Cycle de vie d'un utilisateur approvisionné
Dans le cadre de la gestion du cycle de vie d'Okta (LCM), l'approvisionnement aide les org à automatiser les processus informatiques associés à l'arrivée, au transfert ou au départ d'un employé d'une org. Ce flux d'identité qui évolue au fil du temps est connu sous le nom de modifications de l'état du cycle de vie d'un utilisateur.
Les événements qui déclenchent une modification de l'état du cycle de vie (par exemple, un changement de poste d'un employé, un licenciement ou l'expiration d'une licence d'application externe) entraînent des processus visant à garantir que l'accès aux ressources reste conforme aux politiques de l'entreprise et de sécurité.
Le diagramme suivant présente la manière dont les différents événements survenant au cours de la carrière d'un employé ordinaire au sein d'une organisation déclenchent des modifications du cycle de vie de l'utilisateur :
L'employé est embauché
Lorsqu'un employé est embauché, l'équipe responsable des ressources humaines (RH) doit créer un compte pour l'employé. Dans la plupart des organisations, une combinaison de responsables RH, de responsables informatiques et de superviseurs donne accès aux applications et aux comptes dont l'employé aura besoin pour mener à bien ses tâches. Ces groupes introduisent et appliquent également les exigences de sécurité de l'organisation. En raison de l'utilisation croissante des applications basées sur le cloud, les organisations informatiques peuvent être amenées à avoir recours à différentes consoles d'administration pour gérer les comptes des utilisateurs de chaque application.
Dans un environnement approvisionné, le nouveau compte utilisateur est créé dans le magasin d'utilisateurs de votre organisation et, en fonction des rôles et des besoins du profil, les informations du profil sont transmises par vos intégrations d'applications Okta à toutes les applications externes pour créer les comptes dont le nouvel utilisateur a besoin. Les utilisateurs peuvent être importés depuis une application externe ou un service d'annuaire, ou peuvent être créés de façon manuelle dans Okta.
L'employé reçoit une promotion, change de rôle ou a besoin d'utiliser d'autres outils informatiques
Ces scénarios font évoluer les besoins d'accès des utilisateurs. Les organisations peuvent restructurer ou acquérir de nouvelles entreprises, ce qui implique l'arrivée de nouveaux employés. Elles peuvent également avoir besoin d'un accès temporaire ou permanent aux intégrations d'applications pour les fournisseurs et les partenaires.
Dans votre environnement approvisionné, le compte utilisateur existant est mis à jour dans la source de confiance pour refléter les nouveaux changements. Les mises à jour sont envoyées par Okta aux applications externes, ce qui modifie les niveaux d'accès, ajoute ou supprime l'appartenance à un groupe et permet même de synchroniser les mots de passe. Ainsi, le profil utilisateur dans l'application externe est synchronisé avec le profil utilisateur Okta.
Une application est supprimée du compte d'un employé
Ce scénario se présente si un utilisateur n'a plus besoin d'une application externe ou si l'application n'est plus disponible pour l'utilisateur (par exemple, si la licence logicielle a expiré). Le compte utilisateur est mis à jour et l'accès à cette application est supprimé. La suppression de l'accès à cette application externe est importante pour des raisons de conformité, mais aussi pour vous aider à tenir un compte précis de l'utilisation de vos applications.
Un employé change de groupes
Lorsqu'un utilisateur est supprimé d'un groupe qui lui donnait accès à certaines intégrations d'applications, il est automatiquement supprimé de ces intégrations d'applications. Lorsqu'il est ajouté en tant que membre d'un groupe, l'utilisateur hérite des accès aux intégrations d'applications qui ont été accordés au groupe.
Un employé quitte une organisation
Lorsqu'un employé quitte une organisation, le service responsable (généralement le service RH) lance le processus automatique d'annulation intégrale de l'approvisionnement de l'utilisateur. L'annulation de l'approvisionnement vous permet de vous assurer que les personnes qui ne font plus partie de votre organisation n'ont pas accès aux applications et aux données sensibles.
Vous pouvez annuler l'approvisionnement des utilisateurs directement dans Okta ou à partir d'un magasin d'utilisateurs externe, tel qu'Active Directory ou Salesforce.
Au cours du processus d'annulation de l'approvisionnement, le compte de l'utilisateur est désactivé dans l'annuaire universel Okta Universal Directory, son accès aux intégrations d'applications Okta est supprimé, et ses comptes sont automatiquement désactivés dans les applications externes. Si l'annulation manuelle de l'approvisionnement du compte utilisateur au sein de n'importe quelle application est nécessaire, les administrateurs reçoivent une notification dans leur tableau de bord.
Un employé revient dans une organisation
Si l'employé revient dans l'organisation (par exemple, après un retour de congé), la réactivation de l'utilisateur dans Okta Universal Directory réactive les comptes de l'utilisateur dans les applications externes.
Rubriques liées
Ajouter manuellement des utilisateurs