Règles de groupe

Les règles de groupe simplifient l'administration de groupe et vous aident à gérer l'accès aux applications, les rôles d'application et les politiques de sécurité.

Les groupes sont souvent utilisés pour l'accès à Okta par authentification unique (SSO) et pour octroyer des droits spécifiques aux utilisateurs d'applications. Lorsque vous utilisez des règles pour renseigner des groupes basés sur des attributs, vous effectuez un contrôle d'accès basé sur des attributs. Vous pouvez créez des règles en utilisant un ou plusieurs attributs, un ou plusieurs groupes, ou une combinaison d'attributs et de groupes.

Les règles de groupe vous permettent de :

  • Mapper plusieurs groupes Active Directory (AD) vers un seul groupe Okta. Vous pouvez également utiliser des règles pour mapper des groupes Okta vers des groupes AD.

  • Renseigner des groupes AD en fonction des attributs utilisateur. Les règles sont particulièrement pratiques pour les configurations « Workday (WD) comme source », pour lesquelles Okta approvisionne les utilisateurs et les groupes vers AD. Par exemple, l'attribut centre de coûts de WD peut être utilisé pour déterminter des appartenances de groupe AD.

  • Simplifier la gestion des groupes. Au lieu d'ajouter les utilisateurs aux groupes manuellement, vous pouvez définir une règle qui ajoute automatiquement les utilisateurs possédant l'attribut requis. Par exemple, un utilisateur avec l'attribut service = « commercial » sera automatiquement ajouté au groupe Commercial. Lorsque l'attribut service d'un utilisateur est modifié, l'utilisateur est automatiquement retiré du groupe Commercial.

  • Automatiser l'approvisionnement. Au lieu d'approvisionnement les utilisateurs aux applications manuellement, vous pouvez définir une règle qui approvisionne automatiquement les utilisateurs possédant l'attribut requis. Par exemple, si l'attribut du profil utilisateur = X, alors vous pouvez approvisionnez l'application Y avec le rôle Z.

Gardez les restrictions suivantes à l'esprit :

  • Les organisations possèdent un maximum de 2 000 règles.
  • L'affectation d'utilisateurs à des groupes d'administrateurs ne peut se faire par des règles de groupe.
  • Vous ne pouvez utiliser les attributs de chaîne que pour les conditons de base des règles de groupe.
  • Un groupe déjà cible d'une règle de groupe ne peut recevoir de privilèges d'administrateur.
  • Seuls les super administrateurs et les administrateurs d'organisations peuvent modifier les règles.
  • Seuls les administrateurs de groupe qui gèrent tous les groupes peuvent visualiser et effectuer des recherches dans les groupes. Les administrateurs de groupes individuels ne peuvent pas visualiser ou effectuer des recherches dans les groupes.

Rubriques liées

Bonnes pratiques concernant les règles de groupe

Administrateurs d'appartenance aux groupes

Créer des règles de groupe