Simulateur de stratégie pour les stratégies de limite d'accès des comptes principaux

Policy Simulator pour les stratégies de limite d'accès des comptes principaux (PAB) vous permet de voir comment une modification d'une stratégie de limite d'accès des comptes principaux ou d'une liaison peut affecter l'accès de vos comptes principaux avant de procéder à la modification. Vous pouvez utiliser Policy Simulator pour comprendre l'impact potentiel d'une modification apportée à une stratégie ou une liaison de limite d'accès des comptes principaux avant de l'appliquer.

Cette fonctionnalité n'évalue l'accès qu'en fonction des stratégies de limite d'accès des comptes principaux et des liaisons de stratégie.

Pour savoir comment simuler des modifications d'autres types de règles, consultez les pages suivantes :

• Policy Simulator pour les stratégies d'autorisation
• Policy Simulator pour les stratégies de refus
• Simulateur de stratégie pour les règles d'administration

Fonctionnement de Policy Simulator pour les stratégies de limite d'accès des comptes principaux

Policy Simulator pour les stratégies de limite d'accès des comptes principaux vous aide à déterminer comment une modification apportée à une stratégie de limite d'accès des comptes principaux ou à une liaison de stratégie affecte l'accès des comptes principaux de votre organisation.

Lorsque vous exécutez une simulation pour une stratégie de limite d'accès des comptes principaux ou une liaison de stratégie, Policy Simulator effectue les opérations suivantes :

• Examine les journaux d'accès de l'organisation générés pendant la période de relecture dans le contexte des liaisons et stratégies de limite d'accès des comptes principaux actuelles, ainsi que de la liaison ou stratégie de limite d'accès des comptes principaux simulée.

• Renvoie une série de modifications d'accès. Ces modifications d'accès indiquent les tentatives d'accès des journaux qui sont susceptibles d'avoir des résultats différents si vous appliquez la stratégie ou la liaison simulée.

Pour en savoir plus sur les modifications d'accès renvoyées par Policy Simulator, consultez Résultats de Policy Simulator.

Période de relecture

La période de relecture correspond à la période pendant laquelle Policy Simulator a accès aux journaux d'accès lors de l'exécution d'une simulation. Les journaux d'accès qui se produisent avant le premier jour de la période de relecture ou après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

En général, le dernier jour de la période de relecture est la veille de la simulation. Toutefois, dans certains cas, le dernier jour de la période de relecture peut être jusqu'à 10 jours avant la simulation. Les journaux d'accès qui se produisent après le dernier jour de la période de relecture ne sont pas inclus dans la simulation.

La période de rediffusion est de 90 jours. Si l'organisation n'existe pas depuis plus de 90 jours, Policy Simulator récupère toutes les tentatives d'accès depuis sa création.

La fenêtre de relecture est également cohérente à terme. Cela signifie que, lorsque vous exécutez une simulation, certaines données peuvent être plus récentes que d'autres. Cependant, toutes les données finiront par avoir la même fraîcheur.

Résultats de Policy Simulator

Policy Simulator pour les limites d'accès des comptes principaux indique l'impact d'une modification proposée d'une stratégie ou d'une liaison de stratégie de limite d'accès des comptes principaux sous la forme d'une liste de modifications d'accès. Une modification d'accès représente une tentative d'accès survenue au cours de la période de relecture et dont le résultat aurait probablement été différent si la stratégie simulée avait été appliquée.

Pour chaque modification d'accès, Policy Simulator fournit également les informations suivantes :

• Compte principal, autorisation et, le cas échéant, ressource impliqués dans la tentative d'accès.
• Nombre de jours pendant la période de relecture où le compte principal a tenté d'utiliser l'autorisation d'accéder à la ressource. Ce total n'inclut que les tentatives d'accès qui ont le même résultat que la tentative d'accès la plus récente.
• Date de la dernière tentative d'accès.

Modifications des accès

Une modification de l'accès indique que, en fonction des stratégies de limite d'accès des comptes principaux concernées, l'accès d'un utilisateur est susceptible de changer si vous appliquez la stratégie ou la liaison simulée. Les modifications d'accès peuvent être de deux types : accès accordé ou accès révoqué.

Lorsque vous calculez les modifications d'accès, Policy Simulator pour les limites d'accès des comptes principaux n'évalue que les stratégies et les liaisons de limites d'accès des comptes principaux. Il n'évalue pas les autres types de règles.

Policy Simulator calcule les modifications d'accès à l'aide des informations suivantes :

• Résultat de la dernière tentative d'accès
• Impact des liaisons et des règles de limite d'accès des comptes principaux actuelles
• Impact des liaisons et des stratégies de limite d'accès des comptes principaux proposées

Pour que l'accès soit accordé, toutes les conditions suivantes doivent être remplies :

• La dernière tentative d'accès a été bloquée
• L'accès est bloqué par les liaisons et les règles de limite d'accès des comptes principaux actuelles.
• L'accès n'est pas bloqué par les liaisons et les stratégies de limite d'accès des comptes principaux proposées.

Pour que l'accès soit révoqué, toutes les conditions suivantes doivent être remplies :

• La dernière tentative d'accès n'a pas été bloquée
• L'accès n'est pas bloqué par les liaisons et les stratégies de limite d'accès des comptes principaux actuelles.
• L'accès est bloqué par les liaisons et les stratégies de limite d'accès des comptes principaux proposées

Un ensemble de stratégies et de liaisons de limite d'accès des comptes principaux bloque l'accès d'un compte principal si toutes les conditions suivantes sont remplies :

• Les stratégies de limite d'accès des comptes principaux affectent l'accès du compte principal. En d'autres termes, le compte principal est soumis à au moins une stratégie de limite d'accès des comptes principaux dont la version d'application est compatible avec l'autorisation dans la requête.
• Aucune des stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis n'inclut la ressource.

Un ensemble de stratégies et de liaisons de limite d'accès des comptes principaux ne bloque pas l'accès du compte principal si l'une des conditions suivantes est remplie :

• Les stratégies de limite d'accès des comptes principaux n'affectent pas l'accès du compte principal. En d'autres termes, le compte principal n'est soumis à aucune stratégie de limite d'accès des comptes principaux dont la version d'application est compatible avec l'autorisation dans la requête.
• Au moins l'une des stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis inclut la ressource.

Erreurs

Les erreurs suivantes peuvent entraîner l'échec d'une simulation :

• Délai dépassé : la simulation a pris trop de temps et a expiré. Pour résoudre ce problème, essayez d'exécuter à nouveau la simulation.
• Construction de simulation non valide : la stratégie de limite d'accès des comptes principaux ou la liaison de stratégie de limite d'accès des comptes principaux proposée n'est pas valide. Par exemple, l'expression de condition de la règle proposée n'est pas valide ou la liaison proposée concerne un ensemble de comptes principaux déjà lié au nombre maximal de règles. Pour résoudre le problème, corrigez la stratégie ou la liaison, puis réessayez.
• Autorisation refusée : vous n'êtes pas autorisé à exécuter une simulation. Pour résoudre ce problème, assurez-vous de disposer des rôles requis, puis réessayez.

Types de comptes principaux acceptés

Policy Simulator pour les stratégies de limite d'accès des comptes principaux n'examine les journaux d'accès que pour les types de comptes principaux suivants :

• Comptes Google
• Comptes de service

Lorsque vous simulez des stratégies et des liaisons de limite d'accès des comptes principaux, Policy Simulator n'examine pas les journaux d'accès pour les autres types de comptes principaux. Par conséquent, il n'indique pas si les modifications proposées à vos règles ou liaisons affecteront l'accès de ces comptes principaux.

Étapes suivantes

• Découvrez comment simuler une modification d'une stratégie ou d'une liaison de limite d'accès des comptes principaux.
• Découvrez d'autres outils Policy Intelligence.