Révisions des campagnes de certification
Examinez régulièrement l'accès des utilisateurs aux ressources à l'aide des campagnes de certification d'accès.
Une campagne devient active lors de sa date de début prévue. Lorsqu'une campagne est active, les réviseurs peuvent approuver ou révoquer l'accès d'un utilisateur à une ressource. Ils peuvent également réaffecter l'élément de révision à un autre réviseur. Cependant, les réviseurs ne peuvent pas modifier leurs décisions concernant les éléments de révision après les avoir soumis.
La campagne est marquée comme clôturée à la date de fin prévue, lorsque tous les réviseurs de la campagne terminent leurs révisions, ou lorsque vous (super administrateur ou administrateur des certifications d'accès) clôturez la campagne avant la date de fin prévue. Une fois la campagne terminée, les réviseurs ne peuvent plus approuver ou révoquer les éléments de révision en attente.
Pour les campagnes comportant des révisions à plusieurs niveaux, certains éléments révisés par un réviseur de premier niveau sont envoyés à un réviseur de second niveau pour approbation. Dans ce cas, le réviseur de second niveau est le réviseur final pour ces éléments de révision et doit prendre une décision avant la fin de la campagne.
Il arrive parfois qu'un réviseur de second niveau se voie affecter de nouveaux éléments de révision après le début de la révision de second niveau. Cela se produit lorsque le réviseur de premier niveau a terminé la révision des éléments en attente après leur date d'échéance.
Seuls les super administrateurs peuvent réaffecter les éléments de révision d'une campagne examinant les rôles d'administrateur. Consultez Considérations.
Lors de l'examen de l'accès des utilisateurs, les réviseurs peuvent également consulter les informations relatives aux conflits de séparation des tâches si vous (super administrateur ou administrateur des certifications d'accès) l'avez configuré sur la page Informations contextuelles avant le lancement de la campagne. Consultez Contexte personnalisable à destination du réviseur.
Les réviseurs peuvent consulter les campagnes précédemment terminées qu'ils ont révisées depuis l'onglet Clôturées de la page Mes révisions dans l'application Okta Access Certifications Review. Si le propriétaire de la campagne configure les notifications par e-mail, les réviseurs reçoivent des notifications pour les événements suivants :
- Un administrateur ou un réviseur affecte des éléments de révision.
- Un réviseur possède des éléments de révision en attente alors que la campagne se termine bientôt.
-
Rappels de retard pour les réviseurs de premier niveau, s'ils ont des éléments de révision en attente.
- Lorsque la campagne est terminée.
Si vous savez qu'un réviseur ne sera pas disponible pendant un certain temps, vous (super administrateur) ou le réviseur pouvez désigner un délégué. Les réviseurs peuvent définir un autre utilisateur comme délégué ou modifier le délégué qui leur a été affecté uniquement si vous avez activé l'option Permettre aux utilisateurs finaux d'affecter leur propre délégué. Consultez Permettre aux utilisateurs finaux d'affecter des délégués. Si vous n'avez pas activé cette option, ils ne pourront voir que les informations relatives à l'affectation des délégués.
Notez que les éléments de révision ne sont pas affectés au délégué si un réviseur inclus dans la campagne affecte un délégué après le lancement de la campagne. Consultez Affecter un délégué depuis l'Admin Console et Gérer les délégués.
Pour les campagnes dont le Type de réviseur est défini sur Groupe ou Propriétaire du groupe, si un membre du groupe affecte un délégué qui n'est pas membre du groupe, tous les éléments de révision futurs seront affectés au délégué ainsi qu'aux membres actuels du groupe. Le panneau Détails de la révision pour un élément de révision indique également quels sont les utilisateurs délégués.
Révision intelligente
Version en accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.
La révision intelligente est une méthode alternative permettant aux réviseurs d'examiner et de certifier l'accès dans les campagnes de l'app Okta Access Certifications Review. Au lieu de certifier l'accès pour chaque élément de révision un par un dans un tableau de campagne, cette fonctionnalité regroupe les éléments à réviser par utilisateur, ressource et recommandation. Cela aide les réviseurs à prendre des décisions d'accès plus réfléchies et plus précises, et à certifier efficacement les accès pour des campagnes comportant un volume élevé d'éléments à traiter pour les réviseurs.
Les réviseurs peuvent utiliser l'un des modes suivants pour commencer à certifier les accès :
- Par ressource : les éléments de révision sont regroupés par ressource. Les réviseurs peuvent examiner et certifier l'accès de tous les utilisateurs qui disposent d'un accès à une ressource dans la campagne, en une seule fois. Ce mode est idéal pour les propriétaires de ressources qui certifient qui a accès aux ressources dont ils sont responsables de la gestion.
- Par utilisateur : les éléments de révision sont regroupés par utilisateur. Les réviseurs peuvent examiner et certifier les accès à toutes les ressources auxquelles un utilisateur a accès dans la campagne en une seule fois. Ce mode est idéal pour les gestionnaires qui certifient les accès de leurs collaborateurs directs.
Selon le mode, les éléments de révision sont regroupés par utilisateur ou par ressource en plusieurs étapes. Une étape est un ensemble de deux éléments de révision ou plus qui comportent un facteur commun tel qu'une ressource, un utilisateur ou une recommandation.
Par exemple, vous avez lancé une campagne ciblant toutes les apps et tous les groupes, en affectant des tâches de révision aux gestionnaires des utilisateurs.
En mode de révision Par ressource, chaque étape affiche l'accès dont disposent les utilisateurs à une seule ressource. L'étape 1 est un ensemble d'éléments de révision où les utilisateurs sont affectés à une app A. L'étape 2 est un ensemble d'éléments de révision où tous les utilisateurs sont affectés au groupe B, et ainsi de suite.
En mode de révision Par utilisateur, chaque étape contient une liste de ressources auxquelles un utilisateur a accès. L'étape 1 inclut tous les éléments de révision (liste des accès de l'utilisateur à diverses apps et à divers groupes) associés à l'utilisateur 1. L'étape 2 inclut tous les éléments de révision associés à l'utilisateur 2, et ainsi de suite.
Dans les deux modes, les réviseurs peuvent sélectionner Toutes les révisions pour afficher un aperçu de toutes les étapes dans le mode actuel.
Indépendamment du mode de révision intelligente, il peut y avoir une étape supplémentaire de Conclusion qui inclut des éléments de révision sans d'attribut commun.
Les réviseurs peuvent utiliser le menu des options pour mettre fin à la révision intelligente en cours ou désactiver la fonctionnalité de révision intelligente pour toutes les campagnes pendant la durée de leur session Okta active.
Le message Vous avez tout vu apparaît à la fin de la révision intelligente s'il y a des éléments à réviser en attente. Les réviseurs peuvent soit revenir à l'étape précédente, soit terminer la révision intelligente.
L'option Révision intelligente n'est disponible que pour les réviseurs des campagnes actives si les conditions suivantes sont remplies :
- Le nombre total d'éléments de révision affectés à un réviseur est inférieur à 10 000.
- Il existe au moins un mode de révision intelligente applicable.
- Il y a un minimum de deux étapes (hors étape Conclusion) et un maximum de 100 étapes.