Tutoriel : Utiliser l’accès zéro confiance
Procédure d’utilisation de la fonctionnalité d’accès zéro confiance avec un cas d’utilisation de bout en bout.
Avant de commencer
Rôle requis : security_admin
Activez la propriété Activer l’accès à la session.
- Les configurations d’accès à la session ne peuvent être effectuées qu’avec security_admin rôle. Vous devez élever votre rôle à security_admin.
- L’accès à la session ne prend pas en charge les intégrations.
- L’accès à la session n’a aucun impact si le rôle réduit ou limité n’est pas affecté à un utilisateur. Dans ce cas, il n’y a aucun changement apporté à la session de connexion. L’utilisateur continuera d’accéder à l’instance avec les privilèges qui lui ont été affectés.
- L’accès à la session n’a aucun impact lorsque l’utilisateur est déjà connecté à l’instance et que l’administrateur configure la politique simultanément. L’utilisateur doit se déconnecter de la session pour que la politique soit efficace.
- L’accès à la session est appliqué au moment de la connexion. Tout changement des paramètres de risque pendant la session n’entraîne pas de réduction de l’accès. Par exemple, si un utilisateur passe d’un réseau d’entreprise à un réseau non approuvé après avoir établi la session, l’accès ne sera pas réduit, sauf s’il se déconnecte et se reconnecte.
L’accès à la session est une fonctionnalité qui permet aux administrateurs de réduire ou de restreindre dynamiquement un ensemble de rôles pour l’utilisateur, lorsque celui-ci tente de se connecter à l’instance à partir de différents environnements, par exemple une connexion à partir d’un réseau non approuvé, une connexion à partir d’un autre appareil, etc.
L’accès à la session peut être contrôlé par la politique créée et l’action sélectionnée lors de l’exécution de la configuration. Voici quelques-uns des scénarios :
- Si la politique est définie sur vrai et que l’action des rôles est définie sur Supprimer les rôles, les rôles sélectionnés et les rôles enfants associés sont supprimés pour l’utilisateur lorsqu’il tente de se connecter à l’instance.
- Si la politique est définie sur vrai et que l’action des rôles est définie sur Limiter aux rôles, seuls les rôles sélectionnés et leurs rôles enfants associés sont affectés à l’utilisateur lorsqu’il tente de se connecter à l’instance.
La procédure suivante explique une configuration de bout en bout de la configuration de l’accès à la session en fonction de laquelle le rôle est limité à l’utilisateur qui se connecte à l’instance. De même, vous pouvez également supprimer des rôles en sélectionnant l’option Supprimer les rôles lors de la configuration.
Procédure
-
Pour limiter tout rôle de l’utilisateur, renseignez les champs suivants du formulaire :
- Nom
- Description
- Politique
- Action
- Liste de rôles
- Liste de groupes
-
Choisissez Action comme Limiter aux rôles.
Si la politique est définie sur true, seuls les rôles sélectionnés et leurs rôles enfants associés sont disponibles pour l’utilisateur lorsqu’il essaie de se connecter à l’instance.
Lorsque l’utilisateur se connecte à l’instance en dehors de l’Australie, seuls le rôle Knowledge et ses rôles enfants associés sont affectés pour la session journalisée et les autres rôles de l’utilisateur sont restreints.
Après s’être connecté, l’utilisateur s’affiche avec le message d’erreur suivant sur la plateforme dans sa section de profil :
L’utilisateur peut contacter les administrateurs et fournir l’ID de corrélation pour enquête.
Remarque :L’ID de corrélation est l’sys_id de l’enregistrement d’audit correspondant dans la table d’audit d’accès à la session.