ロールの権限
このトピックでは、カスタム管理者ロールに追加できるロール権限について説明します。
- ユーザー権限
- グループ権限
- IDおよびアクセス管理権限
- アプリケーション権限
- サポート権限
- プロファイルソース権限
- ワークフロー権限
- 認可サーバー権限
- カスタマイズ権限
- ディレクトリ権限
- IDプロバイダー権限
- デバイス権限
- 領域権限
- エージェント権限
- リソースコレクション権限
- 職務分離の権限
- Identity Threat Protectionの権限
ユーザー権限
|
権限 |
説明 |
|---|---|
| ユーザーの管理 |
代理管理者に、ユーザーのすべてのプロファイルと認証情報の表示・作成・編集・削除を実行できる権限を付与します。 この権限を持つ代理管理者は、ユーザー資格情報フィールドのみ管理でき、資格情報の値自体は管理できません。 |
| ユーザーの作成 | 代理管理者に、ユーザーの作成権限を付与します。 |
| ユーザーのプロファイル属性を編集 | 代理管理者に、ユーザーのプロファイル属性の値のみを編集できる権限を付与します。 ただし、この権限では、代理管理者がディレクトリのプロファイルページからカスタム属性を作成または編集したり、プロファイルマッピングを管理したりすることはできません。 |
| ユーザーのライフサイクルの状態の編集* | 代理管理者に、ユーザーのライフサイクル操作(ユーザーのアクティブ化、非アクティブ化、再アクティブ化、一時停止など)を管理する権限を付与します。 |
| ユーザーをアクティブ化* | 代理管理者に、ユーザーアカウントをアクティブ化する権限を付与します。 |
| ユーザーを非アクティブ化* | 代理管理者に、ユーザーアカウントを非アクティブ化する権限を付与します。 |
| ユーザーを一時停止* | 代理管理者に、ユーザーによるOktaへのアクセスを一時停止する権限を付与します。ユーザーからのアクセスが一時停止されると、そのユーザーセッションもクリアされます。 |
| ユーザーの一時停止を解除* | 代理管理者に、ユーザーによるOktaへのアクセスを復元する権限を付与します。 |
| ユーザーを削除* | 代理管理者に、ユーザーアカウントを完全に削除する権限を付与します。 |
| ユーザーのロックを解除* | 代理管理者に、Oktaからロックアウトされたユーザーのロックを解除する権限を付与します。 |
| ユーザーのセッションを消去* | 代理管理者に、エンドユーザーのすべてのアクティブなOktaセッションとOAuthトークンをクリアする権限を付与します。 |
| ユーザーのAuthenticator操作を編集* | 代理管理者に、ユーザーの認証操作(パスワードのリセットや、YubiKeyの登録を含む多要素認証(MFA)など)を管理する権限を付与します。 |
| ユーザーのAuthenticatorをリセット* | 代理管理者に、ユーザーのMFA Authenticatorをリセットする権限を付与します。 |
| ユーザーのパスワードをリセット* | 代理管理者に、ユーザーのパスワードをリセットする権限を付与します。 |
| ユーザーの一時パスワードを設定* | 代理管理者に、ユーザーのパスワードを期限切れにし、新しい一時パスワードを設定する権限を付与します。 |
| ユーザーとその詳細情報を表示 |
代理管理者に、ユーザーのプロファイルおよび認証情報を読み取る権限を付与します。 この権限を持つ代理管理者は、ユーザー資格情報フィールドのみ表示でき、資格情報の値自体は表示できません。 |
| ユーザーのグループメンバーシップを編集* |
代理管理者に、ユーザーのグループメンバーシップを管理する権限を付与します。
また、代理管理者には、ユーザーを追加できるグループに対してグループ権限セクションにある[Manage group membership(グループメンバーシップを管理する)]権限も必要となります。 |
| ユーザーのアプリケーション割り当ての編集* |
代理管理者に、ユーザーのアプリ割り当てを管理する権限を付与します。 また、代理管理者には、アプリケーション権限セクションの[Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)]権限も必要です。これにより、代理管理者はユーザーに割り当てるアプリを表示、選択できます。 |
| APIトークンの管理 | トークンを消去、更新、表示する権限を代理管理者に付与します。 |
| APIトークンを消去する | トークンを消去する権限を代理管理者に付与します。 |
| APIトークンを表示 | トークンを表示する権限を代理管理者に付与します。 |
* — これらの権限は、[Username(ユーザー名)]、[First name(名)]、[Last name(姓)]、[Primary email(プライマリメール)]、および[Mobile phone(携帯電話)]プロファイル属性への表示専用アクセスを付与します。
Oktaソースのグループ、ADソースのグループ、LDAPソースのグループをリソースとして使用できます。ただし、次の権限はADソースのグループおよびLDAPソースのグループに対しては適用されません。
- ユーザーの作成
- ユーザーのAuthenticator操作を管理
- ユーザーのプロファイル属性を編集
- グループメンバーシップの管理
グループ権限
|
権限 |
説明 |
|---|---|
| グループの管理 | 代理管理者に、orgのグループを表示、作成、編集、削除する権限を付与します。 |
| グループの作成 | 管理者ロールの割り当てがorg全体に制限されている場合、代理管理者にグループを作成する権限を付与します。 |
| グループの表示 | 代理管理者に、orgのグループと、そのグループに割り当てられているユーザーおよびアプリのみを表示する権限を付与します。 |
| グループメンバーシップの管理 |
代理管理者に、orgのグループ内のユーザーメンバーシップを表示、編集、および削除する権限を付与します。
また、代理管理者がグループに追加できるユーザーを表示および選択するには、ユーザー権限セクションの[Edit users' group membership(ユーザーのグループメンバーシップを編集する)]権限も必要です。 |
| グループのアプリケーション割り当ての編集 |
代理管理者に、グループのアプリ割り当てを管理する権限を付与します。
また、代理管理者には、アプリケーション権限セクションの[Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)]権限も必要です。これにより、代理管理者はグループに追加できるアプリを表示、選択できるようになります。 |
IDおよびアクセス管理権限
|
権限 |
説明 |
|---|---|
| ロール、リソース、管理者割り当ての表示 |
代理管理者に、org内のロール、リソースセット、管理者割り当ての表示専用権限を付与します。Admin Consoleで情報を表示するには、これらの権限も必要になります。
|
アプリケーション権限
|
権限 |
説明 |
|---|---|
| アプリケーションの管理 |
代理管理者に、orgのアプリを表示、作成、編集、削除する権限を付与します。
また、この権限は、代理管理者に[Manage Directories(ディレクトリーを管理)]権限を付与します。 |
| アプリケーションとその詳細情報の表示 | 代理管理者に、orgに割り当てられているアプリのみを表示する権限を付与します。 |
| クライアント資格情報の表示 | OAuthクライアントシークレットを表示する権限を代理管理者に付与します。 |
|
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。 アプリケーションの一般設定の管理 |
代理管理者に、org内のアプリの一般設定のみを管理する権限を付与します。 |
| アプリのユーザー割り当ての編集 |
代理管理者に、アプリに割り当てられているユーザーを管理する権限を付与します。
また、代理管理者には、グループ権限セクションの[Edit groups' application assignments(グループのアプリケーションの割り当てを編集する)]権限、またはユーザー権限セクションの[Edit users' application assignments(ユーザーのアプリケーションの割り当てを編集する)]権限も必要です。これにより、代理管理者はアプリに追加されるユーザーまたはユーザーグループを表示、選択できるようになります。 代理管理者に、次のプロビジョニングエラータスクを表示する権限を付与します。
「タスクを監視する」を参照してください。 |
サポート権限
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
|
権限 |
説明 |
|---|---|
| Oktaサポートケースの表示、作成、管理 |
代理管理者に、代理管理者が開いたサポートケースを管理する権限を付与します。 Oktaはこの権限をorgに徐々に適用していくため、まだ利用できない可能性があります。 |
プロファイルソース権限
|
権限 |
説明 |
|---|---|
| インポートの実行 | HRaaS、AD/LDAPアプリなどのアプリにプロファイルソースのインポートを実行する権限を付与します。この権限を持つ管理者は、インポートを通じてユーザーを作成できます。
代理管理者が、インポートに含まれる既存のユーザーを変更するには、[User permissions(ユーザー権限)]セクションの[Edit users' profile attributes(ユーザーのプロファイル属性を編集する)]権限が必要です。 |
ワークフロー権限
|
権限 |
説明 |
|---|---|
| 委任されたフローの実行 | フローをOkta Admin Consoleから実行する権限を委任管理者に付与します。 |
| 委任されたフローの表示 | 代理管理者に、Admin Consoleでフローを表示する権限のみを付与します。 |
認可サーバー権限
|
権限 |
説明 |
|---|---|
| 認可サーバーの管理 | 代理管理者に、orgの認可サーバーを表示、作成、編集、削除する権限を付与します。 |
| 認可サーバーの表示 | 代理管理者に、orgの認可サーバーの表示のみを実行する権限を付与します。 |
カスタマイズ権限
|
権限 |
説明 |
|---|---|
| カスタマイズの管理 | 代理管理者に、orgのブランディングのカスタマイズを表示、作成、編集、および削除する権限を付与します。 |
| カスタマイズの表示 | 代理管理者に、orgのブランディングのカスタマイズの表示のみを実行する権限を付与します。 |
ディレクトリ権限
|
権限 |
説明 |
|---|---|
| ディレクトリの管理 |
代理管理者に、orgのディレクトリ統合アプリを表示、作成、編集、削除する権限を付与します。 アプリのユーザー割り当てを管理し、そのようなアプリのインポートを行うには、ユーザーとグループに権限が必要になる場合があります。 |
| ディレクトリの表示 | 代理管理者に、ディレクトリ統合アプリとその詳細の表示のみを実行する権限を付与します。 |
IDプロバイダー権限
|
権限 |
説明 |
|---|---|
| IDプロバイダーの管理 | 代理管理者に、IdP構成を表示、作成、編集、削除する権限を付与します。 |
| IDプロバイダーの表示 | 代理管理者に、IdP構成の表示のみを実行する権限を付与します。 |
デバイス権限
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
|
権限 |
説明 |
|---|---|
| デバイスの管理 | 代理管理者に、orgのデバイスを表示、一時停止、停止解除、アクティブ化、非アクティブ化、削除する権限を付与します。 |
| デバイスの表示 | 代理管理者に、orgのデバイスを表示する権限を付与します。 |
| デバイスのアクティブ化 | 代理管理者に、orgのデバイスを表示およびアクティブ化する権限を付与します。 |
| デバイスの非アクティブ化 |
代理管理者に、orgのデバイスを表示および非アクティブ化する権限を付与します。 代理管理者がデバイスを非アクティブ化すると、登録済み要素が非アクティブ化され、アクティブ化された際にユーザーは要素をデバイスに再登録する必要があります。「デバイス・ライフサイクル」を参照してください。 |
| デバイスの一時停止 | 代理管理者に、orgのデバイスを表示および一時停止する権限を付与します。 |
| デバイスの停止解除 | 代理管理者に、orgのデバイスを表示および停止解除する権限を付与します。 |
| デバイスの削除 | 代理管理者に、orgのデバイスを表示および削除する権限を付与します。 |
|
デバイス復旧PINを生成する 早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。 |
代表管理者に、Desktop MFAによって保護されているデバイスの復旧PINを表示する権限を付与します。 |
領域権限
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
|
権限 |
説明 |
|---|---|
| 領域の管理 | 代理領域管理者に、orgの複数の領域を管理する権限を付与します。 |
| ユーザーの管理 |
代理領域管理者に、ユーザーを追加や削除する権限とユーザーを領域間で移動する権限を付与します。 代理管理者がユーザーを領域間で移動するには、[領域の管理]権限が必要です。 |
エージェント権限
|
権限 |
説明 |
|---|---|
| エージェントの表示 | 委任管理者に、エージェントのステータスを表示する権限とエージェントをダウンロードする権限を付与します。 |
| エージェントの登録 | 委任管理者に、エージェントとドメインを登録する権限を付与します。 |
| エージェントの管理 | 委任管理者に、エージェントコミュニケーションを管理する権限とエージェントを更新する権限を付与します。 |
リソースコレクション権限
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
|
権限 |
説明 |
|---|---|
| リソースコレクションを管理する | 代理管理者に、orgのリソースコレクションを作成、更新、削除する権限を付与します。 |
| リソースコレクションを表示する | 代理管理者に、orgのリソースコレクションを表示する権限を付与します。 |
コレクション内のリソースを表示し、それらに対してアクションを実行するには、アプリケーション権限の許可が必要です。特に、削除された管理者は、コレクション内のすべてのリソースに対してアプリケーション権限の許可を持っている必要があります。
職務分離の権限
|
権限 |
説明 |
|---|---|
| 職務分離(SOD)リスクルールを管理する | 代理管理者に、orgのSODルールを作成、更新、削除する権限を付与します。 |
| 職務分離(SOD)リスクルールを表示する | 代理管理者に、orgのSODルールを表示する権限を付与します。 |
Identity Threat Protectionの権限
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
|
権限 |
説明 |
|---|---|
| ユーザーのリスクを管理する | ユーザーリスクのフィードバックを提供しユーザーリスクを上げる権限を代理管理者に付与します。 |
| ユーザーのリスクを表示する | ユーザーリスクを表示する権限を代理管理者に付与します。 |
| ポリシーを管理する | ポリシーを管理する権限を代理管理者に付与します。 |
| ポリシーの表示 | ポリシーを表示する権限を代理管理者に付与します。 |
| Shared Signals Frameworkレシーバーのストリームの管理 | Shared Signals Frameworkレシーバーを管理する権限を代理管理者に付与します。 |
| Shared Signals Frameworkレシーバーのストリームを表示する | Shared Signals Frameworkレシーバーを表示する権限を代理管理者に付与します。 |