Rôles et permissions standards des administrateurs
Utilisez ces tableaux pour comparer les permissions standard des administrateurs vis-à-vis des fonctionnalités, paramètres et tâches Okta.
Les super administrateurs effectuent toutes les tâches administratives d'une org et disposent de tous les accès nécessaires à la gestion.
Paramètres à l'échelle de l'org
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir et exécuter des rapports | ● | ● | ● | ● | ● | |||||||
| Voir les paramètres Okta (thèmes, logo, informations de contact) | ● | ● | ● | ● | ||||||||
| Accorder accès à l'assistance Okta | ● | |||||||||||
| Gérer le Profile Editor | ● | ● | ● | ●* | ||||||||
| Gérer les mappages de Compte | ● | ● | ●* | |||||||||
| Gérer les attributs sensibles | ● | |||||||||||
| Modifier les paramètres Okta | ● | ● | ||||||||||
| Ajouter, supprimer et afficher des administrateurs | ● | |||||||||||
| Ajouter, supprimer et modifier la portée, la revendication et les politiques du serveur d'autorisation | ● | ● | ||||||||||
| Voir la portée, la revendication et la politique du serveur d'autorisation | ● | ● | ● | ● | ||||||||
| Voir le journal système (événements du système) | ● | ● | ● | ● | ● | ● | ● | |||||
| Modifier le modèle d'e-mail et de SMS | ● | ● | ||||||||||
| Modifier les paramètres e-mail par défaut pour les autres administrateurs | ● | |||||||||||
| Voir le paramètre d'activation de Device Trust | ● | ● | ● | |||||||||
| Activer le paramètre Device Trust | ● | ● | ||||||||||
| Fermer les tâches ou procéder à de nouvelles tentatives d'exécution des tâches | ● | ● | ||||||||||
| Envoyer des notifications personnalisées aux utilisateurs | ● | ● | ||||||||||
| Appliquer la personnalisation multimarque | ● | ● | ||||||||||
| Gérer (activer, désactiver, mettre à jour) les paramètres d'activation des CAPTCHA | ● | ● | ||||||||||
| Voir les paramètres d'activation des CAPTCHA | ● | ● | ● | |||||||||
| Gérer Log Streaming | ● | |||||||||||
| Voir l'analyse des importations | ● | |||||||||||
| Gérer les étiquettes | ● | |||||||||||
| Voir les étiquettes | ● | ● | ● |
* — Les permissions s'appliquent aux applications OIDC uniquement.
Gestion des utilisateurs
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir les utilisateurs | ● | ● | ●* | ● | ● | ● | ●* | ● | ● | ● | ● | |
| Créer des utilisateurs | ● | ● | ●* | |||||||||
| Supprimer des utilisateurs | ● | ● | ●* | |||||||||
| Suspendre des utilisateurs | ● | ●° | ●*° | |||||||||
| Désactiver des utilisateurs | ● | ● | ●* | |||||||||
| Activer des utilisateurs | ● | ●° | ●*° | |||||||||
| Modifier le type d'utilisateur | ● | ● | ●* | |||||||||
| Déconnecter les utilisateurs | ● | ● | ●* | |||||||||
| Effacer les sessions utilisateur | ● | ●° | ●*° | ●*° | ||||||||
| Voir les journaux | ● | ●° | ●* | ●° | ●° | |||||||
| Modifier les profils | ● | ● | ●* | ●^ | ||||||||
| Réinitialisations de mot de passe, réinitialisations de la MFA | ● | ● | ●* | ●* | ||||||||
| Choisir de ne pas recevoir de notifications par e-mail sur les comptes utilisateur verrouillés | ● | ● | ●* | ● | ● | ● | ||||||
| Réinitialiser le profil de comportement de l'utilisateur | ● | ●° | ●* | ●* | ||||||||
| Voir le profil de comportement de l'utilisateur | ● | ● | ● | |||||||||
|
Voir les types d'utilisateur |
● |
|
|
● |
● |
|
|
|
● |
|
* — Les permissions s'appliquent uniquement aux groupes que l'administrateur est autorisé à gérer.
^ — Les permissions s'appliquent uniquement à l'importation d'utilisateurs pour les applications qui ne disposent pas d'une source de profil configurée.
° — L'administrateur peut effectuer l'action sur les super administrateurs.
Gestion des groupes
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir les groupes | ● | ● | ●* | ● | ● | ● | ●* | ● | ● | ● | ● | |
| Ajouter des utilisateurs à des groupes | ● | ●° | ●^° | ●*° | ||||||||
| Ajouter des utilisateurs à un groupe auquel des privilèges administrateur ont été affectés | ● | |||||||||||
| Supprimer des utilisateurs de groupes | ● | ●° | ●^° | ●*° | ||||||||
| Créer des groupes | ● | ● | ||||||||||
| Gérer les règles de groupe | ● | ● | ●x |
|
● |
|
|
|
|
● |
|
|
| Ajouter/modifier/supprimer des règles de groupe | ● | ● |
|
|
|
|
|
|
|
|
||
| Affecter des privilèges administrateur à un groupe | ● | |||||||||||
| Supprimer des groupes | ● | ● | ||||||||||
|
Modifier des facteurs MFA de groupes |
● | ● | ● |
* — Les permissions s'appliquent uniquement aux groupes que l'administrateur est autorisé à gérer.
^ — Les permissions de créer, d'ajouter et de supprimer des utilisateurs s'appliquent uniquement aux groupes gérés par l'administrateur de groupe. Les administrateurs de groupe peuvent créer de nouveaux utilisateurs au sein des groupes qu'ils gèrent, supprimer des utilisateurs de groupes qu'ils gèrent, et déplacer des utilisateurs entre des groupes qu'ils gèrent.
x — Les permissions s'appliquent uniquement si l'administrateur a accès à tous les utilisateurs et groupes.
° — L' administrateur peut effectuer l'action sur les super administrateurs.
-
Seuls les super administrateurs peuvent gérer des groupes avec des rôles administratifs. Si l'on affecte à un administrateur de groupe l'accès à un groupe auquel l'on affecte un rôle d'administrateur par la suite, l'administrateur de groupe n'est plus en capacité d'apporter des modifications au groupe ou aux membres du groupe.
-
Pour les organisations pour lesquelles la fonctionnalité de profil de groupe est activée, les administrateurs des membres du groupe ne peuvent pas modifier les noms ou les descriptions des groupes.
Gestion des comptes de service
Version de l'accès anticipé. Pour l'activer, contactez l'assistance Okta.
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Créer, modifier ou supprimer des comptes de service | ● |
Gestion des applications
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir des applications ou des instances d'application | ● | ●^ | ● | ● | ●* | ● | ● | |||||
| Ajouter et configurer des applications | ● | ●^ | ●* | |||||||||
| Affecter un accès utilisateur aux applications | ● | ●^ | ●* | |||||||||
| Créer des utilisateurs avec un statut en attente via une importation | ● | ●^ |
* — Les permissions s'appliquent aux applications OIDC uniquement.
^ — Les permissions s'appliquent uniquement aux applications que l'administrateur d'application est autorisé à gérer.
Politiques mobiles
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir et gérer des appareils | ● | ● | ● | |||||||||
| Configurer Okta MobileManager | ● | ● | ● | |||||||||
| Afficher les stratégies (mobiles) | ● | ● | ● | ● | ||||||||
| Paramétrer APNS | ● | ● | ● | |||||||||
| Ajouter/mettre à jour/supprimer des stratégies | ● | ● | ● | |||||||||
| Ajouter/mettre à jour/supprimer des règles | ● | ● | ● | |||||||||
| Politiques glisser-déposer pour la priorisation | ● | ● | ● |
Appareils mobiles
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir l'onglet Mobile dans la section utilisateurs | ● | ● | ● | ● | ||||||||
| Afficher les détails des appareils | ● | ● | ● | ● | ||||||||
| Déprovisionner/vider le PC/verrouiller à distance/réinitialiser | ● | ● | ● | |||||||||
| Déprovisionner/réinitialiser à partir de l'onglet Mobile | ● | ● | ● |
Crochets
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir les crochets | ● | ● | ||||||||||
| Créer et configurer des crochets | ● |
Politiques
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir le politiques d'authentification Okta | ● | ● | ● | ● | ||||||||
| Ajouter/mettre à jour/supprimer des stratégies | ● | ● | ●* | ● | ||||||||
| Ajouter/mettre à jour/supprimer des règles | ● | ● | ●* | ● | ||||||||
| Politiques glisser-déposer pour la priorisation | ● | ● | ● | |||||||||
| Modifier des facteurs MFA dans les stratégies | ● | ● | ● |
* — Les permissions s'appliquent aux politiques d'authentification à l'application uniquement.
Sécurité de l'org
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir les zones réseau | ● | ● | ● | ● | ||||||||
| Gérer les zones réseau | ● | ● | ||||||||||
| Voir le profil de comportement de l'organisation | ● | ● | ● | |||||||||
| Gérer le profil de comportement de l'organisation | ● | ● | ||||||||||
| Voir la configuration ThreatInsight | ● | ● | ● | |||||||||
| Gérer la configuration ThreatInsight | ● | ● |
Authentification multifacteur
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Configurer des facteurs MFA |
● | ● | ||||||||||
| Activer la MFA pour le Admin Dashboard | ● | |||||||||||
| Autoriser l'agent RADIUS | ● | ● | ● | ● |
Jetons d'API
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Créer des jetons utilisateur | ●* | ●* | ●* | ●* | ●* | |||||||
| Voir les jetons utilisateur | ● | ● | ●^ | ●* | ● | ●* | ||||||
| Effacer les jetons utilisateur | ● | ●* | ●* | ●* | ●^ | ●* | ||||||
| Voir les jetons sociaux d'utilisateur | ● | ● | ● | ● | ||||||||
| Gérer les jetons | ● | ● | ● | ●* | ●* |
* — Les administrateurs ne peuvent effectuer l'action que sur eux-mêmes.
^ — Les permissions s'appliquent uniquement à soi-même et aux membres concernés.
Scénario OpenID Connect de bout en bout
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Créer et modifier une application OIDC, y compris enregistrer un client OAuth. Peut être restreinte aux applications des clients OIDC. |
● | ● | ● | |||||||||
| Ajouter un IdP social | ● | ● | ||||||||||
| Accès en lecture seule aux clients OAuth via l'API | ● | ● | ● | ● | ● |
Applications OMM
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir l'onglet Mobile sur les applications ; | ● | ● | ● | ● | ||||||||
| Modifier et enregistrer les paramètres EAS | ● | ● | ||||||||||
| Modifier les cases à cocher de l'accès mobile natif | ● | ● |
OMM : Wi-Fi (EA)
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir les politiques Wi-Fi | ● | ● | ● | ● | ||||||||
| Ajouter/mettre à jour/supprimer des stratégies | ● | ● | ● | |||||||||
| Ajouter/mettre à jour/supprimer des règles | ● | ● | ● | |||||||||
| Politiques glisser-déposer pour la priorisation | ● | ● | ● |
Gouvernance de l'identité
Les rôles d'administrateur des certifications d'accès et administrateur des demandes d'accès sont disponibles uniquement si vous êtes abonné à Okta Identity Governance.
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Voir toutes les campagnes | ● | ● | ||||||||||
| Créer des campagnes | ● | ● | ||||||||||
| Modifier/lancer des campagnes planifiées | ● | ● | ||||||||||
| Mettre fin à des campagnes actives | ● | ● | ||||||||||
| Gérer l'accès des utilisateurs aux applications via Demandes d'accès | ● | ● | ||||||||||
| Agir en tant qu'administrateur dans Demandes d'accès | ● | ● | ||||||||||
|
Gérer la propriété de groupe |
● | ● |
|
●* |
|
|
|
|
|
|
|
|
* — Les administrateurs d'application peuvent uniquement affecter ou supprimer des propriétaires de groupe. Ils ne peuvent pas gérer l'appartenance à un groupe en ajoutant ou en supprimant des utilisateurs du groupe.
Domaines Realm
Okta Identity Governance est requis pour les domaines Realm. Consultez Okta Identity Governance pour obtenir plus d'informations.
|
Autorisation
|
Super administrateur
|
Administrateur de l'org
|
Administrateur de groupe
|
Administrateur d'application
|
Administrateur en lecture seule
|
Administrateur mobile
|
Administrateur du support technique
|
Administrateur de rapports
|
Administrateur API Access Management
|
Administrateur d'adhésion aux groupes
|
Administrateur des Demandes d'accès
|
Administrateur des certifications d'accès
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Créer des domaines | ● | ● | ||||||||||
| Voir la désignation des domaines Realm | ● | ● | ● | ● | ● | ● | ● | ● | ● | |||
|
Mettre à jour les domaines Realm |
● | ● | ||||||||||
| Supprimer des domaines Realm | ● | ● | ||||||||||
| Mettre à jour la désignation des domaines Realm utilisateur (déplacer l'utilisateur d'un domaine Realm à un autre) | ● | ● | ||||||||||
|
Déplacer les utilisateurs individuellement |
● | ● | ||||||||||
| Déplacer en bloc les utilisateurs entre les domaines Realm | ● | |||||||||||
|
Créer une affectation de domaine Realm |
● | |||||||||||
| Configurer un workflow avec des domaines Realm | ● | ● | ● |
Workflows
Le super administrateur Okta et le rôle d'administrateur des Workflows disposent de l'ensemble des privilèges d'administrateur des Workflows disposent de l'ensemble des privilèges d'administration et de gestion au sein du produit Okta Workflows.
Le rôle d'administrateur de Workflows n'a pas de permissions d'effectuer des actions dans Okta Admin Console.
Un utilisateur ou un groupe affecté au rôle d'administrateur des Workflows ne peut pas accorder le rôle d'administrateur des Workflows ne peut pas accorder le rôle d'administrateur des Workflows à d'autres utilisateurs ou groupes de l'organisation Okta . Seul un super administrateur Okta peut affecter ce rôle via la Okta Admin Console.
Tous les rôles Okta Workflows sont affectés aux utilisateurs et aux groupes à l'aide de la console Workflows, à l'exception du rôle d'console Workflows, à l'exception du rôle d'administrateur de Workflows. Consultez Gérer les rôles de Workflows.
Pour obtenir un résumé complet des permissions pour ce rôle, consultez Permissions des ressources.