管理者ロールを確認するキャンペーンを作成する

ユーザーが適切なレベルでアクセスできるように、事前構成されたリソースまたはユーザーキャンペーンを作成します。管理者ロールを管理するキャンペーンを作成、管理するには、スーパー管理者である必要があります。

事前構成されたキャンペーン

事前設定されたキャンペーンの作成（Okta administrator review） 」に記載されている手順を使用して、Okta管理者レビュー（Okta administrator review）キャンペーンを作成することができます。

Okta Identity Governance をサブスクライブしていない場合でも、非アクティブなユーザーを検出する（Discover inactive users）キャンペーンは制限された機能でも利用できます。このキャンペーンでは、ユーザーの管理者ロールの割り当ては確認されないことに注意してください。

リソースとユーザーキャンペーン

リソースキャンペーンを作成するまたはユーザーキャンペーンを作成するに記載されている手順を使用しますが、次の点に留意してください。

• ユーザーキャンペーンは、Okta Identity Governanceをサブスクライブしている場合にのみ、管理者ロールの管理に利用できます。

• リソースキャンペーンの場合は、リソース（Resources）ページで次の選択を行います。

  1. リソースタイプとしてアプリケーション（Applications）を選択し、アプリとしてOkta Admin Consoleを選択します。エンタイトルメントを確認する（Review entitlements）チェックボックスはデフォルトでオンになっています。

  2. 特定のエンタイトルメントとバンドル（Specific entitlements and bundles）を選択します。

  3. Admin Consoleから直接割り当てられた管理者ロールを認証するには、エンタイトルメント（Entitlements）を選択します。または、バンドル（Bundles）を選択して、アクセス要求条件を使用して割り当てられた管理者ロールを認証します。

• ユーザーキャンペーンの場合は、リソース（Resources）ページで次の選択を行います。

  1. リソーススコープ（Resource scope）をすべてのアプリ（All apps）またはすべてのアプリとグループ（All apps and groups）として選択します。または、リソースコレクション - ユーザーキャンペーンの認定機能を有効にした場合は、 アプリケーション（Application）を選択します。

  2. ユーザーの管理者ロールの割り当てを含めるには、Okta管理者ロールを含める（Include Okta admin roles）を選択します。

• リソースキャンペーンとユーザーキャンペーンの両方において、レビュアー（Reviewers）ページで次のチェックボックスがデフォルトで選択されています。

  • セルフレビューを無効にする（Disable self-review）：レビュアーは自分自身のレビューアイテムを承認、取り消し、または再割り当てすることはできません。デフォルトでは、管理者ロールを認証するキャンペーンのこのチェックボックスはオフにできません。orgでOkta管理者ロールのセルフレビュー機能が有効化されている場合には、そのキャンペーンでセルフレビューが許可されるか制限されるかを構成することができます。

    注:

    Okta管理者ロールのセルフレビューは早期アクセス機能です。

  • ビジネス上の正当な理由が必要（Require business justification）：レビュアーは、リソースへのユーザーアクセスの承認または取り消しの決定理由を示す必要があります。このデフォルト設定を変更することはできません。orgで理由の要件をカスタマイズ（Customize Justification Requirements）機能が有効化されている場合、この設定は理由設定（Justification Settings）セクションに置き換えられます。管理者ロールを管理するキャンペーンでは、次のオプションのみを利用できます。

    • アクセスの取り消しにのみに必要（Required for revoke access only）：レビュアーは、アクセスを取り消す場合に理由を入力する必要があります。

    • アクセスの取り消しには必須、承認には任意（Required for revoke and optional for approve access）：レビュー担当者は、アクセスを取り消す場合に理由を入力する必要があります。ただし、アクセスを承認する場合には、理由を入力するかどうかを選択できます。

    • アクセスの承認と取り消しに必要（Required for approve and revoke access）：レビュアーは、アクセスを承認または取り消す場合に理由を入力する必要があります。

    管理者ロールを管理するキャンペーンでは、 任意（Optional）設定と無効化（Disabled）設定は利用できません。

    注:

    理由の要件をカスタマイズ（Customize Justification Requirements）機能は早期アクセス機能です。これを有効にするには、「早期アクセス機能とBeta機能の管理」を参照してください。

  • 再割り当てを無効にする（Disable reassigments）：レビュアーは、レビューアイテムを別のユーザーに再割り当てすることはできません。ただし、スーパー管理者として、キャンペーンがアクティブになった後にこれを行うことは引き続き可能です。このデフォルト設定を変更することはできません。

• 自分の管理者の割り当てがキャンペーンでレビューされ、セルフレビューが出来ない場合は、自分がそのキャンペーンのレビュアーではないことを確認してください。これで、キャンペーン開始時のエラーを避けられます。

• 管理者ロールを管理するキャンペーンのレビュアーを慎重に選択してください。レビュアーは管理者であるかどうかに関係なく、自分に割り当てられたレビューアイテムへのアクセスの承認または取り消すことができます。アクセスをレビューするユーザーが管理者である場合でも、この操作を行うことができます。修復はすぐに行われます。

• orgでGovernance Analyzerを有効にしていて、インサイトや推奨事項をレビュアーに提供する場合は、「Governance Analyzerをセットアップする」を参照してください。Governance Analyzerは、Okta Identity Governanceをサブスクライブしている場合にのみ利用できます。

関連項目

キャンペーンを作成する

ユーザーキャンペーンを作成する

キャンペーンを管理する