Examiner l'accès aux rôles d'administrateur

Utilisez des campagnes de certifications d'accès pour déterminer les utilisateurs dont l'accès aux rôles d'administrateur doit être révisé, qui doit vérifier l'accès, ainsi que l'action de correction qui survient lorsqu'un réviseur approuve ou refuse l'accès.

Les utilisateurs sont autorisés à accéder à l'application Okta Access Certification Review dans leur Dashboard si un ou plusieurs éléments de révision leur sont affectés dans le cadre d'une campagne. Les réviseurs peuvent utiliser l'application pour consulter les éléments de révision qui nécessitent une décision de leur part pour une campagne, puis approuver ou refuser l'accès d'un utilisateur.

Les auto-évaluations sont désactivées par défaut pour les campagnes qui régissent les rôles d'administrateur. Cela signifie que les administrateurs ne peuvent pas approuver, refuser ou réaffecter leur propre élément de révision.

Bonnes pratiques

  • Les réviseurs doivent vérifier leurs décisions avant de les prendre. Lorsque les réviseurs rendent une décision concernant un élément de révision, celle-ci est définitive et ne peut pas être modifiée.

  • Lorsque les réviseurs ajoutent une justification commerciale pour mettre en contexte leur décision, la note est visible par eux-mêmes, par les super administrateurs et par le créateur de la campagne.

  • Pour les campagnes qui comportent des révisions à plusieurs niveaux, tenez compte des considérations suivantes :

    • Certains éléments de révision sont envoyés aux réviseurs de second niveau.

    • Le réviseur de second niveau peut prendre une décision uniquement après que le réviseur de premier niveau a approuvé ou refusé un élément de révision. Il est important que les réviseurs de premier niveau terminent les révisions à temps pour éviter de bloquer la progression de la campagne.

    • Le réviseur de second niveau peut consulter la décision du réviseur de premier niveau, ainsi que sa justification, concernant un élément de révision.

    • Le réviseur final dépend de la configuration de la campagne.

    • Une correction éventuelle n'intervient que pour les décisions du réviseur final. Consultez la section Correction pour les campagnes avec des révisions à plusieurs niveaux.

  • Considérations relatives à la réaffectation des éléments de révision :

    • Seuls les super administrateurs peuvent réaffecter un élément de révision pour une campagne qui examine l'accès des utilisateurs aux rôles d'administrateur.

    • La réaffectation d'un élément de révision ne repousse pas la date de fin de la campagne. Le nouveau réviseur doit approuver ou refuser l'accès avant la fin de la campagne.

    • Le réviseur à qui vous avez réattribué l'élément de révision peut consulter la justification que vous avez fournie concernant cette réaffectation.

  • Si la fonction Access Governance - Délégués est activée dans votre org, les réviseurs peuvent également désigner un autre utilisateur pour effectuer des tâches de gouvernance en leur nom en qualité de délégué. Consultez la section Gérer les délégués.

Commencer cette tâche

  1. Dans le End-User Dashboard, les réviseurs cliquent sur Okta Access Certification Review.

  2. Sur la page Mes révisions, il accèdent à l'onglet Ouvrir et sélectionnent la campagne de certification d'accès qu'ils souhaitent commencer à réviser.

  3. Ils sélectionnent un élément de révision afin d'afficher plus d'informations sur l'utilisateur et la ressource, ainsi que sur l'utilisation de la ressource par l'utilisateur.

    Le panneau Détails de la révision comprend les sections suivantes :

    • Détails de l'utilisateur : informations directement tirées du profil de l'utilisateur dans Okta.

    • Détails des ressources : cette section contient les informations suivantes :

      • L'application en cours de révision ;

      • La date à laquelle l'utilisateur a accédé à l'application pour la dernière fois et toute révision précédente concernant l'accès. Une fois qu'un réviseur a terminé une révision, vous (les super administrateurs) pouvez également consulter sa décision, sa justification commerciale et la correction apportée.

      • La date à laquelle l'accès de l'utilisateur à l'application a été révisé pour la dernière fois.

      • La date à laquelle l'application a été affectée à l'utilisateur ;

      • Les droits dont l'utilisateur dispose pour les ressources.

    • Historique : cette section contient des informations utiles telles que des détails concernant l'affectation du réviseur initial et du délégué, la justification commerciale de la réaffectation, des détails sur le réviseur affecté et la décision des réviseurs.

  4. Ils cliquent sur Approuver ou Révoquer et fournit une justification commerciale pour leur décision. Le processus de correction commence dès qu'ils approuvent ou refusent un accès.

    Les réviseurs (qui ne sont pas des super administrateurs) ne peuvent pas réaffecter un élément de révision à un autre utilisateur.

  5. Ils cliquent sur Soumettre.

Les réviseurs peuvent également suivre les métriques de leurs révisions à l'aide des totaux figurant sur la page de la campagne. Par ailleurs, il est possible de référencer les éléments qu'ils ont déjà révisés à partir de l'onglet Fermés de la page de la campagne. Dans l'onglet Fermés, ils peuvent mettre en place des filtres par ressource et par décision. Ils peuvent également effectuer des recherches en fonction d'un utilisateur précis.