Ajouter des règles à une politique

Ajoutez des règles pour définir la permission des ressources et la manière dont un accès avec privilèges est accordé à ces ressources. Le type de règle que vous pouvez ajouter dépend du type de politique que vous avez configuré. La politique de compte de service Okta vous permet uniquement d'ajouter des types de règles pour Okta, tandis que la politique par défaut vous permet d'ajouter des règles pour n'importe quel type de politique à l'exception d'Okta.

Avant de commencer

Vous devez avoir une politique existante ou être en train d'en créer une. Consultez la section Créer ou mettre à jour une politique de sécurité.
Vous devez avoir un rôle d'administrateur de sécurité ou d'administrateur de sécurité délégué.

Ajouter des règles à une politique par défaut

Vous pouvez ajouter cette règle pour un serveur, des secrets, des comptes de service d'app SaaS, des comptes Active Directory ou des comptes de bases de données.

Accédez à Administration de la sécurité > Politiques.
Sélectionnez la politique à laquelle vous souhaitez ajouter une règle.
Sélectionnez Ajouter une règle, puis l‘un des types de règle : Règle de serveur, Règle de secret, Règle de compte de service d‘application SaaS ou Active DirectoryRègle de compte.
Effectuez l'une des actions suivantes en fonction du choix que vous avez fait à l'étape précédente :
Cliquez sur Enregistrer la règle. Vous pouvez maintenant publier cette politique.

Configurer une règle de serveur

Si vous avez sélectionné Règle de serveur, procédez comme suit :

Paramètre	Action
Nom de la règle	Saisissez un nom de la règle.
Sélectionnez les ressources que vous souhaitez protéger avec cette règle.	Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations. Sélectionner les serveurs par étiquette Activez Sélectionner des ressources par libellé. Dans le champ Ajouter des ressources, recherchez un libellé de ressource et sélectionnez-le. Vous pouvez sélectionner plusieurs étiquettes de ressource Sélectionnez une ou les deux méthodes d'accès suivantes : Accéder aux ressources par compte individuel ou Accéder aux ressources par compte sécurisé. Si vous avez sélectionné Accès aux ressources par compte individuel, sélectionnez l'une des options suivantes : Autorisations de niveau utilisateur, Autorisations de niveau administrateur ou Niveau utilisateur avec commandes sudo. Si vous avez sélectionné Niveau utilisateur avec commandes sudo, suivez les étapes suivantes : Dans le champ Commandes sudo, saisissez un nom de commande et appuyez sur Entrée pour la sélectionner. Vous pouvez ajouter un maximum de 10 types de commandes sudo par règle. Dans le champ Nom d'affichage de l'utilisateur final, saisissez un surnom pour la collection de groupes de commandes sudo. Le surnom est limité à 64 caractères et vous ne pouvez utiliser que les caractères suivants : 0-9, A-Z, a-z, -, _ et espace. Si vous avez sélectionné Accéder aux ressources par compte sécurisé, saisissez le nom du compte dans le champ Sélectionner des comptes sécurisés et appuyez sur la touche Entrée de votre clavier pour sélectionner le compte. Vous pouvez ajouter un ou plusieurs comptes. Sélectionner des comptes par libellé Activez Sélectionner les ressources par nom. Sélectionnez un par un un ou plusieurs serveurs.
Activer l'enregistrement de session	Facultatif. Les administrateurs de ressources Okta doivent inscrire et installer une passerelle avant d'activer l'enregistrement de session. Sélectionnez Activer la redirection du trafic via des passerelles. Sélectionnez Enregistrer la session via des passerelles.
Requêtes d'approbation	Facultatif. Créez d'abord un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests. Activez Activer les requêtes d'approbation. Sélectionnez le type de requête d'approbation. Choisissez la durée de l'approbation.
Autorisations pour les comptes	Facultatif. Sélectionnez au moins l'une des options suivantes : Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut. Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe.
Activer la MFA	Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes. Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises. Remarque : Une période de grâce de 10 secondes s'applique après qu'un utilisateur s'est authentifié via la MFA. Pendant cette période de grâce, Okta n'invite plus les utilisateurs à saisir leur mot de passe si l'option Chaque connexion est sélectionnée. Cette fonctionnalité est disponible pour toutes les applications configurées avec SAML. Les apps SWA ne prenant pas en charge la réauthentification, vous ne pouvez pas remplacer la méthode d'authentification SAML par SWA si la réauthentification est sélectionnée.

Configurer une règle de secret

Si vous avez sélectionné Règle de secret, procédez comme suit :

Paramètre	Action
Nom de la règle	Saisissez un nom de la règle.
Sélectionner le dossier secret ou le secret que vous souhaitez protéger avec cette règle	Cliquez sur Sélectionner le dossier secret ou le secret. Sélectionnez un dossier secret ou un secret. Cliquez sur Enregistrer.
Sélectionner les autorisations	Sélectionnez les autorisations. Vous devez sélectionner au moins une autorisation. Consultez la section Autorisations liées aux secrets pour plus de détails.
Requêtes d'approbation	Créez d'abord un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Voir Okta Privileged Access avec Demandes d'accès . Activez Activer les requêtes d'approbation. Sélectionnez le type de requête d'approbation. Choisissez la durée de l'approbation.
Activer la MFA	Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes. Remarque : Une période de grâce de 10 secondes s'applique après qu'un utilisateur s'est authentifié via la MFA. Pendant cette période de grâce, Okta n'invite plus les utilisateurs à saisir leur mot de passe si l'option Chaque connexion est sélectionnée. Cette fonctionnalité est disponible pour toutes les applications configurées avec SAML. Les apps SWA ne prenant pas en charge la réauthentification, vous ne pouvez pas remplacer la méthode d'authentification SAML par SWA si la réauthentification est sélectionnée.

Configurer une règle de compte de service d'application SaaS

Si vous avez sélectionné Règle de compte de service d'application SaaS, procédez comme suit :

Saisissez un nom de la règle.
Sélectionnez l'une des méthodes suivantes pour mettre à jour les mots de passe :
- Automatique
- Manuelle

Si vous avez sélectionné la méthode Automatique, procédez comme suit :

Paramètre	Action
Comptes à protéger	Sélectionnez un ou plusieurs comptes.
Autorisations pour les comptes	Facultatif. Sélectionnez au moins l'une des options suivantes : Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut. Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe. Facultatif. Sélectionnez Remplacer le mot de passe géré. Cela permet aux utilisateurs de remplacer le mot de passe afin de gérer les changements de mot de passe hors bande.
Requêtes d'approbation	Facultatif. Vous devez d'abord créer un type de requête dansDemandes d'accès afin que le workflow de la requête d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests. Activez Activer les requêtes d'approbation. Sélectionnez le type de requête d'approbation. Choisissez la durée de l'approbation.
Activer la MFA	Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque action protégée effectuée par un utilisateur : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : Après la durée spécifiée : indiquez une durée comprise entre cinq minutes et 12 heures, la valeur par défaut étant de 30 minutes. Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.
Délai d'emprunt maximal	Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée. Activez Remplacer le délai d'emprunt maximal au niveau du projet. Définissez la quantité et la durée.

Si vous avez sélectionné la méthode manuelle, procédez comme suit :

Paramètre	Action
Permissions des comptes de service	Facultatif. Sélectionnez au moins l'une des options suivantes : Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut. Mettre à jour : accorde à l'utilisateur la permission de modifier la valeur des identifiants.
Comptes à protéger	Sélectionnez un ou plusieurs comptes.
Requêtes d'approbation	Facultatif. Vous devez d'abord créer un type de requête dansDemandes d'accès afin que le workflow de la requête d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests. Activez Activer les requêtes d'approbation. Sélectionnez le type de requête d'approbation. Choisissez la durée de l'approbation.
Activer la MFA	Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque action protégée effectuée par un utilisateur : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : Après la durée spécifiée : indiquez une durée comprise entre cinq minutes et 12 heures, la valeur par défaut étant de 30 minutes. Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.

Configurer une règle de compte Active Directory

Remarque :

Si la politique de sécurité est configurée pour un groupe de ressources précis, le compte Active Directory et le serveur doivent appartenir au même groupe de ressources. Sinon, l'accès à distance via RDP échoue, empêchant ainsi la connexion.

Si vous avez sélectionné Règle de compte Active Directory, procédez comme suit :

Paramètre	Action
Nom de la règle	Saisissez un nom de la règle.
Comptes à protéger	Cochez la case Sélectionner des comptes individuels. Facultatif. Sélectionnez un opérateur, puis saisissez une valeur. Facultatif. Saisissez un ou plusieurs noms de domaine dans le champ Domaines. Cochez la case Sélectionner les comptes partagés par nom de correspondance. Saisissez un ou plusieurs comptes dans le champ Nom de compte. Facultatif. Saisissez un ou plusieurs noms de domaine dans le champ Domaines. Sous Sélectionner des comptes partagés spécifiques, utilisez la barre de recherche pour rechercher un compte, puis sélectionnez un ou plusieurs comptes. Remarque : Comptes partagés par nom fait correspondre n'importe quel compte portant ce nom. Il n'est pas nécessaire que le compte existe et tout compte, actuel ou à venir, qui possède ce nom constitue une correspondance. Lorsque vous sélectionnez des comptes spécifiques, vous sélectionnez en fait un compte et un SID précis. Si le compte est supprimé et recréé dans ce domaine avec le même nom mais avec un SID différent, il ne correspondra plus à cette politique et devra être sélectionné à nouveau.
Autorisations pour le compte	Sélectionnez au moins l'une des options suivantes : Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut. Effectuer une rotation du mot de passe : accorde à l'utilisateur l'autorisation de procéder à la rotation du mot de passe. Session RDP : accorde à l'utilisateur l'autorisation d'initier une session RDP sur les serveurs Windows. L'option suivante est disponible lorsque vous sélectionnez Session RDP. Vous pouvez spécifier les serveurs dans une règle de politique Active Directory (AD), en autorisant les utilisateurs à démarrer des sessions RDP sur les serveurs comportant les comptes AD ciblés. Sélectionnez Par libellé. Dans le champ Ajouter des ressources, recherchez un libellé de serveur et sélectionnez-la. Vous pouvez sélectionner plusieurs libellés de serveur. Sélectionnez Par nom, puis sélectionnez un ou plusieurs serveurs individuellement. Choisissez l'une des options suivantes pour déterminer la manière dont Okta Privileged Accessgère l'appartenance aux groupes locaux. Les deux premières options permettent d'ajouter le compte soit au groupe Administrateurs, soit au groupe Utilisateurs du bureau à distance. Si vous utilisez une autre méthode pour gérer les groupes locaux, sélectionnez Ne pas ajouter à aucun groupe local. Être ajouté au groupe « Utilisateurs du bureau à distance » Être ajouté au groupe « Administrateurs » Ne pas être ajouté à un groupe local. Remarque : Cela ne s'applique pas aux contrôleurs de domaine, sauf si le fichier `sftd.yaml` sur le contrôleur de domaine est configuré de manière à permettre la gestion des groupes. Voir Contrôleur de domaine Windows. Session SSH : permet aux comptes de domaine Active DirectoryActive Directory authentifiés de se connecter à des serveurs Linux dans leur domaine AD via SSH. Remarque : L'utilisation d'un nom d'utilisateur non entièrement qualifié sans utilisateur local existant empêche la création d'un compte Active Directory et entraîne un échec lors de la tentative de connexion. Sélectionnez Par libellé. Dans le champ Ajouter des ressources, recherchez un libellé de serveur et sélectionnez-la. Vous pouvez sélectionner plusieurs libellés de serveur. Sélectionnez Par nom, puis sélectionnez un ou plusieurs serveurs individuellement.
Enregistrement de session	Facultatif. Les administrateurs de ressources Okta doivent inscrire et installer une passerelle avant d'activer l'enregistrement de session. Sélectionnez Activer la redirection du trafic via des passerelles. Sélectionnez Enregistrer la session via des passerelles. Si vous activez la redirection du trafic et l'enregistrement des sessions, cette condition s'applique à la fois aux sessions RDP et SSH.
Requêtes d'approbation	Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests. Activez Activer les requêtes d'approbation. Sélectionnez le type de requête d'approbation. Choisissez la durée de l'approbation.
Activer la MFA	Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque tentative de connexion SSH ou RDP : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes. Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises. Remarque : Une période de grâce de 10 secondes s'applique après qu'un utilisateur s'est authentifié via la MFA. Pendant cette période de grâce, Okta n'invite plus les utilisateurs à saisir leur mot de passe si l'option Chaque connexion est sélectionnée. Cette fonctionnalité est disponible pour toutes les applications configurées avec SAML. Les apps SWA ne prenant pas en charge la réauthentification, vous ne pouvez pas remplacer la méthode d'authentification SAML par SWA si la réauthentification est sélectionnée.
Délai d'emprunt maximal	Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée. Activez Remplacer le délai d'emprunt maximal au niveau du projet. Définissez la quantité et la durée.

Configurer une règle de compte de base de données

Suivez les étapes ci-dessous pour définir les règles d'accès et les contrôles de conformité pour les comptes utilisateur intégrés de la base de données. Vous avez besoin d'une règle par intégration, chaque règle étant utilisée pour sélectionner les utilisateurs à inclure dans cette règle.

Paramètre	Action
Nom de la règle	Saisissez un nom de la règle.
Comptes à protéger	Sélectionnez les comptes que vous souhaitez protéger avec cette règle. Sélectionnez un opérateur, puis saisissez une valeur. (Facultatif) Cliquez sur Ajouter une condition pour ajouter un autre compte. Dans le champ Nom de l'intégration dela base de données, saisissez le nom que vous souhaitez ajouter, puis cliquez pour le sélectionner. Vous pouvez avoir un ou plusieurs noms.
Autorisations pour les comptes	Afficher : permet à l'utilisateur de déchiffrer les informations d'identification et de les afficher en texte brut. Cette fonctionnalité est activée par défaut.
Authentification multifacteur	(Facultatif) Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque action protégée effectuée par un utilisateur : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : Après la durée spécifiée : indiquez une durée comprise entre cinq minutes et 12 heures, la valeur par défaut étant de 30 minutes. Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises.
Délai d'emprunt maximal	Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée. Activez Remplacer le délai d'emprunt maximal au niveau du projet. Définissez la quantité et la durée.

Ajouter des règles pour la politique de compte de service Okta

Ajoutez cette règle pour la politique de compte de service Okta.

Accédez à Administration de la sécurité > Politiques.
Sélectionnez la politique à laquelle vous souhaitez ajouter une règle.

Sélectionnez Ajouter une règle, puis procédez comme suit :

Paramètre	Action
Nom de la règle	Saisissez un nom de la règle.
Comptes à protéger	Vous pouvez sélectionner des ressources par libellé ou par nom. En fonction de votre sélection, vous devrez effectuer d'autres configurations. Sélectionner les comptes par nom Activez Sélectionner les comptes par nom. Sélectionnez un par un un ou plusieurs comptes.
Requêtes d'approbation	Facultatif. Vous devez d'abord créer un type de requête dans Demandes d'accès pour que le workflow de la demande d'accès soit visible dans la politique de sécurité. Consultez la section Okta Privileged Access avec Access Requests. Activez Activer les requêtes d'approbation. Sélectionnez le type de requête d'approbation. Choisissez la durée de l'approbation.
Activer la MFA	Facultatif. Activez la MFA pour ajouter un niveau granulaire d'authentification et de contrôle dans une politique. Activez Activer la MFA. Sélectionnez l'une des options suivantes : Deux types de facteurs, quels qu'ils soient ou Résistant à l'hameçonnage. Sélectionnez l'une des fréquences de nouvelle authentification suivantes : À chaque action protégée effectuée par un utilisateur : applique la MFA pour chaque tentative d'accès à la ressource. Après la durée spécifiée : indiquez une durée comprise entre 5 minutes et 12 heures, la valeur par défaut étant de 30 minutes. Une fois la politique implémentée, lorsqu'un utilisateur essaiera de se connecter à une ressource, il devra effectuer les étapes de MFA requises. Remarque : Une période de grâce de 10 secondes s'applique après qu'un utilisateur s'est authentifié via la MFA. Pendant cette période de grâce, Okta n'invite plus les utilisateurs à saisir leur mot de passe si l'option Chaque connexion est sélectionnée. Cette fonctionnalité est disponible pour toutes les applications configurées avec SAML. Les apps SWA ne prenant pas en charge la réauthentification, vous ne pouvez pas remplacer la méthode d'authentification SAML par SWA si la réauthentification est sélectionnée.
Délai d'emprunt maximal	Facultatif. Ce délai s'applique à toutes les ressources de cette politique dont l'emprunt est activée. Activez Remplacer le délai d'emprunt maximal au niveau du projet. Définissez la quantité et la durée.

Cliquez sur Enregistrer la règle.
Cliquez sur Enregistrer la politique. Vous pouvez maintenant publier cette politique.

Rubriques connexes

Politique de sécurité

Okta Privileged Access avec Access Request