Demandes d'accès pour les rôles d'administrateur

Utilisez l'application Okta Demandes d'accès pour rationaliser le processus de demande d'accès aux ensembles du rôle d'administrateur. Elle propose une approche simplifiée et fluide qui achemine automatiquement les requêtes des utilisateurs vers un ou plusieurs approbateurs dans le cadre d'une action.

Les demandes d'accès vous permettent d'éliminer les difficultés suivantes qui sont généralement rencontrées avec les workflows plus traditionnels :

  • Expérience déplaisante pour le demandeur

  • Risque d'erreur humaine

  • Diminution de la productivité informatique

  • Workflows complexes et rigides

  • Manquements en matière d'audit et de conformité

  • Accumulation d'accès avec des privilèges

Personas

Persona Description
Super administrateur Un utilisateur disposant d'une affectation de rôle de super administrateur standard .
Demandeur N'importe lequel utilisateur au sein de l'org qui demande un accès.
Approbateur N'importe lequel des utilisateurs au sein de l'org qui est affecté à une tâche d'approbation.
Chargé de requêtes Un super administrateur qui est affecté à la gestion des aspects administratifs d'une demande, comme les tâches non affectées ou la réaffectation des approbateurs.

Configuration de la requête

Pour les super administrateurs, l'optimisation des demandes d'accès est un processus en quatre étapes :

  1. Associez un rôle d'administrateur à un ensemble de ressources de façon à créer un ensemble du rôle d'administrateur.

  2. Configurez les conditions de demande d'accès :

    1. Définissez qui peut demander un accès et précisez les ensembles du rôle d'administrateur qu'ils peuvent demander et pendant combien de temps l'accès doit être accordé. Lorsque la demande d'accès expire, l'accès de l'utilisateur est automatiquement annulé.

    2. Configurez une séquence d'approbation qui régit les informations qu'un demandeur ou un approbateur doit fournir et définissez qui doit approuver ou refuser la demande d'accès.

    3. Une séquence d'approbation est une suite d'étapes (questions, tâches d'approbation et tâches personnalisées) qui se produisent dans un ordre séquentiel, chaque étape devant être terminée avant que la suivante ne débute. Pour qu'un demandeur obtienne un accès, toutes les tâches doivent être terminées et tous les approbateurs doit avoir accordé leur approbation.

  3. Activez la condition.

  4. Facultatif. Sur la page Paramètres, indiquez si les utilisateurs peuvent demander une autorisation d'accès à l'administrateur au nom d'autres utilisateurs. Vous pouvez accorder cette autorisation à tous les utilisateurs ou la limiter aux managers uniquement. Ceci s'applique à toutes les conditions qui gèrent les demandes d'accès pour les ensembles du rôle d'administrateur. Si vous n'êtes pas abonné à Okta Identity Governance, les paramètres des demandes d'accès pour les conflits de règles de séparation des tâches (Separation of Duty ou SOD) ne sont pas disponibles.

Après avoir activé une condition, les demandeurs éligibles peuvent simplement demander une autorisation d'accès à l'administrateur depuis leur Dashboard. Ils peuvent choisir parmi les ensembles du rôle d'administrateur disponibles, saisir les informations requises et soumettre la demande. Une fois qu'ils ont soumis une demande, la séquence d'approbation est déclenchée, et les approbateurs sont affectés et avertis qu'ils ont une tâche qui nécessite une action de leur part. Une fois que les approbateurs ont terminé leurs tâches, les utilisateurs se voient automatiquement accorder ou refuser l'accès en fonction de la décision de l'approbateur.

Si l'affectation d'une tâche au sein de la demande est annulée, le chargé de requêtes (super administrateur) pour cette demande peut gérer la demande depuis l'application Web Okta Demandes d'accès.

Considérations

  • Les rôles d'administrateur comportent de nombreux privilèges. Pour limiter l'accès aux rôles d'administrateur, il est conseillé de restreindre le nombre d'utilisateurs et de groupes pouvant le demander.

    • Groupes : limitez les demandes d'accès aux rôles d'administrateur aux groupes composés de 100 membres ou moins.

    • Utilisateurs : limitez le nombre d'utilisateurs (demandeurs ou approbateurs potentiels) affectés à l'application Okta Demandes d'accès à 100 000.

      N'autorisez pas plus de 200 utilisateurs dans un groupe référencé dans une condition régissant les rôles d'administrateur.

  • Si vous êtes déjà abonné à Gouvernance de l'identité, notez que les demandes d'accès pour les ensembles du rôle d'administrateur sont plus limitées que les demandes d'accès pour d'autres ressources, telles que les applications ou les groupes. Voici en quoi les demandes d'accès pour les ensembles du rôle d'administrateur diffèrent :

    • Les super administrateurs doivent utiliser des conditions et des séquences de demande d'accès pour gérer les demandes d'accès pour les ensembles du rôle d'administrateur. Les types de demandes dans la console Okta Demandes d'accès ne prennent pas en charge les demandes d'accès pour les ensembles du rôle d'administrateur.

    • Ces demandes d'accès administrateur sont définies comme privées par défaut et ne peuvent pas être modifiées.

    • Les demandes ne peuvent pas être consultées ou modifiées à l'aide de l'API publique Demandes d'accès.

    • Expérience du point de vue du demandeur :

      • Les questions destinées au demandeur et les réponses de celui-ci ne peuvent pas être mises à jour une fois qu'il a répondu.

      • Un demandeur peut annuler sa demande si les approbateurs ou d'autres chargés de tâches n'y ont pas donné suite.

      • Les chargements de fichiers ne sont pas autorisés dans le cadre des demandes d'accès pour des ensembles du rôle d'administrateur.

      • Si l'expérience de demandeur unifiée est activée pour votre org, les utilisateurs peuvent initier des demandes pour des ensembles du rôle d'administrateur depuis Slack et Microsoft Teams, en plus du End-User Dashboard.

    • Expérience du point de vue du chargé de requêtes :

      • Seul un chargé de requêtes étant un super administrateur peut réaffecter des tâches et des questions à un autre utilisateur.

      • Seul un super administrateur peut gérer les demandes d'accès pour les ensembles du rôle d'administrateur. Les administrateurs de demandes d'accès ne peuvent pas consulter ou gérer les demandes d'accès pour les ensembles du rôle d'administrateur s'ils ne sont pas des demandeurs, approbateurs ou chargés de tâches.

      • Les attributs de demande de type Équipe et Type de demande ne sont pas visibles dans la vue Détails de la requête.

    • Expérience du point de vue de l'approbateur :

      Les approbateurs et les chargés de tâches reçoivent des notifications concernant une demande pour un ensemble du rôle d'administrateur dans l'application Web Demandes d'accès, par e-mail, ou via Slackou Microsoft Teams. Cependant, les demandes d'accès pour des ensembles du rôle d'administrateur ne peuvent être approuvées qu'à partir de l'application Web Demandes d'accès. L'approbation de ces requêtes par e-mail, Slackou Microsoft Teams n'est pas prise en charge.

Prochaine étape

Créer un lot de rôles administrateur