OKTA : les comptes de service doivent -ils rester Global Admin dans votre EntraID ?

Teruin laurent, ,

Dans un environnement de fédération avec OKTA vous devez considérer deux comptes de service qui vont coexister dans votre EntraID

Dans le cadre de cette intégration, Okta requiert l’utilisation d’un compte de service disposant de privilèges élevés, en particulier le rôle Administrateur global dans Microsoft 365.

Ces permissions permettent :

  • D’établir la fédération entre les domaines
  • D’activer et gérer le provisionnement des comptes utilisateurs
  • D’accéder aux API Microsoft (Graph) nécessaires aux opérations automatisées

Les équipes IT ainsi que les équipes « Secop » expriment souvent des inquiétudes concernant,  le maintien permanent de privilèges élevés sur un compte de service et les risques associés à un compte disposant de droits Global Admin

Okta précise que ces permissions, sont indispensables pour assurer le bon fonctionnement des mécanismes de fédération et de provisioning doivent, dans certains cas, être maintenues même après la phase initiale de configuration

Cette exigence s’explique par la nécessité de disposer d’un niveau de consentement administratif élevé et la limitation des utilisateurs standards, dont les permissions sont restreintes à leur propre périmètre.

Fédération automatique (SSO)

Le compte utilisé pour configurer la fédération doit malheureusement conserver en permanence le rôle Global Admin, car il est nécessaire pour gérer la configuration des domaines et des relations de confiance.

Office 365 OIN Application Account Permissions for Configuration

Provisionnement des utilisateurs

Dans le cadre du provisioning ,les opérations reposent sur l’utilisation de Microsoft Graph API, il est possible, dans certains cas, de réduire les privilèges après configuration

https://help.okta.com/en-us/content/topics/apps/apps_o365_admin_consent.htm

Cependant, une nouvelle authentification peut être nécessaire, ce qui implique de réattribuer temporairement les droits Global Admin

Donc la réponse est malheureusement plutot Oui pour au moins un des comptes.

la question que nous allons malgré tout poser au support OKta est la suivante.

Est qu’il est possible aprés configuration d’oter le droit Global Admin au compte de service assurant la fédération ?

Conserver ce privilége pose effectivement un souci de sécurité car il est trés compliqué de protéger de facto le compte en question.

Laurent TERUIN

Publié par Teruin laurent

Laisser un commentaire