Créer des campagnes pour examiner les rôles d'administrateur

Créez des campagnes préconfigurées, de ressources ou utilisateurs pour vous assurer que vos utilisateurs disposent du niveau d'accès adéquat. Vous être un super administrateur pour créer et gérer des campagnes qui régissent les rôles d'administrateur.

Campagnes préconfigurées

Vous pouvez créer la campagne Examen des administrateurs Okta en suivant les étapes indiquées dans Créer des campagnes préconfigurées.

Si vous n'êtes pas abonné à Okta Identity Governance, la campagne Détection des utilisateurs inactifs est également disponible avec une fonctionnalité limitée. Gardez à l'esprit que cette campagne n'examine pas les affectations du rôle d'administrateur de l'utilisateur.

Campagnes de ressources et utilisateurs

Suivez les étapes indiquées aux sections Créer des campagnes de ressources ou Créer des campagnes utilisateurs, mais gardez ces considérations à l'esprit :

  • Les campagnes utilisateurs permettent de régir les rôles d'administrateur uniquement si vous êtes abonné à Okta Identity Governance.

  • Pour les campagnes de ressources, effectuez les sélections suivantes sur la page Ressources :

    1. Sélectionnez Applications comme type de ressource et Okta Admin Console comme application. La case Droits de révision est cochée par défaut.

    2. Sélectionnez Droits et ensembles spécifiques.

    3. Sélectionnez Droits pour certifier les rôles d'administrateur affectés directement depuis l'Admin Console. Vous pouvez également sélectionner Ensembles pour certifier les rôles d'administrateur qui ont été affectés à l'aide de conditions de demande d'accès.

  • Pour les campagnes utilisateurs, effectuez les sélections suivantes sur la page Ressources :

    1. Pour Portée de la ressource, sélectionnez Toutes les applications ou Toutes les applications et les groupes. Si vous avez activé la fonctionnalité Certifier les collections de ressources - Campagnes utilisateurs, sélectionnez Application.

    2. Sélectionnez Inclure les rôles d'administrateur Okta pour inclure les affectations du rôle d'administrateur de l'utilisateur.

  • Pour les campagnes de ressources et utilisateurs, les cases suivantes sont cochées par défaut sur la page Réviseurs.

    • Désactiver les auto-évaluations : les administrateurs ne peuvent pas approuver, révoquer ou réaffecter leurs propres éléments de révision. Par défaut, vous ne pouvez pas décocher cette case pour les campagnes qui certifient des rôles d'administrateur. Si la fonctionnalité Auto-évaluation pour les rôles d'administrateur Okta est activée pour votre org, vous pouvez configurer si l'auto-évaluation est autorisée ou restreinte dans ces campagnes.

      Auto-évaluation pour les rôles d'administrateur Okta est une fonctionnalité en accès anticipé.

    • Demander une justification commerciale: les réviseurs doivent justifier leur décision d'approuver ou de refuser l'accès de l'utilisateur à une ressource. Vous ne pouvez pas modifier ce paramètre par défaut.

    • Désactiver les réaffectations : les réviseurs ne peuvent pas réaffecter des éléments de révision à un autre utilisateur. Toutefois, en tant que super administrateur, vous pouvez toujours le faire une fois la campagne active. Vous ne pouvez pas modifier ce paramètre par défaut.

  • Si vos propres affectations d'administrateur sont révisées dans le cadre d'une campagne et que l'auto-évaluation n'est pas autorisée, assurez-vous que vous n'êtes pas réviseur pour cette campagne. Cela permet d'éviter toute erreur au moment du lancement de la campagne.

  • Sélectionnez les réviseurs avec soin pour les campagnes qui régissent des rôles d'administrateur. Qu'un réviseur soit un administrateur ou pas, il peut approuver ou refuser l'accès aux éléments de révision qui lui sont affectés. Il peut le faire même si l'utilisateur dont ils examinent l'accès est un administrateur. La correction survient immédiatement.

  • Si vous avez activé Governance Analyzer pour votre org et que vous souhaitez fournir aux réviseurs des insights et des recommandations, consultez Configurer les paramètres de Governance Analyzer. Governance Analyzer est disponible uniquement si vous disposez d'un abonnement à Okta Identity Governance.

Rubriques connexes

Créer des campagnes de ressources

Créer des campagnes utilisateurs

Gérer des campagnes