セルフ・サービス承認ワークフローを構成する

セルフ・サービス機能を有効にしてから承認ワークフローを構成すると、ビジネス・アプリケーションの所有者はエンド・ユーザーにアクセス権を付与し、資格を割り当てることができます。このアクションにより、エンド・ユーザーのアプリ要求を処理する作業がITグループからビジネス・アプリケーションの所有者に移ります。

このタスクの管理者ロールについて

このタスクを実行する管理者には、次の役割が少なくとも1つ必要です。

  • Okta組織のスーパー管理者
  • Okta組織のアプリ管理者

読み取り専用管理者は、個々のアプリ統合の承認ワークフローを閲覧することはできますが、変更を加えることはできません。

開始する前に

スーパー管理者はセルフ・サービス機能をグローバルで有効にする必要があります。セルフ・サービス要求機能を有効にするを参照してください。

管理者はOkta管理コンソールにサインインする必要があります。

このタスクを開始する

エンド・ユーザーがセルフ・サービス機能を使用してアプリ統合を追加できるように、アプリ統合を構成するには:

  1. 管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション] 構成済みのアプリ統合リストでアプリ統合を見つけます。あるいは、構成済みのアプリ統合が多数ある場合は、検索バーを使用してアプリ統合を見つけることができます。
  2. 結果からアプリ統合をクリックして、設定ページを開きます。
  3. [割り当て]タブをクリックします。
  4. 右側に表示される[セルフ ・サービス]セクションで[編集]をクリックします。パネルにはアプリ統合の現在のセルフ・サービスのステータスも表示されます。

    注

    セルフ・サービス機能を組織でグローバルに有効化していない場合、[編集]をクリックすると、このアプリ統合に対してセルフ・サービスを構成できないことを示すメッセージが表示されます。[セルフ・サービスの設定に移動]をクリックして、機能を有効にしてください。

  5. エンド・ユーザーがEnd-User Dashboardでこのアプリ統合を要求できるようにするかどうかを選択します。

    スクリーンショットには、ユーザーがアプリ統合を要求できるようにする選択肢が表示されています。

  6. エンド・ユーザーがアプリを要求できるようにする場合は、以下の構成も必要です。

    • 要求者への注記:このフィールドを使って、アプリ統合を説明したり、要求を行うエンド・ユーザーに指示を与えたりします。最大500文字まで入力できます。
    • 承認[不要]または[必須]のいずれかです。

    スクリーンショットには、承認要件のオプションが表示されています。

    注

    アプリ統合の承認ステータスを[必須]から[不要]に変更すると、未処理の承認リクエストはすべて削除されます。管理者の場合、[削除済み]メッセージがOktaシステム・ログに表示されます。エンド・ユーザーは要求の削除について通知されません。

  7. 承認ワークフローを必要とする場合は、次のオプションを構成します。

    • アプリの要求の送信先:承認リクエストを受信するユーザーまたはグループを指定します。

      個々のユーザーを指定するには、選択フィールドに名前を入力します。一致するユーザーのリストが表示されるので、そこから正しいユーザーを選択できます。

      グループを指定するには、ドロップダウン・リストを[グループ]に変更し、グループ名を入力します。承認者として指定されたグループに含めることができるメンバーは100人までです。

      複数の個人またはグループを指定して、承認チェーンを作成できます。承認チェーンは10レベルを超えることはできません。また、同じ個人やグループを複数回入力することはできません。

      [資格]ドロップダウン・リストでは、要求者のアカウントの属性を表示または変更する承認者の権限を指定します。次の3つの選択肢があります。

      • 非表示:承認者はアカウント属性を表示できません。
      • 読み取り:承認者はアカウント属性を表示できますが変更できません。
      • 書き込み:承認者はアカウント属性を編集できます。

      スクリーンショットには、アクセス要求ワークフローの承認者オプションを示しています

      ヒント

      承認チェーンがアプリ統合のプロビジョニング要件を満たすよう設定することをおすすめします。

      • アプリ統合がプロビジョニングをサポートし、割り当て時に指定する必要がある必須属性がある場合、少なくとも1人の承認者がこれらのユーザー属性を編集および設定する必要があります。
      • アプリ統合が自動プロビジョニングをサポートしていない場合、最終承認手順はプロビジョニング手順としても機能します。外部アプリケーション・アカウントのユーザー・アカウントを最終承認者としてプロビジョニングできる管理者を選択します。その後、この管理者はユーザー・アカウントをプロビジョニングして要求を承認し、エンド・ユーザーにアプリの統合を通じてすぐにシングル・サインオン・アクセスを許可します。
      注

      承認者の順序を変更するには、手順番号の左側にある点線のハンドルをクリックし、その行を順序の目的の場所までドラッグします。

    • 要求が承認された場合:要求が承認されたときにOktaによって送信する追加の通知を指定します。アプリ統合がダッシュボードに追加されると、要求者のダッシュボードに自動的に通知されます。[ほかの人にメールを送信...]を選択すると、任意の有効なメールアドレスを入力できます。
    • 要求が拒否された場合:要求が拒否されたときにOktaによって送信する追加の通知を指定します。要求が拒否されても、要求者に自動で通知は送られません。[ほかの人にメールを送信...]を選択すると、任意の有効なメールアドレスを入力できます。

      スクリーンショットには、承認および拒否されたリクエストの通知オプションを示しています。

    • 承認者の応答が次の期限内に必要:各承認者が要求に応答できる時間枠を指定します。1週間、30日、またはカスタムの期間を指定できます。
      • 承認リクエストが期限切れになるとリクエストはキャンセルされ、要求されたアプリへのアクセス権はエンド・ユーザーに付与されません。 期限切れになった要求は明示的に拒否された要求とは分けてログに記録されます。
      • 構成可能な時間枠は、承認チェーンの各手順に適用されます。たとえば、承認時間に1週間と指定し、複数の承認者がいる場合、各承認者に回答期間として1週間ずつ与えられます。承認者が3人いる場合、チェーン全体の承認には3週間かかる可能性があります。
      • 要求の有効期限が切れた場合:時間枠が終了した後にOktaによって送信する追加の通知を指定します。[ほかの人にメールを送信...]を選択すると、任意の有効なメールアドレスを入力できます。
      • 管理者は要求の時間枠を使って要求のサービスレベル契約(SLA)を設定でき、有効期限切れ通知では承認者からの反応がない状況に対応できます。サポート組織が必要に応じて要求者のフォローアップと手動での要求承認を行えるように、アプリ統合の要求の時間枠と承認チェーンについてサポート組織に通知することをおすすめします。

      スクリーンショットには、リクエスト承認の時間枠のオプションを示しています。

次の手順

エンド・ユーザーとしてアプリ統合を追加する

アプリ統合要求を処理する