Permissions des rôles
Cette rubrique décrit les permissions de rôle que vous pouvez ajouter à vos rôles d'administrateur personnalisés.
- Permissions de l'utilisateur
- Permissions du groupe
- Permissions de la gestion des accès et des identités
- Permissions de l'application
- Permissions de soutien
- Permissions de source de profil
- Permissions de workflow
- Permissions de serveur d'autorisation
- Permissions de personnalisation
- Permissions de répertoires
- Permissions de fournisseur d'identité
- Permissions d'appareils
- Permissions de domaines Realm
- Permissions d'agent
- Permissions de collection de ressources
- Permissions de la séparation des tâches
- Permissions de la protection contre les menaces d'identité
- Permissions de libellés
- Permissions des crochets d'événement
- Permissions des crochets incorporés
Permissions de l'utilisateur
|
Autorisation |
Description |
|---|---|
| Gérer les utilisateurs |
Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer toutes les informations des identifiants et de profil des utilisateurs. Les administrateurs délégués dotés de cette autorisation peuvent uniquement gérer les champs d'informations des identifiants des utilisateur et non pas les valeurs des identifants elles-mêmes. |
| Créer des utilisateurs | Donne à votre administrateur délégué la capacité de créer des utilisateurs. |
| Modifier les attributs de profil des utilisateurs | Donne uniquement à votre administrateur délégué la capacité de modifier la valeur des attributs de profil des utilisateurs.
Cependant, cette autorisation ne permet pas aux administrateurs délégués de créer ou de modifier des attributs personnalisés de la page Profils dans le Directory, ni de gérer les mappages de profil. |
| Voir les attributs de profil des utilisateurs | Donne uniquement à votre administrateur délégué la capacité d'afficher la valeur des attributs de profil des utilisateurs. |
| Modifier les états du cycle de vie des utilisateurs* | Donne à votre administrateur délégué la capacité de gérer les opérations du cycle de vie des utilisateurs (par ex., activer, désactiver, réactiver et suspendre des utilisateurs). |
| Activer des utilisateurs* | Donne à votre administrateur délégué la capacité d'activer des comptes d'utilisateurs. |
| Désactiver des utilisateurs* | Donne à votre administrateur délégué la capacité de désactiver des comptes d'utilisateurs. |
| Suspendre des utilisateurs* | Donne à votre administrateur délégué la capacité de suspendre l'accès des utilisateurs à Okta. Lorsqu'un utilisateur est suspendu, ses sessions utilisateur sont également supprimées. |
| Annuler la suspension des utilisateurs* | Donne à votre administrateur délégué la capacité de restaurer l'accès des utilisateurs à Okta. |
| Supprimer des utilisateurs* | Donne à votre administrateur délégué la capacité de supprimer définitivement des comptes d'utilisateurs. |
| Déverrouiller des utilisateurs* | Donne à votre administrateur délégué la capacité de débloquer des utilisateurs dont l'accès à Okta a été verrouillé. |
| Effacer les sessions utilisateur* | Donne à votre administrateur délégué la capacité de supprimer toutes les sessions Okta et les jetons OAuth actifs d'un utilisateur final. |
| Modifier les opérations d'authenticators des utilisateurs* | Donne à votre administrateur délégué la capacité de gérer les opérations liées aux identifiants des utilisateurs, telles que la réinitialisation des mots de passe et l'authentification multifacteur (MFA), notamment les inscriptions YubiKey. |
| Réinitialiser les authenticators des utilisateurs | Donne à votre administrateur délégué la capacité de réinitialiser les authenticators de MFA des utilisateurs. |
| Réinitialiser les mots de passe des utilisateurs* | Donne à votre administrateur délégué la capacité de réinitialiser les mots de passe des utilisateurs. |
| Définir le mot de passe temporaire des utilisateurs* | Donne à votre administrateur délégué la capacité de faire expirer le mot de passe d'un utilisateur et de définir un nouveau mot de passe temporaire. |
| Voir les utilisateurs et leurs détails |
Donne à votre administrateur délégué la capacité de consulter les informations du profil des utilisateurs et leurs identifiants. Les administrateurs délégués dotés de cette autorisation peuvent uniquement consulter les champs des identifiants de utilisateur, et non pas les valeurs des identifiants eux-mêmes. |
| Modifier l'appartenance des utilisateurs à un groupe* |
Donne à votre administrateur délégué la capacité de gérer l'appartenance à un groupe d'un utilisateur.
Votre administrateur délégué a aussi besoin de l'autorisation Gérer l'appartenance au groupe (voir la section Permissions du groupe) pour pouvoir ajouter des utilisateurs à un groupe. |
| Modifier les affectations d'applications des utilisateurs* |
Donne à votre administrateur délégué la capacité de gérer les attributions d'application des utilisateurs. Votre administrateur délégué a aussi besoin de Modifier les affectations d'applications des utilisateurs (voir la section Permissions de l'application) pour pouvoir afficher et sélectionner les applications qu'il peut ajouter aux utilisateurs. Cela lui permet de visualiser et de sélectionner les applications à affecter à l' utilisateur. |
| Gérer les jetons API | Donne à votre administrateur délégué la capacité de supprimer, de mettre à jour et d'afficher les jetons. |
| Effacer les jetons API | Donne à votre administrateur délégué la capacité de supprimer les jetons. |
| Voir les jetons API | Donne à votre administrateur délégué la capacité d'afficher les jetons. |
* — Les permissions accordent un accès en lecture seule aux attributs de profil Nom d'utilisateur, Prénom, Nom de famille, Adresse e-mail principale, et Téléphone portable uniquement.
Vous pouvez utiliser comme ressources des groupes provenant d'Okta, d'AD et de LDAP. Cependant, les permissions suivantes ne sont pas applicables aux groupes AD et LDAP :
- Créer des utilisateurs
- Gérer les opérations d'authenticator des utilisateurs
- Modifier les attributs de profil des utilisateurs
- Gérer l'appartenance au groupe
Permissions du groupe
|
Autorisation |
Description |
|---|---|
| Gérer les groupes | Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer des groupes dans votre org. |
| Créer des groupes | Donne à votre administrateur délégué la capacité de créer des groupes à condition que son attributions de rôle d'administrateur soit appliquée à l'ensemble de l'organisation. |
| Voir les groupes | Donne uniquement à votre administrateur délégué la capacité d'afficher les groupes et les utilisateurs et applications affectés à ces groupes dans votre org. |
| Gérer l'appartenance au groupe |
Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer l'appartenance à un groupe d'un utilisateur dans votre org.
Votre administrateur délégué a aussi besoin de l'autorisation Modifier l'appartenance des utilisateurs à un groupe (voir la section Permissions de l'utilisateur) pour pouvoir afficher et sélectionner les utilisateurs qu'il peut ajouter au groupe. |
| Modifier les attributions d'application d'un groupe |
Donne à votre administrateur délégué la capacité de gérer l'attributions d'application d'un groupe.
Votre administrateur délégué a aussi besoin de Modifier les affectations d'applications des utilisateurs (voir la section Permissions de l'application) pour pouvoir afficher et sélectionner les applications qu'il peut ajouter aux utilisateurs. Cela leur permet d'afficher et de sélectionner les applications qu'ils peuvent ajouter au groupe. |
Permissions de la gestion des accès et des identités
|
Autorisation |
Description |
|---|---|
| Voir les rôles, les ressources et les attributions administrateur |
Donne à l'administrateur délégué une autorisation en lecture seule pour les rôles, les ensembles de ressources et les attributions administrateur dans votre org. L'affichage des informations dans Admin Console nécessite également les permissions suivantes :
|
Permissions de l'application
|
Autorisation |
Description |
|---|---|
| Gérer les applications |
Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer des applications dans votre org.
Cette autorisation accorde également l'autorisation Gérer les répertoires à vos administrateurs délégués. |
| Voir les applications et les informations associées | Donne uniquement à votre administrateur délégué la capacité d'afficher les applications affectées à votre org. |
| Voir les identifiants client | Donne à votre administrateur délégué la capacité d'afficher les clés secrètes client OAuth . |
|
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service. Gérer les paramètres généraux de l'application |
Donne à votre administrateur délégué la capacité de gérer uniquement les paramètres généraux de l'application dans votre org. |
| Modifier les attributions d'utilisateurs de l'application |
Donne à votre administrateur délégué la capacité de gérer les utilisateurs affectés à l'application.
Votre administrateur délégué a aussi besoin de l'autorisation Modifier les affectations d'applications des groupes (voir la section Permissions du groupe) ou de l'autorisation Modifier les affectations d'applications des utilisateurs (voir la section Permissions de l'utilisateur). Ils ont également besoin des permissions Gérer les applications et Voir les applications et leurs détails de la section Permissions de l'application pour gérer les utilisateurs affectés à l'application. Cela leur permet d'afficher et de sélectionner les utilisateurs ou les groupes d'utilisateurs à ajouter à l'application. Donne à votre administrateur délégué la capacité d'afficher les tâches d'erreur d'approvisionnement suivantes :
Consulter Surveiller vos tâches. |
| Gérer les paramètres Universal Logout | Donne à votre administrateur délégué la capacité de gérer les paramètres Universal Logout d'une app. |
| Afficher les paramètres Universal Logout | Donne à votre administrateur délégué la capacité d'afficher les paramètres Universal Logout d'une app. |
Permissions de soutien
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Voir, créer et gérer les cas de soutien Okta |
Donne à votre administrateur délégué la capacité de gérer les dossiers de soutien ouverts. Okta déploie lentement cette fonctionnalité auprès des organisations et elle n'est peut-être pas encore accessible. |
Permissions de source de profil
|
Autorisation |
Description |
|---|---|
| Exécuter les importations | Donne à votre administrateur délégué la capacité d'exécuter les importations pour les applications avec une source de profil, comme les applications HRaaS et AD/LDAP. Les administrateurs dotés de cette autorisation peuvent créer des utilisateurs au cours de l'importation.
Votre administrateur délégué a aussi besoin de l'autorisation Modifier les attributs de profil des utilisateurs (voir la section Permissions de l'utilisateur) pour modifier tout utilisateur existant inclus dans l'importation. |
Permissions de workflow
|
Autorisation |
Description |
|---|---|
| Exécuter un flux délégué | Donne à votre administrateur délégué la capacité d'exécuter des flux à partir d'Admin Console. |
| Voir le flux délégué | Donne à votre administrateur délégué la capacité d'exécuter des flux à partir d'Admin Console. |
Permissions de serveur d'autorisation
|
Autorisation |
Description |
|---|---|
| Gérer le serveur d'autorisation | Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer des serveurs d'autorisation dans votre org. |
| Voir le serveur d'autorisation | Donne uniquement à votre administrateur délégué la capacité d'afficher les serveurs d'autorisation de votre org. |
Permissions de personnalisation
|
Autorisation |
Description |
|---|---|
| Gérer les personnalisations | Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer des personnalisations de marque dans votre org. |
| Voir les personnalisations | Donne uniquement à votre administrateur délégué la capacité d'afficher les personnalisations branding dans votre org. |
Permissions des répertoires
|
Autorisation |
Description |
|---|---|
| Gérer les répertoires |
Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer des applications dans votre org. La gestion des attributions d'utilisateur d'application et l'exécution d'importations pour ces applications peuvent nécessiter des permissions pour les utilisateurs et les groupes. |
| Voir les répertoires | Donne uniquement à votre administrateur délégué la capacité d'afficher les applications d'intégration de répertoires et les informations associées. |
Permissions de fournisseur d'identité
|
Autorisation |
Description |
|---|---|
| Gérer les fournisseurs d'identité | Donne à votre administrateur délégué la capacité d'afficher, de créer, de modifier et de supprimer des configurations d'IdP. |
| Voir les fournisseurs d'identité | Donne uniquement à votre administrateur délégué la capacité d'afficher les configurations des IdP. |
Permissions d'appareils
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Gérer les appareils | Donne à votre administrateur délégué la capacité d'afficher, de suspendre, d'annuler la suspension, d'activer, de désactiver et de supprimer des appareils dans votre org. |
| Voir les appareils | Donne à votre administrateur délégué la capacité d'afficher les appareils dans votre org. |
| Activer des appareils | Donne à votre administrateur délégué la capacité d'afficher et d'activer des appareils dans votre org. |
| Désactiver des appareils |
Donne à votre administrateur délégué la capacité d'afficher et de désactiver des appareils dans votre org. Si votre administrateur délégué désactive un appareil, les facteurs enregistrés sur cet appareil seront désactivés, et les utilisateurs devront réenregistrer les facteurs sur l'appareil lorsqu'il sera réactivé. |
| Suspendre des appareils | Donne à votre administrateur délégué la capacité d'afficher et de suspendre des appareils dans votre org. |
| Annuler la suspension des appareils | Donne à votre administrateur délégué la capacité d'afficher et d'annuler la suspension des appareils dans votre org. |
| Supprimer des appareils | Donne à votre administrateur délégué la capacité d'afficher et de désactiver des appareils dans votre org. |
|
Générer un code PIN de récupération de l'appareil Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service. |
Donne à votre administrateur délégué la capacité d'afficher les NIP de récupération des appareils qui sont protégés par MFA de bureau. |
Permissions de domaines Realm
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Gérer les domaines Realm | Donne à votre administrateur de domaine Realm délégué la capacité de gérer un ou plusieurs domaines dans votre org. |
| Gérer les utilisateurs |
Donne à votre administrateur de domaine Realm délégué la capacité d'ajouter, de supprimer et de déplacer des utilisateurs entre des domaines. L'autorisation Gérer les domaines Realm est nécessaire pour qu'un administrateur délégué puisse déplacer des utilisateurs entre des domaines. |
Permissions d'agent
|
Autorisation |
Description |
|---|---|
| Voir les agents | Donne à votre administrateur délégué la capacité d'afficher l'état des agent et de télécharger des agents. |
| Inscrire des agents | Donne à votre administrateur délégué la capacité d'inscrire des agents et des domaines. |
| Gérer les agents | Donne à votre administrateur délégué la capacité de gérer la communication des agents et les mises à jour des agents. |
Permissions de collection de ressources
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Gérer les collections de ressources | Donne à votre administrateur délégué la capacité de créer, de mettre à jour et de supprimer des groupes de ressources dans votre org. |
| Voir les collections de ressources | Donne à votre administrateur délégué la capacité d'afficher les collections de ressources dans votre org. |
L'autorisation Permissions de l'application est nécessaire pour afficher les ressources au sein d'une collection et exécuter des actions sur ces ressources. En particulier, l'administrateur supprimé doit disposer de l'autorisation Permissions de l'application pour toutes les ressources au sein de la collection.
Permissions de séparation des tâches
|
Autorisation |
Description |
|---|---|
| Permet de gérer la règle de risque relatives à la séparation des tâches (SOD) | Donne à votre administrateur délégué la capacité de créer, de mettre à jour et de supprimer des règles SOD dans votre org. |
| Voir les règles de risque de séparation des tâches (SOD) | Donne à votre administrateur délégué la capacité d'afficher les règles SOD dans votre org. |
Permissions de la protection contre les menaces d'identité
|
Autorisation |
Description |
|---|---|
| Gérer les risques des utilisateurs | Donne à votre administrateur délégué la capacité de fournir des commentaires sur le risque utilisateur et de le faire passer à un niveau supérieur. |
| Voir les risques des utilisateurs | Donne à votre administrateur délégué la capacité d'afficher le risque utilisateur. |
| Gérer les politiques | Donne à vos administrateurs délégués la capacité de gérer les politiques. |
| Voir les politiques | Donne à vos administrateurs délégué sla capacité d'afficher les stratégies. |
| Flux de récepteur géré de Shared Signals Framework | Donne à votre administrateur délégué la capacité de gérer les récepteurs du Shared Signals Framework. |
| Voir les flux de récepteur de Shared Signals Framework | Donne à votre administrateur délégué la capacité d'afficher les récepteurs du Shared Signals Framework. |
Permissions de libellés
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Gérer les étiquettes | Donne à votre administrateur délégué la capacité de créer, de mettre à jour et de supprimer des étiquettes dans votre org. |
| Voir les étiquettes | Donne à votre administrateur délégué la capacité d'afficher les étiquettes dans votre org. |
Permissions des crochets d'événement
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Gérer les crochets d'événements | Donne à votre administrateur délégué la capacité de créer, de mettre à jour et de supprimer des crochets d'événement dans votre org. |
| Afficher les crochets d'événement | Donne à votre administrateur délégué la capacité d'afficher les crochets d'événement dans votre org. |
Permissions des crochets incorporés
Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
|
Autorisation |
Description |
|---|---|
| Gérer les crochets incorporés | Donne à votre administrateur délégué la capacité de créer, de mettre à jour et de supprimer des crochets incorporés dans votre org. |
| Afficher les crochets incorporés | Donne à votre administrateur délégué la capacité d'afficher les crochets incorporés dans votre org. |