Configurer l’attribut IdP pour l’accès à la session

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez l’attribut de fournisseur d’identité (IDP) créé à partir de la réponse SAML (Security Assertion Markup Language) pour supprimer ou restreindre l’accès de session utilisateur à l’instance.

    Avant de commencer

    Rôle requis : security_admin

    Activez la propriété Activer l’accès à la session.

    Remarque :
    Pour utiliser la configuration du rôle d’accès à la session, vous devez élever votre rôle à security_admin.

    L’accès à la session peut être contrôlé par la politique créée et l’action sélectionnée lors de l’exécution de la configuration. Voici quelques-uns des scénarios :

    • Si la politique est définie sur vrai et que l’action des rôles est définie sur Supprimer les rôles ainsi que l’entrée et la condition de l’attribut IdP, les rôles sélectionnés et les rôles enfants associés sont supprimés pour l’utilisateur lorsqu’il tente de se connecter à l’instance.
    • Si la politique est définie sur vrai et que l’action des rôles est définie sur Limiter aux rôles ainsi que l’entrée et la condition de l’attribut IdP, seuls les rôles sélectionnés et leurs rôles enfants associés sont affectés à l’utilisateur lorsqu’il tente de se connecter à l’instance.

    La procédure suivante montre les étapes à suivre pour configurer l’attribut IdP à partir de la réponse SAML, une entrée de politique, pour contrôler l’accès à la session.

    Procédure

    1. Accédez à la Tout > Accès à la session > Configurations du rôle d'accès à la session.
    2. Sur la page Configurations des rôles d’accès à la session, sélectionnez Nouveau.
    3. Pour supprimer un rôle de l’utilisateur, renseignez les champs suivants du formulaire :
      • Nom
      • Description
      • Politique
      • Action
      • Liste de rôles
      • Liste de groupes
      1. Choisissez Supprimer les rôles pour supprimer les rôles de l’utilisateur.
        Par exemple : itil.
      2. Choisissez le rôle itil dans la liste des rôles.
      3. Choisissez la politique.
        Pour en savoir plus sur la création de politiques à l’aide de différents critères de filtre à l’aide de la création de politiques d’authentification adaptative, reportez-vous à la section Critère de filtre.
      4. Choisissez Action en tant que supprimer les rôles.
        Si la politique est définie sur vrai et que l’action des rôles est définie sur Supprimer les rôles, les rôles sélectionnés sont supprimés pour l’utilisateur lorsqu’il tente de se connecter à l’instance.
      5. Dans l’entrée Politique, créez l’entrée Politique et la Condition de politique.
        Par exemple :
        • Entrée de politique : attribut de score de risque d’Okta (IDP).
        • Conditions de politique : score de risque de 60 à 80 en tant que condition.
        Score du risque de l’attribut d’identité

        Selon cette configuration, lorsque la valeur de l’attribut de score de risque d’Okta (IdP) dépasse 80, l’utilisateur n’est pas authentifié avec les rôles (employé) et ses rôles enfants qui ont été supprimés de l’instance, l’utilisateur est uniquement authentifié avec les autres rôles affectés. Si le score de risque est compris entre 60 et 80, l’utilisateur est authentifié auprès de l’instance disposant de tous les rôles.

        Pour plus d’informations sur la création d’une politique de contexte de post-authentification avec des entrées et une condition de politique, reportez-vous à la section Contexte post-authentification.

        Remarque :
        Si la propriété Activer l’accès à la session est inactive, la configuration de l’accès à la session ne restreint ni ne supprime les rôles de l’utilisateur.
      6. Sélectionnez Soumettre.