Ajouter des règles à une politique

Ajoutez des règles pour définir la permission des ressources et la manière dont un accès avec privilèges est accordé à ces ressources. Le type de règle que vous pouvez ajouter dépend du type de politique que vous avez configuré. La politique de compte de service Okta vous permet uniquement d'ajouter des types de règles pour Okta, tandis que la politique par défaut vous permet d'ajouter des règles pour n'importe quel type de politique à l'exception d'Okta.

Avant de commencer

Ajouter des règles à une politique par défaut

Vous pouvez ajouter cette règle pour un serveur, des secrets, des comptes de service d'application SaaS ou des comptes Active Directory.

  1. Accédez à Administration de la sécuritéPolitiques.

  2. Sélectionnez la politique à laquelle vous souhaitez ajouter une règle.
  3. Sélectionnez Ajouter une règle, puis l'un des types de règle : Règle de serveur, Règle de secret, Règle de compte de service d'application SaaS ou Règle de compte Active Directory.
  4. Effectuez l'une des actions suivantes en fonction du choix que vous avez fait à l'étape précédente :
  5. Cliquez sur Enregistrer la règle. Vous pouvez maintenant publier cette politique.

Configurer une règle de serveur

Si vous avez sélectionné Règle de serveur, procédez comme suit :

Paramètre Action

Nom de la règle

Saisissez un nom de la règle.

Sélectionnez les ressources que vous souhaitez protéger avec cette règle.

Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations.

Sélectionner les serveurs par étiquette

  1. Activez Sélectionner des ressources par libellé.
  2. Dans le champ Ajouter des ressources, recherchez un libellé de ressource et sélectionnez-le. Vous pouvez sélectionner plusieurs étiquettes de ressource
  3. Sélectionnez une ou les deux méthode(s) accès suivante(s) : Accéder aux ressources par compte individuel ou Accéder aux ressources par compte sécurisé.
  4. Si vous avez sélectionné Accès aux ressources par compte individuel, sélectionnez l'une des options suivantes : Autorisations de niveau utilisateur, Autorisations de niveau administrateur ou Niveau utilisateur avec commandes sudo.
  5. Si vous avez sélectionné Niveau utilisateur avec commandes sudo, suivez les étapes suivantes :
    1. Dans le champ Commandes sudo, saisissez un nom de commande et appuyez sur Entrée pour la sélectionner. Vous pouvez ajouter un maximum de 10 types de commandes sudo par règle.
    2. Dans le champ Nom d'affichage de l'utilisateur final, saisissez un surnom pour la collection de groupes de commandes sudo. Le surnom est limité à 64 caractères et vous ne pouvez utiliser que les caractères suivants : 0-9, A-Z, a-z, -, _ et espace.
  6. Si vous avez sélectionné Accéder aux ressources par compte sécurisé, saisissez le nom du compte dans le champ Sélectionner des comptes sécurisés et appuyez sur la touche Entrée de votre clavier pour sélectionner le compte. Vous pouvez ajouter un ou plusieurs comptes.

Sélectionner des comptes par libellé

  1. Activez Sélectionner les ressources par nom.
  2. Sélectionnez un par un un ou plusieurs serveurs.

Activer l'enregistrement de session

Facultatif. Les administrateurs de ressources Okta doivent inscrire et installer une passerelle avant d'activer l'enregistrement de session.

  1. Sélectionnez Activer la redirection du trafic via des passerelles.
  2. Sélectionnez Enregistrer la session via des passerelles.

Requêtes d'approbation

Facultatif. Créez d'abord un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests.

  1. Activez Activer les requêtes d'approbation.
  2. Sélectionnez le type de requête d'approbation.
  3. Choisissez la durée de l'approbation.

Autorisations pour les comptes

Facultatif. Cliquez sur Afficher pour permettre aux utilisateurs de déchiffrer les identifiants des comptes sécurisés et de les afficher en texte brut.

Activer la MFA

Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

  1. Activez Activer la MFA.
  2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
  3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP (applique la MFA pour chaque tentative d'accès à la ressource) ou Après la durée spécifiée (indiquez une durée comprise entre cinq minutes et 12 heures, la valeur par défaut étant de 30 minutes).

Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

Configurer une règle de secret

Si vous avez sélectionné Règle de secret, procédez comme suit :

Paramètre Action

Nom de la règle

Saisissez un nom de la règle.

Sélectionner le dossier secret ou le secret que vous souhaitez protéger avec cette règle
  1. Cliquez sur Sélectionner le dossier secret ou le secret.
  2. Sélectionnez un dossier secret ou un secret.
  3. Cliquez sur Enregistrer.

Sélectionner les autorisations

Sélectionnez les autorisations. Vous devez sélectionner au moins une autorisation. Consultez la section Autorisations liées aux secrets pour plus de détails.

Requêtes d'approbation

Créez d'abord un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests.

  1. Activez Activer les requêtes d'approbation.
  2. Sélectionnez le type de requête d'approbation.
  3. Choisissez la durée de l'approbation.

Activer la MFA

Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

  1. Activez Activer la MFA.
  2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
  3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes :
    • À chaque tentative de connexion SSH ou RDP  : applique la MFA pour chaque tentative d'accès à la ressource.
    • Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes.

Configurer une règle de compte de service d'application SaaS

Si vous avez sélectionné Règle de compte de service d'application SaaS, procédez comme suit :

  1. Saisissez un nom de la règle.
  2. Sélectionnez l'une des méthodes suivantes pour mettre à jour les mots de passe :
    • Automatique
    • Manuelle
  3. Si vous avez sélectionné la méthode Automatique, procédez comme suit :
    ParamètreAction

    Comptes à protéger

    Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations.

    1. Activez Sélectionner des comptes par libellé.
    2. Cliquez sur la liste déroulante Comptes, puis ajoutez une ou plusieurs étiquettes.
    3. Activez Sélectionner les ressources par nom.
    4. Sélectionnez un par un un ou plusieurs comptes.

    Requêtes d'approbation

    Facultatif. Vous devez d'abord créer un type de requête dans Access Requests afin que le workflow de la requête d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Autorisations pour les comptes

    Facultatif. Sélectionnez au moins l'une des options suivantes :

    • Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut.
    • Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe.
    • Facultatif. Sélectionnez Remplacer le mot de passe géré. Cela permet aux utilisateurs de remplacer le mot de passe afin de gérer les changements de mot de passe hors bande.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes :
      • À chaque action protégée effectuée par un utilisateur  : applique la MFA pour chaque tentative d'accès à la ressource.
      • Après la durée spécifiée : indiquez une durée comprise entre cinq minutes et 12 heures, la valeur par défaut étant de 30 minutes.

    Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

    Délai d'emprunt maximal

    Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée.

    1. Activez Remplacer le délai d'emprunt maximal au niveau du projet.
    2. Définissez la quantité et l'unité.
  4. Si vous avez sélectionné la méthode manuelle, procédez comme suit :
    ParamètreAction

    Autorisation pour les comptes

    Facultatif. Sélectionnez au moins l'une des options suivantes :

    • Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut.
    • Mettre à jour : accorde à l'utilisateur la permission de modifier la valeur des identifiants.

    Comptes à protéger

    1. Activez Sélectionner les ressources par nom.
    2. Cliquez sur la liste déroulante Comptes, puis ajoutez un ou plusieurs libellés.
    3. Activez Sélectionner les ressources par nom.
    4. Sélectionnez un par un un ou plusieurs comptes.

    Requêtes d'approbation

    Facultatif. Vous devez d'abord créer un type de requête dans Access Requests afin que le workflow de la requête d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes :
      • À chaque action protégée effectuée par un utilisateur  : applique la MFA pour chaque tentative d'accès à la ressource.
      • Après la durée spécifiée : indiquez une durée comprise entre cinq minutes et 12 heures, la valeur par défaut étant de 30 minutes.

    Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

Configurer une règle de compte Active Directory

Si la politique de sécurité est configurée pour un groupe de ressources précis, le compte Active Directory et le serveur doivent appartenir au même groupe de ressources. Sinon, l'accès à distance via RDP échoue, empêchant ainsi la connexion.

Si vous avez sélectionné Règle de compte Active Directory, procédez comme suit :

Paramètre Action

Nom de la règle

Saisissez un nom de la règle.

Comptes à protéger
  1. Cochez la case Sélectionner des comptes individuels.
  2. Facultatif. Sélectionnez un opérateur, puis saisissez une valeur.
  3. Facultatif. Saisissez un ou plusieurs noms de domaine dans le champ Domaines.
  4. Cochez la case Sélectionner les comptes partagés par nom de correspondance.
  5. Saisissez un ou plusieurs comptes dans le champ Nom de compte.
  6. Facultatif. Saisissez un ou plusieurs noms de domaine dans le champ Domaines.
  7. Sous Sélectionner des comptes partagés spécifiques, utilisez la barre de recherche pour rechercher un compte, puis sélectionnez un ou plusieurs comptes.

Comptes partagés par nom fait correspondre n'importe quel compte portant ce nom. Il n'est pas nécessaire que le compte existe et tout compte, actuel ou à venir, qui possède ce nom constitue une correspondance.

Lorsque vous sélectionnez des comptes spécifiques, vous sélectionnez en fait un compte et un SID précis. Si le compte est supprimé et recréé dans ce domaine avec le même nom mais avec un SID différent, il ne correspondra plus à cette politique et devra être sélectionné à nouveau.

Autorisations pour le compte

Sélectionnez au moins l'une des options suivantes :

  • Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut.
  • Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe.
  • Session RDP : accorde à l'utilisateur l'autorisation d'initier une session RDP sur les serveurs Windows.
  • L'option suivante est disponible lorsque vous sélectionnez Session RDP. Vous pouvez spécifier les serveurs dans une règle de politique Active Directory (AD), en autorisant les utilisateurs à démarrer des sessions RDP sur les serveurs comportant les comptes AD ciblés.
    1. Sélectionnez Par libellé.
    2. Dans le champ Ajouter des ressources, recherchez un libellé de serveur et sélectionnez-la. Vous pouvez sélectionner plusieurs libellés de serveur.
    3. Sélectionnez Par nom, puis sélectionnez un ou plusieurs serveurs individuellement.
    4. Choisissez l'une des options suivantes pour déterminer la manière dont Okta Privileged Accessgère l'appartenance aux groupes locaux. Les deux premières options permettent d'ajouter le compte soit au groupe Administrateurs, soit au groupe Utilisateurs du bureau à distance. Si vous utilisez une autre méthode pour gérer les groupes locaux, sélectionnez Ne pas ajouter à aucun groupe local.
      • Être ajouté au groupe « Utilisateurs du bureau à distance »
      • Être ajouté au groupe « Administrateurs »
      • Ne pas être ajouté à un groupe local.

      Cela ne s'applique pas aux contrôleurs de domaine, sauf si le fichier sftd.yaml sur le contrôleur de domaine est configuré de manière à permettre la gestion des groupes. Voir Contrôleur de domaine Windows.

  • Session SSH : permet aux comptes de domaine Active Directory authentifiés de se connecter à des serveurs Linux dans leur domaine AD via SSH.

    L'utilisation d'un nom d'utilisateur non entièrement qualifié sans utilisateur local existant empêche la création d'un compte Active Directory et entraîne un échec lors de la tentative de connexion.

    1. Sélectionnez Par libellé.
    2. Dans le champ Ajouter des ressources, recherchez un libellé de serveur et sélectionnez-la. Vous pouvez sélectionner plusieurs libellés de serveur.
    3. Sélectionnez Par nom, puis sélectionnez un ou plusieurs serveurs individuellement.

Enregistrement de session

Facultatif. Les administrateurs de ressources Okta doivent inscrire et installer une passerelle avant d'activer l'enregistrement de session.

  1. Sélectionnez Activer la redirection du trafic via des passerelles.
  2. Sélectionnez Enregistrer la session via des passerelles.

Si vous activez la redirection du trafic et l'enregistrement des sessions, cette condition s'applique à la fois aux sessions RDP et SSH.

Requêtes d'approbation

Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests.

  1. Activez Activer les requêtes d'approbation.
  2. Sélectionnez le type de requête d'approbation.
  3. Choisissez la durée de l'approbation.

Activer la MFA

Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

  1. Activez Activer la MFA.
  2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
  3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes :
    • À chaque tentative de connexion SSH ou RDP  : applique la MFA pour chaque tentative d'accès à la ressource.
    • Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes.

Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

Délai d'emprunt maximal

Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée.

  1. Activez Remplacer le délai d'emprunt maximal au niveau du projet.
  2. Définissez la quantité et la durée.

Ajouter des règles pour la politique de compte de service Okta

Ajoutez cette règle pour la politique de compte de service Okta.

  1. Accédez à Administration de la sécuritéPolitiques.

  2. Sélectionnez la politique à laquelle vous souhaitez ajouter une règle.
  3. Sélectionnez Ajouter une règle, puis procédez comme suit :
    ParamètreAction

    Nom de la règle

    Saisissez un nom de la règle.

    Comptes à protéger

    Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations.

    Sélectionner les comptes par nom

    1. Activez Sélectionner les comptes par nom.
    2. Sélectionnez un par un un ou plusieurs comptes.

    Requêtes d'approbation

    Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests.

    1. Activez Activer les requêtes d'approbation.
    2. Sélectionnez le type de requête d'approbation.
    3. Choisissez la durée de l'approbation.

    Activer la MFA

    Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique.

    1. Activez Activer la MFA.
    2. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage.
    3. Sélectionnez l'une des fréquences de nouvelle authentification suivantes :
      • À chaque action protégée effectuée par un utilisateur  : applique la MFA pour chaque tentative d'accès à la ressource.
      • Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes.

    Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

    Délai d'emprunt maximal

    Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée.

    1. Activez Remplacer le délai d'emprunt maximal au niveau du projet.
    2. Définissez la quantité et la durée.
  4. Cliquez sur Enregistrer la règle.
  5. Cliquez sur Enregistrer la politique. Vous pouvez maintenant publier cette politique.

Rubriques connexes

Politique de sécurité

Okta Privileged Access avec demandes d'accès