Créer une condition de demande d'accès

Les conditions de demandes d'accès vous aident à simplifier le processus de demande d'accès à un ensemble du rôle d'administrateur.

Avant de commencer

  • Connectez-vous à l'Admin Console en tant que super administrateur ou utilisateur ayant à la fois un rôle d'administrateur des demandes d'accès et un rôle d'administrateur d'application.

  • Pour définir le niveau accès à l'aide de paquets de droits, activez Governance Engine pour l'application et créez des droits et des ensembles.

  • Pour rationaliser les demandes d'accès pour les rôles d'administrateur, consultez plutôt les sections Govern Okta rôles d'administrateur et Demandes d'accès pour les rôles d'administrateur.

  • Configurez les propriétaires de groupes que vous prévoyez d'utiliser comme approbateurs. Si le propriétaire du groupe est un autre groupe, envoyez ce groupe en mode push à Demandes d'accès.

  • Si vous prévoyez d'utiliser le responsable d'un demandeur comme approbateur, définissez l'attribut d'utilisateur managerId comme nom d'utilisateur Okta ou adresse e-mail.

Okta n'affectera pas d'ensemble à un utilisateur si ces rôles lui ont déjà été affectés par le biais d'une affectation individuelle ou de groupe. De même, si vous attribuez les mêmes rôles d'administrateur à un utilisateur à l'aide d'une affectation de groupe, Okta annulera son accès à l'ensemble du rôle d'administrateur.

Commencer cette tâche

  1. Dans l'Admin Console, accédez à SécuritéAdministrateursGouvernance.

  2. Cliquez sur Demande d'accès.

  3. Facultatif. Pour permettre à un utilisateur de demander une autorisation d'accès à l'administrateur pour un autre utilisateur, cliquez sur Paramètres et activez l'option Activer la demande au nom de . Ensuite, indiquez si vous souhaitez accorder cette autorisation à tous les utilisateurs ou la limiter au responsable d'un utilisateur.

    Lorsque vous activez ou désactivez cette option, elle s'applique à toutes les conditions qui gèrent les demandes d'accès pour les ensembles du rôle d'administrateur.

  4. Cliquez sur + Créer une condition.

  5. Dans la section Portée du demandeur, sélectionnez les groupes pour définir les utilisateurs qui peuvent demander l'accès au rôle d'administrateur.

  6. Dans la section Niveau d'accès, sélectionnez un ensemble du rôle d'administrateur que les utilisateurs peuvent demander.

  7. Dans la section Durée de l'accès, saisissez la date à laquelle l'accès de l'utilisateur doit expirer après l'approbation de sa demande d'accès.

  8. Dans la section Séquences d'approbation, cliquez sur Sélectionner la séquence.

  9. Pour sélectionner une séquence existante, choisissez celle de votre choix et cliquez sur Rafraîchir pour obtenir les dernières modifications. Cliquez sur Sélectionner la séquence.

  10. Pour créer une séquence, cliquez sur + Créer une séquence.

    1. Cliquez sur Modifier dans la barre de titre et saisissez un nom et une description pour la séquence.

    2. Pour créer des questions auxquelles le demandeur devra répondre, cliquez sur n'importe quel nœud après la carte Déclencheur, puis sélectionnez Questions pour le demandeur. Suivez les instructions et saisissez les informations comme demandé.

    3. Pour affecter une étape à un approbateur, cliquez sur n'importe quel nœud après la carte Déclencheur, puis sélectionnez la carte Approbation. Sélectionnez un approbateur dans le menu déroulant Affecter à .

    4. Pour ajouter une autre étape à la séquence, cliquez sur le nœud après une carte et sélectionnez un type d'étape, tel que Approbation, Question ou Personnalisé.

    5. Cliquez sur Enregistrer, puis revenez à la page Condition de demande d'accès.

  11. Cliquez sur Créer. La condition de demande d'accès que vous créez est dans un état inactif par défaut.

  12. Facultatif. Utilisez l'outil glisser-déposer d'une condition pour la déplacer et définir sa priorité sur d'autres conditions. Okta ne prend en compte l'ordre de priorité de la condition qu'une fois que vous l'avez activée.

  13. Facultatif. Activez la condition pour l'utiliser.

Vérifiez que les éléments que vous avez référencés dans une condition, comme les groupes et les ensembles, sont actifs ou disponibles. Si l'un de ces éléments est désactivé ou supprimé, la condition devient non valide lorsque vous l'activez ou lorsqu'un demandeur soumet une demande.

Si un demandeur remplit les critères de plusieurs conditions, la condition qui a la priorité la plus élevée détermine la séquence d'approbation qui sera utilisée pour approuver la demande. Si son appartenance à un groupe change et qu'il ne remplit plus les conditions, il ne peut pas demander l'accès aux ensembles du rôle d'administrateur régis par ces conditions. Ses affectations de rôle d'administrateur existantes ne sont pas concernées.

Pour comprendre l'expérience des demandeurs et des approbateurs, consultez les sections Demander une attribution de rôle d'administrateurGérer les requêtes et Gérer les tâches.

Rubriques liées

Gérer les conditions des demandes d'accès

Créer une campagne