Didacticiel : Utiliser l’accès zéro confiance

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Procédure d’utilisation de la fonctionnalité d’accès zéro confiance avec un cas d’utilisation de bout en bout.

    Avant de commencer

    Rôle requis : security_admin

    Activez la propriété Activer l’accès à la session.

    Remarque :
    • Les configurations d’accès à la session ne peuvent être effectuées qu’avec security_admin rôle. Vous devez élever votre rôle à security_admin.
    • L’accès à la session ne prend pas en charge les intégrations.
    • L’accès à la session n’a aucun impact si le rôle réduit ou limité n’est pas affecté à un utilisateur. Dans ce cas, il n’y a aucun changement à la session connectée. L’utilisateur continuera d’accéder à l’instance avec les privilèges qui lui sont affectés.
    • L’accès à la session n’a aucun impact tant que l’utilisateur est déjà connecté à l’instance et que l’administrateur configure simultanément la politique. L’utilisateur doit se déconnecter de la session pour que la politique soit efficace.
    • L’accès à la session est appliqué au moment de la connexion. Tout changement apporté aux paramètres de risque pendant la session n’entraînera pas de réduction de l’accès. Par exemple, un utilisateur passant du réseau d’entreprise à un réseau non approuvé après avoir établi la session n’entraînera pas de réduction de l’accès à moins que l’utilisateur ne se déconnecte et ne se reconnecte.
    • Session Access (Zero Trust Access - ZTA), les rôles tels que snc_internal et snc_external ne peuvent pas être supprimés.
    • La fonctionnalité d’accès à la session (Accès zéro confiance : ZTA) ne supprime pas un rôle de la table d’appartenance au sys_user_has_role ou au groupe d’utilisateurs. Basé sur la politique ZTA, il établit la session utilisateur avec des rôles réduits ou limités.
    • Les scripts exécutés dans le contexte du système ne respecteront pas les rôles de session ZTA.

    L’accès à la session est une fonctionnalité qui permet aux administrateurs de réduire ou de restreindre dynamiquement un ensemble de rôles à l’utilisateur, lorsque celui-ci tente de se connecter à l’instance à partir de différents environnements, par exemple à partir d’un réseau non approuvé, d’un appareil différent, etc.

    L’accès à la session peut être contrôlé par la politique créée et l’action sélectionnée lors de l’exécution de la configuration. Voici quelques-uns des scénarios :

    • Si la politique est définie sur vrai et que l’action des rôles est définie sur Supprimer les rôles, les rôles sélectionnés et ses rôles enfants associés sont supprimés pour l’utilisateur lors de la tentative de connexion à l’instance.
    • Si la politique est définie sur vrai et que l’action des rôles est définie sur Limiter aux rôles, seuls les rôles sélectionnés et ses rôles enfants associés sont affectés à l’utilisateur lors de la tentative de connexion à l’instance.

    La procédure suivante explique une configuration de bout en bout de la configuration d’accès à la session en fonction de laquelle le rôle est limité à l’utilisateur qui se connecte à l’instance. De même, vous pouvez également supprimer des rôles en sélectionnant l’option Supprimer les rôles pendant la configuration.

    Procédure

    1. Accédez à la Tous > Accès à la session > Configurations du rôle d'accès à la session.
    2. Sur la page Configuration des rôles d’accès à la session, sélectionnez Nouveau.
    3. Pour limiter un rôle pour l’utilisateur, renseignez les champs du formulaire :
      • Nom
      • Description
      • Politique
      • Action
      • Liste de rôles
      • Liste de groupes
      1. Choisissez Limiter aux rôles pour limiter les rôles de l’utilisateur.
        Par exemple, itil.
      2. Choisissez le rôle de la base de connaissances dans la liste des rôles.
      3. Choisissez la politique.

        Vous pouvez créer la politique d’accès à la session à l’aide de politiques d’authentification et de critères de filtre (rôle, groupe, adresse IP, emplacement) avec des entrées et des conditions de politique.

        Utilisez la politique dans la configuration de l’accès à la session. Par exemple, vous souhaitez limiter le rôle (connaissances) à l’utilisateur qui se connecte en dehors de l’emplacement (Australie).

      4. Choisissez Action comme limite aux rôles.
        Si la politique est vraie, seuls les rôles sélectionnés et leurs rôles enfants associés sont disponibles pour l’utilisateur lorsqu’il essaie de se connecter à l’instance.Rôle limité.
      5. Sélectionnez Soumettre.

        De même, vous pouvez choisir le groupe dans la liste des groupes pour restreindre ou supprimer des rôles pour les utilisateurs au sein du groupe.

      Lorsque l’utilisateur se connecte à l’instance en dehors de l’Australie, seul le rôle Connaissances et ses rôles enfants associés sont affectés pour la session connectée, et les autres rôles de l’utilisateur sont limités.

      Après s’être connecté, l’utilisateur s’affiche avec le message d’erreur suivant sur la plateforme dans sa section de profil :

      Message d’erreur après la connexion.

      L’utilisateur peut contacter les administrateurs et fournir l’ID de corrélation pour l’enquête.

      Remarque :
      L’ID de corrélation est le sys_id de l’enregistrement d’audit correspondant dans la table d’audit d’accès à la session.