アクセスリクエスト条件を作成する

Access Requests条件を使用すると、管理者ロールバンドルへのアクセスを求めるプロセスを合理化できます。

開始する前に

スーパー管理者、またはアクセスリクエスト管理者とアプリ管理者の両方のロールが割り当てられたユーザーとしてAdmin Consoleにサインインします。
エンタイトルメントバンドルを使ってアクセスレベルを定義するには、アプリのGovernance Engineを有効化し、エンタイトルメントとバンドルを作成します。
管理者ロールのアクセスリクエストの合理化については、代わりに「Okta管理者ロールを管理する」と「管理者ロールへのアクセスリクエスト」を参照してください。
承認者として使用する任意のグループ所有者を構成します。グループ所有者が別のグループであるときは、そのグループをアクセスリクエストにプッシュします。
要求者のマネージャーを承認者として使用するときは、managerIdユーザー属性をOktaユーザー名またはメールアドレスに設定します。

注意:

ユーザーがグループまたは個人の割り当てを使ってこれらのロールをすでに割り当てられている場合、Oktaはそのユーザーにバンドルを割り当てません。同様に、グループ割り当てを使用して同じ管理者ロールをユーザーに割り当てると、Oktaは管理者ロールバンドルへのそのユーザーのアクセスを取り消します。

このタスクを開始する

Admin Consoleでセキュリティ（Security） > 管理者（Administrators） > ガバナンス（Governance）に移動します。
アクセスリクエスト（Access request）をクリックします。
任意。ユーザーが別のユーザーの管理者アクセスをリクエストできるようにするには、設定（Settings）をクリックして、次のユーザーの代わりに要求することを有効化：（Enable request on behalf of）オプションをオンにします。次に、これをすべてのユーザーに許可するか、ユーザーのマネージャーに限定するかを指定します。

このオプションを有効化または無効化すると、管理者ロールのバンドルについてアクセスリクエストを管理するすべての条件に適用されます。
+条件を作成（+ Create condition）をクリックします。
条件の名前を入力します。
任意。条件の説明を入力します。理想的としては条件の目的の説明です。
要求者のスコープ（Requester scope）セクションで、グループを選択して管理者ロールへのアクセスをリクエストできるユーザーを定義します。
アクセスレベル（Access level）セクションで、ユーザーがリクエストできる管理者ロールバンドルを選択します。
アクセス期間（Access duration）セクションで、ユーザーのアクセスリクエストが承認された後でアクセスが期限切れになる日時を入力します。
承認シーケンス（Approval sequences）セクションでシーケンスを選択（Select sequence）をクリックします。
既存のシーケンスを選択するには、目的のシーケンスを選択し、更新（Refresh）をクリックして最新の変更を取得します。シーケンスを選択（Select sequence）をクリックします。
シーケンスを作成するには、+シーケンスを作成（+ Create sequence）をクリックします。
1. タイトルバーの編集（Edit）をクリックし、シーケンスの名前と説明を入力します。
2. 要求者が答える質問を作成するには、トリガー（Trigger）カードの後の任意のノードをクリックし、要求者への質問（Questions for Requester）を選択します。プロンプトに従い、必要に応じて情報を入力します。
3. 承認者にステップを割り当てるには、トリガー（Trigger）カードの後の任意のノードをクリックし、承認（Approval）カードを選択します。割り当て先（Assign to）ドロップダウンメニューから承認者を選択します。
4. シーケンスに別のステップを追加するには、カードの後のノードをクリックし、承認（Approval）、質問（Question）、カスタム（Custom）タスクなどのステップタイプを選択します。
5. 保存（Save）をクリックし、アクセスリクエスト条件（Access Request condition）ページに戻ります。
作成（Create）をクリックします。作成したアクセスリクエスト条件はデフォルトで非アクティブ状態になります。
任意。条件のドラッグアンドドロップを使用して条件を移動し、他の条件に対するその条件の優先度を定義します。Oktaでは、条件を有効化した後での条件の優先順位のみが考慮されます。
任意。条件を有効化して使用できるようにします。

注:

条件で参照しているアイテム（グループやバンドルなど）がアクティブまたは使用可能な状態になっていることを確認します。これらのアイテムのいずれかが非アクティブになっているか、削除されている場合は、条件を有効にしたとき、または要求者がリクエストを送信したときに条件が無効になります。

要求者が複数の条件の基準を満たしている場合は、最も優先度の高い条件によってリクエストの承認に使用される承認シーケンスが決定されます。要求者のグループメンバーシップが変更され、要求者が条件を満たさなくなった場合、その要求者はそれらの条件で管理されている管理者ロールバンドルをリクエストできなくなります。既存の管理者ロール割り当ては影響を受けません。

要求者と承認者のエクスペリエンスを理解するには、「管理者ロールの割り当てをリクエストする manage-admin-role-ar.htm#security-governance-admin-roles-manage-admin-role-ar__CreateReq」および「タスクを管理する」を参照してください。