管理者ロール向けAccess Certifications
重要なリソースにアクセスできるユーザー(管理者など)を定期的に特定してレビューすることが組織にとって重要です。アクセス認定を使用して、ユーザーの管理者ロールの割り当てを定期的にレビューするキャンペーンを作成します。キャンペーンを頻繁に実行すると、昇格または特権アクセスの蓄積を回避することができます。
- 事前構成されたキャンペーン
- 事前構成されたキャンペーンは、すぐに使用できます。そのため、手動構成なしにキャンペーンを開始できます。アクセス認定を始めるにあたり、Oktaでは2つのキャンペーンの設定を予め設定しています。Okta管理者レビュー(Okta administrator review)キャンペーンを実行し、管理者ロールを管理します。非アクティブなユーザーを検出する(Discover inactive users)キャンペーンも使用できる機能は限られていますが、これによって、組織で非アクティブなユーザーの数が最も多い1つのアプリをレビューできます。
- リソースキャンペーン
- リソースキャンペーンには、リソースにアクセスできるすべてのユーザーが表示されます。リソース、ユーザー、レビューアー、修復設定を定義して、リソースキャンペーンを要件に合わせてカスタマイズできます。たとえばOkta Admin Consoleなどのリソースを選択することができます。次に、そのリソースに割り当てられるすべてのユーザーを選択するか、Okta Expression Languageを使用して特定のユーザーセットを定義します。キャンペーンから特定のユーザーを除外することもできます。その後、ユーザーの管理者ロールの割り当てをレビューするキャンペーンレビュアー、およびキャンペーンで承認を複数ラウンドする必要があるかを指定します。最後に、レビュアーがユーザーのアクセスを承認または拒否したときに実行される修復アクションを定義します。
- ユーザーキャンペーン
- ユーザーキャンペーンには、ユーザーがアクセスできるすべてのリソースが表示されます。このキャンペーンタイプは、部門、ロール、プロジェクトの変更などの特定のイベントが発生した場合に、リソースへのユーザーのアクセスを確認する上で役立ちます。ユーザー、リソース、レビュアー、修復設定を定義して、ユーザーキャンペーンを要件に合わせてカスタマイズすることができます。たとえば、ユーザーを指定した後、リソーススコープをすべてのアプリ(All apps)またはすべてのアプリとグループ(All apps and groups)に設定し、 Okta管理者ロールを含める(Include Okta admin roles)チェックボックスをオンにします。その後、ユーザーの管理者ロールの割り当てをレビューするキャンペーンレビュアー、およびキャンペーンで承認を複数ラウンドにする必要があるかを指定します。最後に、レビュアーがユーザーのアクセスを承認または拒否したときに実行される修復アクションを定義します。
管理者ロールバンドルとその有効期限は管理者ロールの割り当てレポートで確認することができます。また、過去のキャンペーンの詳細レポートと過去のキャンペーンの要約レポートを使用して、開始されたキャンペーンや、リソースへのユーザーアクセスが保持されたか取り消されたかを確認することもできます。 Okta Identity Governance をサブスクライブしている場合、ユーザーエンタイトルメントレポートも利用できます。
アクセス認定の詳細については、 アクセス認定 とキャンペーン(Campaigns)を参照してください。
Okta Identity Governanceをサブスクライブしている場合は、Okta Identity Governance APIも使用できます。
関連項目