Active Directoryを使った双方向のグループ管理
Active Directory(AD)による双方向のグループ管理を使用することで、Okta内からActive Directoryグループを管理できます。IDとアクセス要件に基づいてユーザーをグループに追加したり、削除したりできます。これにより、Oktaで加えたユーザーアクセスの変更がActive Directoryに確実に反映されます。Okta Access Certificationsを使ってADグループに対するユーザーのメンバーシップを取り消すと、その削除はADに反映されます。
Oktaが管理できるのは、AD統合を使ってOktaにインポートされたユーザーとグループのグループメンバーシップのみです。AD統合を通じてインポートされなかったユーザーやグループ、またはこの機能を利用している統合の組織単位の範囲外にあるユーザーやグループを管理することはできません。
ADグループのアクセスガバナンス
アクセスリクエストを使用してADをソースとするグループへのアクセスを要求し、アクセス認定を使用してこれらのグループへのアクセスを検証できます。
- アクセスリクエスト
- アクセスリクエスト条件でADグループを使用して、要求者のスコープとアクセスレベルを定義します。つまり、ADをソースとするグループメンバーは、ADをソースとするグループへのアクセスを含み、リソースへのアクセスをEnd-User Dashboardからリクエストできます。ADをソースとするグループへのアクセスのリクエストがOktaで承認されると、要求者はADのそのグループへのアクセス権を取得します。
- アクセス認定
- ADをソースとするグループへのアクセスは、アクセス認定を使って管理できます。ADソースのグループをリソースとするキャンペーンでは、レビュアーがADソースのグループメンバーに対する決定を送信すると、OktaとActive Directoryで直ちに修正が行われます。
双方向のグループ管理のためのWorkflows
新しい外部DirectoryグループメンバーシップAPIの更新を使用して、双方向のグループ管理用に設計されたカスタムOkta Workflowsを作成できます。APIを使ってユーザーを追加または削除したり、Workflows Connectorsでイベントトリガーを構成してAPI呼び出しを自動化したりできます。これにより、Workflows内で利用できるイベントに基づいてオンプレミスのグループ管理アクションをカスタマイズできます。