Certifier les comptes de service
Version en accès anticipé
Lorsque l'option Certifications d'accès pour les comptes de service est activée, vous pouvez utiliser les campagnes de ressources Okta Access Certifications pour examiner et certifier accès aux comptes de service qui sont gérés au sein de Okta Privileged Access.
Les campagnes de ressources se concentrent sur la définition de la permission des ressources de votre campagne afin que vous puissiez examiner tous les utilisateurs ayant accès à ces ressources, incluant les comptes de service.
L'exécution périodique de campagnes vous permet de vous assurer que vos utilisateurs disposent du bon niveau d'accès aux ressources telles que les apps, les comptes de service associés aux apps et les droits associés, et aux groupes.
Une campagne de ressources implique deux personnes principales :
- Administrateur de campagne
- Il s'agit généralement d'un super administrateur ou administrateur des Certifications d'accès qui est responsable de la mise en place et de la configuration de la campagne, de la définition de sa portée et de sa planification.
- Réviseur
- Il s'agit de l' utilisateur responsable des prises de décisions en matière de gouvernance. Un réviseur peut être le gestionnaire d'un utilisateur, un propriétaire de groupe, un propriétaire de ressource, un utilisateur spécifique ou un utilisateur affecté dynamiquement avec une expression personnalisée dans Okta Expression Language (OEL). Les réviseurs peuvent accéder aux éléments de révision qui leur ont été affectés depuis l'application Okta Access Certification Reviews dans leur tableau de bord.
Débuter
-
Mettez à jour les paramètres de la campagne pour inclure des informations contextuelles propres aux comptes de service pour les réviseurs. Consultez Contexte personnalisable à destination du réviseur.
-
Familiarisez-vous avec Problèmes connus et limites.
-
Consultez Bonnes pratiques en matière de création de campagnes.
-
Utilisez les étapes indiquées dans Créer des campagnes de ressources.
Lorsque vous créez des campagnes qui examinent l'accès aux comptes de service, gardez les considérations suivantes à l'esprit.
-
Paramètres généraux : si une campagne de ressources inclut des comptes de service dans sa portée, les rapports suivants dans le package de rapports d'audit ne sont pas disponibles :
- accès aux ressources - Lancement de la campagne
- accès aux ressources - Campagne terminée
- Modifications de accès aux ressources - Lancement de la campagne à la campagne terminée
-
Paramètres des ressources : La page où vous définissez la portée de ce qui est examiné. Lors de la configuration de la campagne, vous pouvez sélectionner Comptes de service et définir le type de compte de service sur Compte de service d'application SaaS ou Compte de service Okta.
-
Paramètres du réviseur : page à laquelle vous affectez un ou plusieurs niveaux de réviseurs pour approuver, révoquer ou réaffecter l'accès pour chaque combinaison utilisateur et ressource. Spécifiez les événements pour lesquels les réviseurs reçoivent des notifications et des rappels. Si les attributs Groupes de propriétaires ou Utilisateurs propriétaires ne sont pas définis ou ne sont pas disponibles pour un compte de service et que vous sélectionnez Propriétaire de ressource comme type de réviseur, la révision est affectée au réviseur de secours.
-
Paramètres de remédiation : page où vous configurez ce qui se produit lorsqu'un réviseur approuve ou révoque un accès, ou lorsqu'une révision n'est pas terminée. Vous devez remédier manuellement à l'accès aux comptes de service. Les paramètres de remédiation automatique ne sont pas disponibles si la portée de la campagne comprend uniquement des comptes de service.
L'action de remédiation recommandée consiste à retirer manuellement l'utilisateur des groupes associés ou de la politique de sécurité dans Okta Privileged Access.
-