Conditions de l'autorisation
Pour mieux répondre aux besoins de sécurité de votre org, vous pouvez modifier les permissions d'affichage, de création et de modification des attributs de profil au sein d'un rôle d'administrateur personnalisé en ajoutant des conditions.
Lorsque vous développez la section Ajouter des conditions pour les permissions Voir les utilisateurs et leurs détails, Créer des utilisateurs et Modifier les attributs de profil des utilisateurs, les champs Opérateur et Attribut s'affichent. Vous pouvez utiliser le champ Attribut pour sélectionner un ou plusieurs attributs de profil. Le champ Opérateur vous permet d'inclure ou d'exclure ces attributs du rôle.
Il y a plusieurs points importants à noter lorsque vous utilisez des conditions d'autorisation :
- Les administrateurs disposant de permissions conditionnelles ne peuvent pas exécuter les importations dans Profile Editor.
- En plus de tous les attributs inclus, les administrateurs disposant de permissions conditionnelles peuvent uniquement afficher les attributs de profil de base Prénom, Nom de famille, Nom d'utilisateur, Adresse e-mail principale ou Téléphone portable. Vous ne pouvez pas empêcher aux administrateurs de consulter ces attributs.
- Les attributs exclus peuvent toujours être consultés dans les réponses API basées sur SAML.
-
Les administrateurs peuvent uniquement effectuer des recherches en utilisant les attributs de profil auxquels ils ont accès. Si un rôle qui inclut un attribut leur est affecté et un autre rôle qui l'exclut leur sont affectés, l'attribut est accordé à l'administrateur.
- Si un administrateur n'a pas accès à un attribut pour tous les utilisateurs, il ne peut pas utiliser l'opérateur OR dans la requête.
- Si vous désactivez cette fonctionnalité, les conditions d'autorisation que vous avez configurées sont supprimées.
- Définissez des valeurs par défaut pour les attributs personnalisés requis si vous avez exclu ces attributs lors de la création de l'utilisateur . Consultez l'étape 6 dans Ajouter des attributs personnalisés à un profil utilisateur Okta.