Certifications d'accès pour les rôles d'administrateur
Il est important que les organisations identifient et examinent régulièrement les utilisateurs, par exemple les administrateurs, qui disposent d'un accès aux ressources critiques. Utilisez la fonction Certifications d'accès pour créer des campagnes afin d'examiner régulièrement les affectations du rôle d'administrateur de vos utilisateurs. L'exécution fréquente de campagnes permet d'éviter l'accumulation d'accès élevés ou avec des privilèges.
- Campagnes préconfigurées
- Les campagnes préconfigurées sont des campagnes prêtes à l'emploi. Vous pouvez lancer ces campagnes sans configuration manuelle. Pour vous aider à commencer avec Certifications d'accès, Okta prédéfinit des paramètres de campagne pour deux campagnes. Exécutez la campagne Examen des administrateurs Okta pour régir les rôles d'administrateur. La campagne tection des utilisateurs inactifs est également disponible avec des fonctionnalités limitées pour examiner l'application dans votre org présentant le plus grand nombre d'utilisateurs inactifs.
- Campagnes de ressources
- Une campagne de ressources affiche tous les utilisateurs qui ont accès à une ressource. Vous pouvez personnaliser une campagne de ressources en fonction de vos besoins en définissant des paramètres concernant les ressources, les utilisateurs, les réviseurs et les paramètres de remédiation. Par exemple, vous pouvez sélectionner une ressource, comme Okta Admin Console. Ensuite, sélectionnez tous les utilisateurs qui lui sont affectés ou définissez un ensemble précis d'utilisateurs à l'aide d'Okta Expression Language. Vous pouvez également exclure certains utilisateurs de la campagne. Indiquez ensuite les réviseurs de la campagne qui sont chargés d'examiner les affectations du rôle d'administrateur des utilisateurs et de déterminer si la campagne doit comporter plusieurs cycles d'approbation. Pour finir, définissez les actions de correction prises lorsqu'un réviseur approuve ou refuse l'accès d'un utilisateur.
- Campagnes utilisateur
- Une campagne utilisateur affiche toutes les ressources auxquelles un utilisateur peut accéder. Ce type de campagne vous permet d'examiner l'accès des utilisateurs aux ressources lorsque des événements spécifiques (comme un changement de service, de rôle ou de projet) se produisent. Vous pouvez personnaliser une campagne utilisateur en fonction de vos besoins en définissant des paramètres concernant les utilisateurs, les ressources, les réviseurs et les paramètres de remédiation. Par exemple, après avoir précisé les utilisateurs, définissez la portée de la ressource sur Toutes les applications ou Toutes les applications et tous les groupes et cochez la case Inclure les rôles d'administrateur Okta. Indiquez ensuite les réviseurs de la campagne qui sont chargés d'examiner les affectations du rôle d'administrateur des utilisateurs et de déterminer si la campagne doit comporter plusieurs cycles d'approbation. Pour finir, définissez les actions de correction prises lorsqu'un réviseur approuve ou refuse l'accès d'un utilisateur.
-
Les campagnes utilisateurs permettent de régir les rôles d'administrateur uniquement si vous êtes abonné à Okta Identity Governance.
Vous pouvez consulter les ensembles du rôle d'administrateur et leurs dates d'expiration dans le rapport sur l'affectation du rôle d'administrateur. Vous pouvez également utiliser le rapport sur les détails de la campagne antérieure et le rapport de résumé de la campagne antérieure pour afficher les campagnes qui ont été lancées et si l'accès de l'utilisateur à la ressource a été conservé ou refusé. Le rapport sur les droits des utilisateurs est également disponible si vous êtes abonné à Okta Identity Governance.
Pour en savoir plus sur Certifications d'accès, consultez les sections Certifications d'accès et Campagnes.
Si vous êtes abonné à Okta Identity Governance, vous pouvez également utiliser les API Okta Identity Governance.