Créer des campagnes pour examiner les rôles d'administrateur

Créez des campagnes préconfigurées, de ressources ou utilisateurs pour vous assurer que vos utilisateurs disposent du niveau d'accès adéquat. Vous être un super administrateur pour créer et gérer des campagnes qui régissent les rôles d'administrateur.

Campagnes préconfigurées

Vous pouvez créer la campagne Examen des administrateurs Okta en suivant les étapes indiquées dans Créer des campagnes préconfigurées.

Si vous n'êtes pas abonné à Okta Identity Governance, la campagne Détection des utilisateurs inactifs est également disponible avec une fonctionnalité limitée. Gardez à l'esprit que cette campagne n'examine pas les affectations du rôle d'administrateur de l'utilisateur.

Campagnes de ressources et utilisateurs

Suivez les étapes indiquées aux sections Créer des campagnes de ressources ou Créer des campagnes utilisateurs, mais gardez ces considérations à l'esprit :

  • Les campagnes utilisateurs permettent de régir les rôles d'administrateur uniquement si vous êtes abonné à Okta Identity Governance.

  • Pour les campagnes de ressources, effectuez les sélections suivantes sur la page Ressources :

    1. Sélectionnez Applications comme type de ressource et Okta Admin Console comme application. La case Droits de révision est cochée par défaut.

    2. Sélectionnez Droits et ensembles spécifiques.

    3. Sélectionnez Droits pour certifier les rôles d'administrateur affectés directement depuis l'Admin Console. Vous pouvez également sélectionner Ensembles pour certifier les rôles d'administrateur qui ont été affectés à l'aide de conditions de demande d'accès.

  • Pour les campagnes utilisateurs, effectuez les sélections suivantes sur la page Ressources :

    1. Pour Portée de la ressource, sélectionnez Toutes les applications ou Toutes les applications et les groupes.

    2. Sélectionnez Inclure les rôles d'administrateur Okta pour inclure les affectations du rôle d'administrateur de l'utilisateur.

  • Pour les campagnes de ressources et utilisateurs, les cases suivantes sont cochées par défaut sur la page Réviseurs. Vous ne pouvez pas effacer les sélections.

    • Désactiver l'auto-évaluation : les réviseurs ne peuvent pas approuver ou refuser leur propre accès aux ressources.

    • Demander une justification commerciale: les réviseurs doivent justifier leur décision d'approuver ou de refuser l'accès de l'utilisateur à une ressource.

    • Désactiver les réaffectations : les réviseurs ne peuvent pas réaffecter des éléments de révision à un autre utilisateur. Toutefois, en tant que super administrateur, vous pouvez toujours réaffecter des éléments de révision à un autre réviseur, une fois la campagne active.

  • Si vos propres affectations d'administrateur sont révisées dans le cadre d'une campagne, assurez-vous que vous n'êtes pas réviseur pour cette campagne. Cela permet d'éviter toute erreur au moment du lancement de la campagne.

  • Sélectionnez les réviseurs avec soin pour les campagnes qui régissent des rôles d'administrateur. Qu'un réviseur soit un administrateur ou pas, il peut approuver ou refuser l'accès aux éléments de révision qui lui sont affectés. Il peut le faire même si l'utilisateur dont ils examinent l'accès est un administrateur. La correction survient immédiatement.

Rubriques liées

Créer des campagnes de ressources

Créer des campagnes utilisateurs

Gérer des campagnes