Groupes

Les groupes vous permettent de simplifier la gestion des utilisateur. Au lieu d'affecter des utilisateurs à des applications de manière individuelle, vous pouvez affecter des utilisateurs à un groupe, puis vous pouvez accorder ou refuser accès à une ressource au groupe. Lorsque les droits accès du groupe sont modifiés, ces modifications sont automatiquement appliquées à tous les membres du groupe en question.

Vous pouvez regrouper les utilisateurs en fonction de caractéristiques communes ou partagées, comme le service auquel appartient un groupe d'utilisateurs ou les membres d'une équipe de projet. Par exemple, vous pouvez créer un groupe nommé Ventes et accorder à ces utilisateurs accès à un dossier partagé, comme Documentation commerciale.

Les groupes sont des outils importants pour les systèmes de gestion d'identité, et les données de groupe se trouvent généralement dans un répertoire. La plupart des applications prennent en charge les groupes, soit au niveau de l'application, soit au niveau des ressources spécifiques de l'application.

Lorsque vous recherchez un groupe sur la page Groupes accesible à RépertoireGroupes par nom de groupe entier ou partiel. Okta affiche les noms des groupes qui correspondent à ce que vous saisissez dans le champ de recherche et ne renvoie que les groupes qui correspondent au préfixe. Par exemple, si un groupe s'appelle Groupe 1 et que vous saisissez 1 comme terme de recherche partielle, ce groupe n'apparaîtra pas dans les résultats. Si vous saississez Groupe comme terme de recherche partielle, tous les groupes commençant par Groupe apparaîtront.

Politiques et règles d'authentification d'app

Les politiques d'authentification à l'app vous permet de restreindre l'accès aux apps. Vous pouvez autoriser ou refuser accès aux groupes que vous spécifiez, et imposer le recours à l'authentification multifacteur (MFA). Si vous avez des employés à distance, en contrat court ou long, vous pouvez créer un groupe pour chaque catégorie, puis configurer différentes règles pour chaque groupe.

Vous pouvez également exclure des groupes d'une règle. Par exemple, si les utilisateurs se connectent depuis votre réseau d'entreprise, vous pouvez les exclure des exigences authentification supplémentaires. Pour les utilisateurs qui se connectent depuis l'extérieur du réseau de l'entreprise, vous pouvez exiger une vérification supplémentaire. Consultez Configurer une politique d'authentification à l'application.

Groupes dans les applications et les répertoires

Avec Okta, vous pouvez définir des appartenances au groupe dans un répertoire puis utiliser vos groupes dans pluiseurs systèmes connectés. Pour les systèmes locaux, les applications peuvent se connecter et interroger des groupes depuis un répertoire central. Les applications cloud ne disposent que rarement d'un Active Directory (AD) commun, mais la fonctionnalité de transfert de groupes Okta permet d'utiliser les groupes avec ce type d'applications.

Administrateurs Okta

Okta ajoute automatiquement tous les administrateurs de votre org à un groupe appelé Administrateurs Okta. La fonctionnalité Administrateurs Okta vous permet de créer de nouvelles politiques d'authentification qui s'appliquent automatiquement à tous les administrateurs de votre org.

Vous pouvez uniquement affecter le groupe Administrateurs Okta aux politiques d'authentification, pas aux applications. Tous les administrateurs peuvent voir ce groupe, mais seul un super administrateur qui définit la politique globale peut l'utiliser. Pour des raisons de sécurité, le nombre de membres ne s'affiche pas pour ce groupe.

Approvisionnement des groupes SAML JIT

Vous pouvez approvisionner des groupes durant le processus d'authentification SAML. Cette étape est recommandée lorsque vous souhaitez effectuer les actions suivantes :

  • Ajouter des utilisateurs à des groupes déjà créés
  • Créer de nouveaux groupes
  • Gérer l'appartenance au groupe
    - Il n'existe pas de configuration d'approvisionnement préalable. Les informations de groupe sont envoyées dans l'assertion SAML lorsque l'utilisateur se connecte à une application cible. C'est une méthode moins flexible que le transfert de groupe, pour lequel il faut utiliser des expressions régulières afin de filtrer les groupes souhaités. L'avantage de cette méthode est sa disponibilité au sein du modèle SAML. Si votre application cible accepte les informations de groupe par SAML, vous pouvez configurer un modèle sans recourir à un effort de développement pour implémenter les transferts de groupe.

Cas d'utilisation

Ces cas d'utilisation montrent comment Okta peut vous aider à gérere vos groupes.

Approvisionnez les utilisateurs dans les applications cible

Les applications qui prennent en charge l'approvisionnement peuvent utiliser l'appartenance au groupe pour déterminer les comptes utilisateurs créés, mis à jour, supprimés ou désactivés. Une fois l'approvisionnement configuré, affectez un group à votre app. Okta crée automatiquement des membres du groupe dans l'app cible.

Certains services possèdent des données supplémentaires que vous pouvez assigner à un utilisateur récemment créé. Par exemple, lorsque vous affectez un groupe à une application SalesForce à l'approvisionnement activé, vous pouvez choisir les rôles SalesForce et les profils affectés aux utilisateurs dans le groupe.

Mappez les groupes AD vers des dossiers Box

Une entreprise utilisant des groupes AD pour contrôler l'accès aux fichiers migre vers Box pour le partage de fichiers. Les dossiers créés dans Box reflètent une hiérarchie identique ou similaire aux serveurs de fichiers locaux. Les groupes sont importés dans Okta, puis le transfert de fichiers est utilisé pour pousser des groupes vers Box, où ils seront affectés à des dossiers collaboratifs.