Rôles d'administrateur personnalisés

Les rôles d'administrateur personnalisés vous donne la possibilité de configurer des permissions granulaires au sein d'un rôle. Cette fonctionnalité offre les avantages suivants :

  • Plus de contrôle sur la création de rôles en libre-service. Vous pouvez créer des affectations de rôle personnalisées en fonction de vos cas d'utilisation spécifiques ;
  • Une sécurité améliorée au sein de votre org. Vous pouvez affecter des permissions granulaires à vos administrateurs et vos applications de manière à ce qu'ils reçoivent uniquement les permissions dont ils ont besoin pour effectuer leurs tâches. Cela réduit la nécessité d'affecter des rôles de super administrateur et d'administrateur de l'org à vos utilisateurs ;
  • Une simplification des audits administrateur et des examens de conformité grâce à une visibilité accrue sur les permissions d'administrateur granulaires.

Une affectation du rôle d'administrateur se compose des trois éléments suivants :

  1. Administrateur : l'utilisateur, le groupe d'utilisateurs ou l'application auquel vous souhaitez octroyer des permissions d'administrateur.
  2. Rôle : un ensemble de permissions que vous appliquez à un administrateur. Il existe deux types de rôles : standard et personnalisés. Vous pouvez créer jusqu'à 100 rôles pour une org.
  3. Ensemble de ressources : une collection de ressources. Vous pouvez créer jusqu'à 10 000 ensembles de ressources et affecter un maximum de 1 000 ressources à chaque ensemble de ressources. Consultez la section Ressources prises en charge.

Les ensembles de ressources sont uniquement accessibles par les rôles d'administrateur personnalisés. Vous pouvez avoir jusqu'à 1 000 administrateurs avec la même association rôle + ensemble de ressources.

Vous avez la possibilité de créer ou de sélectionner l'un de ces composants comme point de départ pour créer une affectation de rôle d'administrateur personnalisée. Avant de créer une affectation de rôle d'administrateur, Okta vous recommande de consulter la section Bonnes pratiques pour créer une affectation de rôle personnalisée.

Pour voir un tutoriel vidéo, consultez la section Démonstration de l'administration déléguée avec les rôles d'administrateur personnalisés Okta.

Impact sur les rôles standard

  • Vos rôles actuels sont appelés rôles standard. Il s'agit notamment des rôles de super administrateur, administrateur de l'org , administrateur de groupe, administrateur de l'app, administrateur en lecture seule, etc. Consultez la section Rôles et permissions standard des administrateurs.
  • Vous pouvez continuer à utiliser les rôles standard, et vos affectations existantes restent inchangées.
  • Vous pouvez également affecter des rôles personnalisés aux utilisateurs qui disposent déjà de rôles standard.

Considérations

  • Les ressources des groupes et des utilisateurs pour les groupes Active Directory ou LDAP n'incluent pas l'origine des groupes. Si plusieurs groupes ont le même nom, il n'y a aucun moyen de les différencier dans l'interface utilisateur.
  • Vous pouvez uniquement obtenir les rapports d'administrateur depuis la page Rapports sur l'affectation des rôles d'administrateur dans l'Admin Console. Actuellement, il n'est pas possible d'obtenir des rapports via des API.
  • Vous ne pouvez pas utiliser les rôles d'administrateur personnalisés pour administrer Okta Workflows.
  • La fonctionnalité de contrôle d'accès basé sur les rôles (RBAC) d'Okta Workflows ajoute un ensemble de ressources propre à Okta Workflows. Cependant, vous ne pouvez pas modifier cette ressource ou l'affecter à un rôle d'administrateur personnalisé.