouvez sélectionner plusieurs libellés de serveur.

      3. Sélectionnez Par nom
      4. Sélectionnez un par un un ou plusieurs serveurs.

    Enregistrement de session

    Facultatif. Les administrateurs de ressources Okta doivent inscrire et installer une passerelle avant d'activer l'enregistrement de session.

    1. Sélectionnez Activer la redirection du trafic via des passerelles.
    2. Sélectionnez Enregistrer la session via des passerelles.

    Requêtes d'approbation

    Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Demandes d'accès.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes).

    Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

    Délai d'emprunt maximal

    Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée.

    1. Activez Remplacer le délai d'emprunt maximal au niveau du projet.
    2. Définissez la quantité et la durée.
  2. Cliquez sur Enregistrer la règle. Vous pouvez maintenant publier cette politique.

Ajouter des règles pour la politique de compte de service Okta

Ajoutez cette règle pour la politique de compte de service Okta.

  1. Accédez à Administration de la sécuritéPolitiques.

  2. Sélectionnez la politique à laquelle vous souhaitez ajouter une règle.
  3. Sélectionnez Ajouter une règle, puis procédez comme suit :
    ParamètreAction

    Nom de la règle

    Saisissez un nom de la règle.

    Comptes à protéger

    Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations.

    Sélectionner les comptes par nom

    1. Activez Sélectionner les comptes par nom.
    2. Sélectionnez un par un un ou plusieurs comptes.

    Requêtes d'approbation

    Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Demandes d'accès.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque action protégée effectuée par un utilisateur (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes).

    Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

    Délai d'emprunt maximal

    Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée.

    1. Activez Remplacer le délai d'emprunt maximal au niveau du projet.
    2. Définissez la quantité et la durée.
  4. Cliquez sur Enregistrer la règle.
  5. Cliquez sur Enregistrer la politique. Vous pouvez maintenant publier cette politique.

Rubriques connexes

Politique de sécurité

Okta Privileged Access avec demandes d'accès