Mode Auditeur (lecture seule)
Le mode Auditeur (lecture seule) permet aux super administrateurs d'appliquer une restriction de lecture seule aux affectations d'administrateurs.
Version en accès anticipé
Le mode Auditeur (lecture seule) donne aux administrateurs un accès en lecture seule à la configuration des rôles. Cela donne aux auditeurs une visibilité claire sur le système tout en maintenant la transparence de la sécurité et en réduisant les frais opérationnels.
Contrairement aux rôles d'administrateur standard (tels que le rôle d'administrateur en lecture seule), le mode Auditeur (lecture seule) agit comme un modificateur. Vous pouvez appliquer ce paramètre à tout utilisateur ou groupe auquel des rôles d'administrateur standard ou personnalisés ont été affectés. Reportez-vous à Créer une affection de rôle d'administrateur à partir d'un administrateur.
N'activez pas le mode Auditeur (lecture seule) pour un groupe contenant des super administrateurs actifs. Cette opération révoque immédiatement leurs privilèges de modification globale dans l'ensemble de l'org.
Fonctionnement
Lorsque vous activez le mode Auditeur (lecture seule) pour une affectation d'administrateur, Okta applique le comportement suivant :
- Restreint l'administrateur à un accès en lecture seule.
- Bloque la création, les modifications de configuration et la suppression.
Cette restriction s'applique à l'Admin Console et aux points de terminaison d'API Okta, à l'exception de certaines applications propriétairesOkta. Reportez-vous à Impact sur les applications propriétaires Okta.
Méthodes d'affectation
Vous pouvez appliquer le mode Auditeur (lecture seule) de deux manières :
- Affectation directe :
- Appliquer le paramètre directement à l'affectation d'un administrateur individuel.
- Affectation de groupe :
- Appliquez le paramètre à un groupe Okta. Tous les membres du groupe héritent de la restriction en lecture seule pour leurs rôles administrateur respectifs.
Reportez-vous à Créer une affection de rôle d'administrateur à partir d'un administrateur.
Règles opérationnelles
Vérifiez ces règles structurelles avant d'activer le paramètre :
- Prérequis
- Ce paramètre ne prend effet qu'après avoir affecté au moins un rôle d'administrateur standard ou personnalisé à l'utilisateur ou au groupe cible. Si l'utilisateur ou le groupe n'a pas de rôles actifs d'administrateur, le paramètre reste inactif.
- Portée
- Le paramètre s'applique à toutes les ressources et autorisations définies qui se trouvent dans le rôle de l'administrateur. Vous ne pouvez pas l'appliquer de manière sélective à des ressources ou autorisations spécifiques.
Impact sur les applications propriétaires Okta
Les applications propriétaires Okta sont des applications de plateforme qui sont créées par Okta, comme Access Requests ou Okta Workflows. La plupart des applications Okta ne prennent pas en charge le comportement d'auditeur en lecture seule
Étant donné que les applications de première partie individuelles utilisent des architectures app distinctes et ne prennent pas toutes en charge le comportement en lecture seule, le mode Auditeur (Lecture seule) modifie le cycle de vie standard des affectations app pour prévenir les failles de sécurité :
- Annulation d'affectation automatique
- Lorsque vous activez le mode Auditeur (lecture seule), Okta supprime automatiquement l'affectation de toutes les applications Okta propriétaires (à l'exception de l'Admin Console) de l'administrateur.
- Réaffectation manuelle
- Un super administrateur peut réaffecter manuellement les applications de première partie d'Okta à l' administrateur si un audit nécessite de la visibilité.
- Restaurer automatiquement
- Lorsque vous désactivez le mode Auditeur (lecture seule), Okta réaffecte automatiquement toutes les applications propriétaires applicables en fonction des privilèges sous-jacents de l'administrateur. Cette action remplace toutes les suppressions d'affectation manuelles effectuées avant le changement d'état.
Indicateurs clés de l'interface utilisateur
Lorsque lemode Auditeur (Llecture seule) est actif, le système affiche les indices visuels suivants pour éviter toute confusion opérationnelle :
- Bannière de session
- Une bannière persistante apparaît en haut de l'Admin Console lorsqu'un auditeur se connecte, indiquant explicitement qu'il est en mode lecture seule.
- Étiquettes de statut
- Une étiquette d'auditeur apparaît dans l'onglet Rôles d'administrateur dans les profils utilisateur et sur la page .
Bonnes pratiques et recommandations de sécurité
- Assurez-vous d'activer lemode Auditeur (lecture seule) à partir d'une seule source, soit directement sur une personne, soit sur un groupe Okta.
- Évitez de modifier les rôles d'administrateur sous-jacents par le biais d'affectations de groupe après avoir activé lemode Auditeur (lecture seule) pour un utilisateur ou un groupe.