キャンペーン
キャンペーンは、ユーザーがアプリ(および関連するエンタイトルメント)やグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。
- 事前構成されたキャンペーン
- 事前構成されたキャンペーンは、すぐに使用できます。そのため、手動構成なしにキャンペーンを開始できます。アクセス認定の開始をサポートするた、Oktaは2つのキャンペーンの設定を予め設定しています。[Discover inactive users(非アクティブなユーザーを検出する)]を使用すると、orgで非アクティブなユーザーの数が最も多いアプリをレビューできます。Admin Consoleへの管理者アクセスをレビューするには、[Okta administrator review(Okta管理者レビュー)]を使用します。
- リソースキャンペーン
- リソースキャンペーンはキャンペーンのリソーススコープの設定に重点を置いているため、それらのリソースにアクセスできるすべてのユーザーを確認できます。このキャンペーンタイプは、機密リソースへのアクセスをレビューし、コンプライアンス要件を満たす上で役立ちます。特にOkta管理者ロールを管理するためにユーザーの管理者ロール割り当てをレビューする場合は、このキャンペーンタイプを使用します。
- ユーザーキャンペーン
- ユーザーキャンペーンは、キャンペーンのユーザースコープを定義することに重点を置き、そのユーザーに割り当てられたすべてのリソースの包括的なレビューを実行できます。このキャンペーンタイプは、部門、ロール、プロジェクトの変更などの特定のイベントが発生した場合に、リソースへのユーザーのアクセスを確認する上で役立ちます。
-
ユーザーの管理者ロール割り当ては、確認のためにユーザーキャンペーンには含まれません。
レルム機能を有効にした場合は、Okta Expression Languageを使用して、特定のレルムに属するユーザーのみを含めるようにキャンペーンを制限することもできます。
キャンペーンを事前にスケジュールしたり、特定の間隔で繰り返したり、開始前に変更したりできます。
キャンペーンは開始日にアクティブになり、終了日を迎えるか、キャンペーンのレビュアー全員がレビューを完了するかのいずれか早いときに終了済みとしてマークされます。開始日の前にキャンペーンを開始したり、スケジュールされた終了日の前にアクティブなキャンペーンを終了したりすることができます。ただし、キャンペーンの開始後に実行できるのは、レビューアイテムの再割り当てとキャンペーンの終了のみとなります。終了したキャンペーンを変更することはできません。
アクティブなキャンペーン、予定されたキャンペーン、終了済みキャンペーンは、[アクセス認定キャンペーン]ページで確認できます。[スケジュール設定済み]タブでは、繰り返しキャンペーンに[Recurring(繰り返し)]ラベルが付けられ、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。
キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。
スケジュールされたキャンペーンの開始に失敗した場合は、メール通知が届きます。エラーを表示するには、次のいずれかの手順を実行できます。
- メール通知から[View Campaign(キャンペーンを表示)]をクリックします。
- [Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブからキャンペーンを開きます。
- System Logに移動します。
キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、[Overview(概要)]セクションにあるユーザーおよびレビュアーのOkta Expression Languageを書き留めておくことをお勧めします。[Actions(アクション)]メニューから開始に失敗したキャンペーンを削除できます。
キャンペーンのレビュアーは、ダッシュボードの[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。
キャンペーン作成者がキャンペーンにエンタイトルメントを含めた場合、レビュアーは、リソースに関連付けられているエンタイトルメントまたはバンドルと、エンタイトルメントまたはバンドルがレビューアイテムのユーザーにどのように割り当てられたかを確認することもできます。レビュアーは、エンタイトルメントとバンドルへのアクセスを、アプリとグループへのユーザーのアクセスをレビューする場合と同様の方法でレビューできます。レビュアーは、エンタイトルメントまたはバンドルを個別のユニットとして取り消すことはできますが、ユーザーに割り当てられたバンドルの一部である特定のエンタイトルメントを取り消すことはできません。レビュアーは、ポリシールールによってユーザーに割り当てられたエンタイトルメントを手動で修復する必要があります。
アプリのエンタイトルメントをレビューするためのキャンペーンを実行できるのは、アプリのGovernance Engineが有効化されている場合のみです。「Governance Engineを有効にする」と「制限事項と制限」を参照してください。
管理者ロールのガバナンス
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Okta管理者ロールの管理機能は、Okta Identity Governanceをサブスクライブしている方向けには公開されています。サブスクライブしていない場合、orgの適格性によってはOkta管理者ロールの管理機能を利用できない可能性があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。
Okta管理者ロールの管理機能を有効にすると、リソースキャンペーンを使ってユーザーの管理者割り当てをレビューできるようになります。アクセス認定は、管理者割り当てをOkta Admin Consoleに関連付けられたエンタイトルメントとして扱います。具体的には、管理者ロールとユーザーの管理者割り当て内のリソースセットは、エンタイトルメントのキー/値ペアとして扱われます。
管理者ロールを管理できるのは、スーパー管理者のみです。この機能を有効にしてから、管理者ロールの確認のためにリソースキャンペーンを実行できるようになるまで、数時間待たなければならない場合があります。