Utiliser l’accès zéro confiance
Utilisez la fonctionnalité d’accès Zero Trust avec un cas d’utilisation de bout en bout.
Avant de commencer
Rôle requis : security_admin
Activez la propriété Activer l’accès à la session.
- Les configurations d’accès à la session ne peuvent être effectuées qu’avec security_admin rôle. Vous devez élever votre rôle à security_admin.
- L’accès à la session ne prend pas en charge les intégrations.
- L’accès à la session n’a aucun impact si le rôle réduit ou limité n’est pas affecté à un utilisateur. Dans ce cas, il n’y a aucun changement apporté à la session connectée. L’utilisateur continuera d’accéder à l’instance avec les privilèges qui lui ont été affectés.
- L’accès à la session n’a aucun impact tant que l’utilisateur est déjà connecté à l’instance et que l’administrateur configure simultanément la politique. L’utilisateur doit se déconnecter de la session pour que la politique prenne effet.
- L’accès à la session est appliqué au moment de la connexion. Toute modification des paramètres de risque au cours de la session n’entraîne pas une réduction de l’accès. Par exemple, un utilisateur qui passe d’un réseau d’entreprise à un réseau non approuvé après avoir établi la session n’entraîne pas de réduction d’accès, sauf s’il se déconnecte et se reconnecte.
L’accès à la session est une fonctionnalité qui permet aux administrateurs de réduire ou de restreindre dynamiquement un ensemble de rôles accordés à l’utilisateur, lorsque celui-ci tente de se connecter à l’instance à partir de différents environnements, par exemple une connexion à partir d’un réseau non approuvé, une connexion à partir d’un autre appareil, etc.
L’accès à la session peut être contrôlé par la politique créée et l’action sélectionnée lors de l’exécution de la configuration. Voici quelques-uns des scénarios :
- Si la politique est définie sur true et que l’action des rôles est définie sur Supprimer les rôles, les rôles sélectionnés et leurs rôles enfants associés sont supprimés pour l’utilisateur lors de la tentative de connexion à l’instance.
- Si la politique est définie sur true et que l’action des rôles est définie sur Limiter aux rôles, seuls les rôles sélectionnés et leurs rôles enfants associés sont affectés à l’utilisateur lors de la tentative de connexion à l’instance.
La procédure suivante décrit une configuration de bout en bout de la configuration de l’accès à la session en fonction de laquelle le rôle est limité à l’utilisateur qui se connecte à l’instance. De même, vous pouvez également supprimer des rôles en sélectionnant l’option Supprimer les rôles pendant la configuration.
Procédure
-
Pour limiter un rôle de l’utilisateur, renseignez les champs suivants du formulaire :
- Nom
- Description
- Politique
- Action
- Liste de rôles
- Liste de groupes
-
Choisissez Action comme Limiter aux rôles.
Si la politique est définie sur true, seuls les rôles sélectionnés et leurs rôles enfants associés sont disponibles pour l’utilisateur lorsqu’il essaie de se connecter à l’instance.
Lorsque l’utilisateur se connecte à l’instance en dehors de l’Australie, seuls le rôle Knowledge et ses rôles enfants associés sont affectés pour la session journalisée et les autres rôles de l’utilisateur sont restreints.
Une fois connecté, l’utilisateur s’affiche avec le message d’erreur suivant sur la plateforme dans sa section de profil :
L’utilisateur peut contacter les administrateurs et fournir l’ID de corrélation pour enquête.
Remarque :L’ID de corrélation est le sys_id de l’enregistrement d’audit correspondant dans la table d’audit d’accès à la session.