Didacticiel : Utiliser l’accès zéro confiance

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Procédure d’utilisation de la fonctionnalité d’accès zéro confiance avec un cas d’utilisation de bout en bout.

    Avant de commencer

    Rôle requis : security_admin

    Activez la propriété Activer l’accès à la session.

    Remarque :
    • Les configurations d’accès à la session ne peuvent être effectuées qu’avec security_admin rôle. Vous devez élever votre rôle à security_admin.
    • L’accès à la session ne prend pas en charge les intégrations.
    • L’accès à la session n’a aucun impact si le rôle réduit ou limité n’est pas affecté à un utilisateur. Dans ce cas, aucun changement n’est apporté à la session connectée. L’utilisateur continuera d’accéder à l’instance avec les privilèges qui lui sont affectés.
    • L’accès à la session n’a aucun impact tant que l’utilisateur est déjà connecté à l’instance et que l’administrateur configure simultanément la politique. L’utilisateur doit se déconnecter de la session pour que la politique soit efficace.
    • L’accès à la session est appliqué au moment de la connexion. Tout changement dans les paramètres de risque pendant la session n’entraînera pas de réduction de l’accès. Par exemple, un utilisateur qui passe du réseau d’entreprise à un réseau non approuvé après l’établissement de la session n’entraîne pas de réduction de l’accès à moins que l’utilisateur ne se déconnecte et ne se reconnecte.
    • Fonctionnalité d’accès à la session (Accès zéro confiance : ZTA), les rôles tels que snc_internal et snc_external ne peuvent pas être supprimés.
    • La fonctionnalité d’accès à la session (Accès zéro confiance : ZTA) ne supprime pas un rôle de la table d’appartenance au sys_user_has_role ou au groupe d’utilisateurs. Sur la base de la politique ZTA, il établit la session utilisateur avec des rôles réduits ou limités.
    • Les scripts exécutés dans le contexte système n’honoreront pas les rôles de session ZTA.

    L’accès à la session est une fonctionnalité qui permet aux administrateurs de réduire ou de restreindre dynamiquement un ensemble de rôles pour l’utilisateur, lorsque celui-ci tente de se connecter à l’instance à partir de différents environnements tels que se connecter à partir d’un réseau non approuvé, se connecter à partir d’un autre appareil, etc.

    L’accès à la session peut être contrôlé par la politique créée et l’action sélectionnée lors de l’exécution de la configuration. Voici quelques-uns des scénarios :

    • Si la politique est vraie et que l’action des rôles est définie sur Supprimer des rôles, les rôles sélectionnés et leurs rôles enfants associés sont supprimés pour l’utilisateur lors d’une tentative de connexion à l’instance.
    • Si la politique est définie sur vrai et que l’action des rôles est définie sur Limiter aux rôles, seuls les rôles sélectionnés et ses rôles enfants associés sont affectés à l’utilisateur lors de la tentative de connexion à l’instance.

    La procédure suivante explique une configuration de bout en bout de la configuration d’accès à la session en fonction de laquelle le rôle est limité à l’utilisateur qui se connecte à l’instance. De même, vous pouvez également supprimer des rôles en sélectionnant l’option Supprimer les rôles pendant la configuration.

    Procédure

    1. Accédez à la Tous > Accès à la session > Configurations du rôle d’accès à la session.
    2. Sur la page Configurations des rôles d’accès à la session, sélectionnez Nouveau.
    3. Pour limiter tout rôle de l’utilisateur, renseignez les champs suivants du formulaire :
      • Nom
      • Description
      • Politique
      • Action
      • Liste de rôles
      • Liste de groupes
      1. Choisissez Limiter aux rôles pour limiter les rôles de l’utilisateur.
        Par exemple, itil.
      2. Choisissez le rôle de la base de connaissances dans la liste des rôles.
      3. Choisissez la politique.

        Vous pouvez créer la politique d’accès à la session à l’aide de politiques d’authentification et de critères de filtre (rôle, groupe, adresse IP, emplacement) avec des entrées et des conditions de politique.

        Utilisez la politique dans la configuration d’accès à la session. Par exemple, vous souhaitez limiter le rôle (connaissances) à l’utilisateur qui se connecte en dehors de l’emplacement (Australie).

      4. Choisissez Action comme limite aux rôles.
        Si la politique est vraie, seuls les rôles sélectionnés et leurs rôles enfants associés sont alors disponibles pour l’utilisateur lorsqu’il essaie de se connecter à l’instance.Rôle limité.
      5. Sélectionnez Envoyer.

        De même, vous pouvez choisir le groupe dans la liste de groupes pour restreindre ou supprimer des rôles pour les utilisateurs au sein du groupe.

      Lorsque l’utilisateur se connecte à l’instance en dehors de l’Australie, seuls le rôle Connaissances et ses rôles enfants associés sont affectés pour la session connectée et les autres rôles de l’utilisateur sont restreints.

      Après s’être connecté, l’utilisateur s’affiche avec le message d’erreur suivant sur la plateforme dans sa section profil :

      Message d’erreur après la connexion.

      L’utilisateur peut contacter les administrateurs et fournir l’ID de corrélation pour enquête.

      Remarque :
      L’ID de corrélation est le sys_id de l’enregistrement d’audit correspondant dans la table d’audit d’accès à la session.