Créer des campagnes pour examiner les rôles d’administration

Créez des campagnes préconfigurées, de ressources ou utilisateurs pour vous assurer que vos utilisateurs disposent du niveau d'accès adéquat. Vous être un super administrateur pour créer et gérer des campagnes qui régissent les rôles d'administrateur.

Campagnes préconfigurées

Vous pouvez créer la campagne Révision administrateur Okta en suivant les étapes indiquées dans Créer des campagnes préconfigurées.

Si vous n’êtes pas abonné à Okta Identity Governance, la campagne Découvrir les utilisateurs inactifs est également disponible avec une fonctionnalité limitée. Gardez à l’esprit que cette campagne n’examine pas les attributions de rôle d’administration des utilisateurs.

Campagnes de ressources et utilisateurs

Suivez les étapes indiquées aux sections Créer des campagnes de ressources ou Créer des campagnes utilisateurs, mais gardez ces considérations à l'esprit :

• Les campagnes utilisateurs permettent de régir les rôles d'administrateur uniquement si vous êtes abonné à Okta Identity Governance.

• Pour les campagnes de ressources, effectuez les sélections suivantes sur la page Ressources :

  1. Sélectionnez Applications comme type de ressource et Okta Admin Console comme application. La case Droits de révision est cochée par défaut.

  2. Sélectionnez Droits et ensembles spécifiques.

  3. Sélectionnez Droits pour certifier les rôles d'administrateur affectés directement depuis l'Admin Console. Vous pouvez également sélectionner Ensembles pour certifier les rôles d'administrateur qui ont été affectés à l'aide de conditions de demande d'accès.

• Pour les campagnes utilisateurs, effectuez les sélections suivantes sur la page Ressources :

  1. Sélectionnez Portée de la ressource sur Toutes les applications ou Toutes les applications et tous les groupes. Si vous avez activé la fonctionnalité Certifier les collections de ressources – campagnes utilisateur, vous pouvez sélectionner Application à la place.

  2. Sélectionnez Inclure les rôles d'administrateur Okta pour inclure les attributions de rôle d’administration de l’utilisateur.

• Pour les campagnes de ressources et utilisateurs, les cases suivantes sont cochées par défaut sur la page Réviseurs.

  • Auto-évaluations désactivées : les administrateurs ne peuvent pas approuver, révoquer ou réaffecter leurs propres éléments de révision. Par défaut, vous ne pouvez pas décocher cette case pour les campagnes qui certifient les rôles administrateur. Si la fonctionnalité Auto-évaluation pour les rôles administrateur Okta est activée pour votre org, vous pouvez configurer si l'auto-évaluation est autorisée ou restreinte dans ces campagnes.

    Remarque :

    Auto-évaluation pour les rôles administrateur Okta est une fonctionnalité en accès anticipé.

  • Demander une justification commerciale: les réviseurs doivent justifier leur décision d'approuver ou de refuser l'accès de l'utilisateur à une ressource. Vous ne pouvez pas modifier ce paramètre par défaut. Si la fonctionnalité Personnaliser les exigences de justification est activée pour votre organisation, ce paramètre est remplacé par la section Paramètres de justification. Pour les campagnes qui régissent les rôles administrateur, seules les options suivantes sont disponibles :

    • Requis pour la révocation de accès uniquement : les réviseurs doivent saisir un motif lorsqu‘ils révoquent un accès.

    • Requis pour approuver l'accès et facultatif pour révoquer l‘accès : les réviseurs doivent saisir un motif lorsqu‘ils révoquent un accès. Cependant, ils peuvent choisir de saisir un motif lorsqu'ils approuvent un accès.

    • Requis pour approuver et révoquer l‘accès : les réviseurs doivent saisir un motif lorsqu‘ils approuvent ou révoquent un accès.

    Les paramètres Facultatif et Désactivé ne sont pas disponibles pour les campagnes qui régissent les rôles administrateur.

    Remarque :

    Personnaliser les exigences de justification est une fonctionnalité en accès anticipé . Pour l‘activer, consulter Gérer l‘accès anticipé et les fonctionnalités en version bêta.

  • Désactiver les réaffectations : les réviseurs ne peuvent pas réaffecter des éléments de révision à un autre utilisateur. Toutefois, en tant que super administrateur, vous pouvez toujours réaffecter des éléments de révision à un autre réviseur, une fois la campagne active. Vous ne pouvez pas modifier ce paramètre par défaut.

• Si vos propres affectations d'administrateur sont révisées dans le cadre d'une campagne, assurez-vous que vous n'êtes pas réviseur pour cette campagne. Cela permet d'éviter toute erreur au moment du lancement de la campagne.

• Sélectionnez les réviseurs avec soin pour les campagnes qui régissent des rôles d'administrateur. Qu'un réviseur soit un administrateur ou pas, il peut approuver ou refuser l'accès aux éléments de révision qui lui sont affectés. Il peut le faire même si l'utilisateur dont ils examinent l'accès est un administrateur. La correction survient immédiatement.

• Si vous avez activé Analyseur Governance pour votre org et que vous souhaitez fournir aux réviseurs des informations et des recommandations, consultez Configurer Governance Analyzer. Governance Analyzer est uniquement disponible si vous êtes abonné à Okta Identity Governance.

Rubriques connexes

Créer des campagnes

Créer des campagnes utilisateurs

Gérer les campagnes