キャンペーンを作成する

キャンペーンを作成して、Okta内のアプリケーションとグループへのユーザーのアクセスを定期的に確認します。キャンペーンを事前にスケジュールし、開始前に変更できます。

キャンペーンは開始日にアクティブになり、終了日に終了します。開始日の前にキャンペーンを開始したり、スケジュールされた終了日の前にアクティブなキャンペーンを終了したりすることができます。キャンペーンの開始後、レビューアイテムを再割り当てしたり、キャンペーンを終了したりできます。キャンペーンの終了後に変更することはできません。

ベストプラクティス

  • わかりやすいキャンペーン名を選択してください。キャンペーン名はレビュアーに表示されます。月と年を含む一意の名前を使用することをお勧めします。
  • キャンペーンの説明には、レビュアーがキャンペーンの目的を理解するのに役立つ情報を含めます。たとえば、ユーザーのSalesforce権限を確認するキャンペーンをセットアップした場合、それをキャンペーンの説明として追加して、レビュアーにコンテキストを提供できます。
  • キャンペーンに関連付けられたリソースがOktaに存在し、非アクティブ化または削除されていないことを確認してください。
  • キャンペーンのレビューアイテムの数は、1~100,000である必要があります。大規模なキャンペーンをより適切に管理できるように、レビューを複数のキャンペーンに分割することをお勧めします。
  • [Access Certification Reviewer(アクセス認定レビュアー)]グループを名前変更、変更、または削除しないでください。レビュー対象が割り当てられると、レビュアーは自動的にこのグループに追加されます。このグループに何らかの変更を加えると、レビュアーがキャンペーンにアクセスできなくなり、レビューを完了できなくなる可能性があります。このグループを誤って削除してしまった場合は、Oktaサポートにお問い合わせください。
  • 現在、1つのorgに対してアクティブにできるキャンペーンは500のみです。この制限に達したときは、キャンペーンを作成する前に、アクティブないくつかのキャンペーンの終了を検討してください。
  • 繰り返しキャンペーンに関する考慮事項」を参照してください。
  • 選択した最終レビュアーがOktaでアクティブになっていることを確認します。
  • レビュアータイプとしてユーザーのマネージャーを使用するには、managerIdユーザー属性がユーザーのマネージャーのOktaユーザー名またはメールアドレスに設定されていることを確認します。設定されていない場合、キャンペーンはマネージャーの特定に失敗し、レビューは最終レビュアーに割り当てられます。
  • グループオーナーのレビュアータイプを使用するには、Oktaにグループオーナーが構成されているか確認してください。「Oktaグループオーナーの構成」を参照してください。

  • マルチレベルレビューが設定されたキャンペーンでは、次の事項を考慮してください。

    • 1つのキャンペーンに2レベルのレビューをセットアップできます。

    • 第2レベルのレビュアーにレビューアイテムが送信されるのは、第1レベルのレビュアーがそれを承認または取り消した後のみとなります。キャンペーンの進捗を妨害しないためには、第1レベルのレビュアーが予定どおりにレビューアイテムの決定を下すことが重要です。

    • 第2レベルのレビュアーは、レビューアイテムに関する第1レベルのレビュアーの決定とその理由を表示できます。

    • 最終レビュアーは、キャンペーンの構成によって異なります。

    • キャンペーンに構成する修復オプションは、最終レビュアーが下した決定に適用されます。「修復」を参照してください

このタスクを開始する

次の手順を実行する前に、スーパー管理者またはアクセス認定管理者としてサインインしていることを確認してください。

  1. Admin Console [Identity Governance(IDガバナンス)]に移動します。アクセス認定
  2. [+ Create campaign(+キャンペーンを作成)]をクリックします。

    ウィザードで要件を構成します。

一般

  1. 次のフィールドに値を入力します。

    フィールド

    Campaign name(キャンペーン名)キャンペーンの名前を入力します。理想的には、レビュアーにとってわかりやすい名前を入力してください。
    Description(説明)キャンペーンの目的を説明します。
    Start date(開始日)キャンペーンの開始日を選択します。

    Start Time(開始時刻)

    キャンペーンの開始時刻とタイムゾーンを選択します。

    Duration(所要時間)

    キャンペーンを実行する期間を選択します。

    マルチレベルレビュアーを使用したキャンペーンは、7日間以上の期間を設定する必要があります。

    キャンペーンは、キャンペーンを設定した管理者のタイムゾーンで開始日の午前12時に開始し、終了日の午後11時59分に終了します。

  2. 特定の間隔でキャンペーンを繰り返す場合は、[Make this recurring(繰り返しにする)]をオンにします。1つのキャンペーンのみをセットアップする場合は、次の2つの手順をスキップしてください。

  3. [Repeats every(繰り返し間隔)]セクションで適切な値を入力または選択して、繰り返しキャンペーンの頻度を構成します。「繰り返しキャンペーンに関する考慮事項」を参照してください。

  4. [Recurrence ends(繰り返し終了)]セクションで、要件に基づいて[Never(なし)]または[On a specific date(特定の日)]のいずれかを選択します。

  5. [Next(次へ)]をクリックします。

リソース

  1. リソースタイプとして[Applications(アプリケーション)]または[Groups(グループ)]を選択します。
  2. キャンペーンに含めるアプリケーションまたはグループを選択します。キャンペーンには最大50個のリソースを追加できます。
  3. [Next(次へ)]をクリックします。

ユーザー

  1. 次のいずれかのオプションを選択します。
    利用可能なオプションアクション説明
    リソースに割り当てられているすべてのユーザー前に選択したリソースに割り当てられているユーザーを含める場合は、このオプションを選択します。該当なし
    ユーザースコープを指定有効なOkta Expression Language(EL)式を入力して、ユーザースコープを指定します。このオプションは、ユーザースコープを特定のユーザーセットに制限します。式の結果は、ユーザーをキャンペーンに含める場合はtrue、キャンペーンから除外する場合はfalseになります。「ユーザースコープを定義する」を参照してください。
  2. 推奨。[Previewer reviewer(プレビュアーとレビュアー)]フィールドに、キャンペーンに含まれているかどうかを確認するユーザーの名前を入力します。[Preview(プレビュー)]をクリックします。ユーザーがキャンペーンに含まれているかどうかを示すメッセージが表示されます。

    キャンペーンのリソースに割り当てられていないユーザーをプレビューすると、EL式にユーザーが含まれていても、プレビューにはそのユーザーがキャンペーンに含まれていないと示されます。

  3. 特定のユーザーをキャンペーンから除外するには、[Exclude users from the campaign(ユーザーをキャンペーンの対象から除外)]をオンにし、キャンペーンから除外するユーザーの名前を入力します。
  4. [Next(次へ)]をクリックします。

レビュアー

  • ここで選択したレビュアーは、[Access Certification Reviewer(アクセス認定レビュアー)]グループに自動的に追加されます。[Access Certification Reviewer(アクセス認定レビュアー)]グループの名前変更、変更、または削除をしないでください。このグループを誤って削除してしまった場合は、Oktaサポートにお問い合わせください。
  • キャンペーンを開始すると設定した時刻にキャンペーンに含まれるレビュアーが非アクティブ化または削除されている場合、キャンペーンは開始されません。
  1. レビュアーのタイプを選択します。
    レビュアータイプアクションコメント
    特定のユーザー
    1. キャンペーン内のすべてのユーザーのアクセス認定をレビューする必要があるレビュアーの名前を入力します。
    このレビュアーは、すべてのレビューアイテムをレビューする責任を負います。
    ユーザーのマネージャー
    1. Oktaのユーザーのプロファイルにリストされているユーザーのマネージャーにレビューアイテムを割り当てます。
    2. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムのレビューを担当するユーザーを指定します。
    Oktaのユーザーのプロファイルにマネージャーがリストされていない場合、レビューは最終レビュアーに割り当てられます。
    グループ
    1. 特定のユーザーグループのすべてのメンバーにレビューアイテムを割り当てます。

    1人のグループメンバーのみがレビューを行い、レビューアイテムに対してアクションを実行する必要があります。そのため、グループメンバーがレビューアイテムへのアクセスを承認するか、取り消した場合、そのレビューアイテムはすべてのレビュアーに対して「完了済み」とマークされます。

    ドロップダウンには、1~10人のメンバーがいるグループのみが表示されます。それよりも多くのメンバーをグループに追加すると、レビューアイテムはグループの最初の10人のメンバーに割り当てられます。

    グループオーナー

    1. Oktaのグループのプロファイルにリストされているグループのオーナーにレビューアイテムを割り当てます。
    2. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。
    3. 推奨。グループのグループオーナーをプレビューできます。[Preview(プレビュー)]セクションで、[Preview group owner(グループオーナーをプレビュー)]ドロップダウンのグループを選択します。[Preview(プレビュー)]をクリックします。

    グループ内のグループオーナーの数が10人より多い場合、レビューアイテムは最初の10人のグループオーナーに割り当てられます。

    グループオーナーのオプションは、次の条件が当てはまる場合のみ使用可能で有効です。

    • [Resource(リソース)]ペインで1つ以上のグループをリソースとして選択した。
    • 各グループのグループオーナーが個人またはグループである。どのグループについても、人とグループの組み合わせをグループオーナーにすることはできません。

    カスタム

    1. 有効なOkta EL式を入力して、レビュアーを指定します。
    2. 推奨。[Preview a user’s reviewer(ユーザーのレビュアーをプレビュー)]フィールドに、レビュアーが誰であるかを確認するユーザーの名前を入力します。
    3. [Preview(プレビュー)]をクリックします。
    4. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。
    式は、レビュアーとして割り当てる必要があるユーザーのOktaユーザーIDまたはユーザー名を返す必要があります。「動的レビュアーを定義する」を参照してください。式がレビュアーの値を返さない場合は、最終レビュアーがユーザーのレビュアーとして割り当てられます。
  2. 任意。[+ Add level(+ レベルを追加)]をクリックして第2レベルのレビュアーを追加し、次の手順を実行します。

    1. 第2レベルのレビュアーのタイプを選択します。

    2. [Additional Settings(追加設定)]セクションで、第2レベルのレビュアーに送る第1レベルのレビュアーの決定を選択します。

      • [Only approved decisions(承認された決定のみ)]:承認された決定の最終レビュアーは、第2レベルのレビュアーとなります。このオプションでは、第2レベルのレビュアーは、第1レベルのレビュアーの承認については決定を下すことができますが、取り消された決定についてはできません。取り消された決定の最終レビュアーは、引き続き第1レベルのレビュアーとなります。

      • [Both approved and revoked decisions(承認された決定と取り消された決定の両方)]:承認されたすべての決定と取り消されたすべての決定の最終レビュアーは、第2レベルのレビュアーとなります。このオプションでは、第2レベルのレビュアーは、第1レベルのレビュアーが下したすべての決定について決定を下すことができます。

    3. 第2レベルのレビューが開始される日を選択または入力します。この数は、キャンペーンの期間より小さい必要があります。第2レベルのレビューは、第1レベルのレビューが終了すると開始されます。第2レベルのレビューの開始時にレビューが保留されている場合、第1レベルのレビューに期限切れのフラグが立てられます。

  3. Notifications(通知)]セクションで、次のオプションを1つ以上選択します。
    通知オプション説明
    Reviews assigned(レビューの割り当て) キャンペーンの開始時にレビューアイテムが割り当てられたとき、およびレビューアイテムが再割り当てされたときに、レビュアーはメール通知を受け取ります。管理者は、キャンペーンの開始時にレビュアーが受け取るメールをカスタマイズできます。「メールテンプレートをカスタマイズする」を参照してください。

    保留中レビューのリマインダー

    保留中のレビューアイテムがあるレビュアーは、キャンペーンの終了前にメール通知を受け取ります。リマインダーは、キャンペーンの中間時点、キャンペーンの終了日、またはキャンペーン終了の数日前に送信されるように選択できます。

    マルチレベルレビューが設定されているキャンペーンでは、第1レベルと第2レベルの両方のレビュアーがリマインダーを受け取ります。

    管理者として自分もキャンペーンの終了予定日の前にリマインダーメールを受け取りたい場合は、このオプションを選択します。

    第1レベルのレビュアーの期限切れリマインダー

    レビューアイテムを保留している第1レベルのレビュアーは、第1レベルレビューの終了後、キャンペーンの終了まで毎日メール通知を受け取ります。

    このオプションは、マルチレベルレビューが設定されているキャンペーンで使用できます。

    キャンペーンの終了 キャンペーンが終了するときに、レビュアーはメール通知を受け取ります。管理者は、自分が作成したキャンペーンが開始または終了するときのメール通知に自動サブスクライブされています。また、キャンペーンの開始に失敗した場合は、キャンペーンのページへのリンクが記載されたメール通知を受け取ります。
  4. [Next(次へ)]をクリックします。

修復

  1. 次の状況で起こることを選択します。

    • レビュアーが、ユーザーのアクセスを承認または取り消した。

    • レビュアーが対応しない。

    レビューが1レベルのみのキャンペーンでは、修復プロセスは、レビュアーがユーザーのアクセスを承認または取り消した直後に開始されます。

    レビューがマルチレベルのキャンペーンでは、修復は最終レビュアーが決定を下した時点で行われます。「修復」を参照してください。

    修復は、Okta Workflowsで拡張可能です。「アクセス認定決定の送信」を参照してください。Okta Workflowsの構成については、「フローの構築」を参照してください。

  2. [Schedule campaign(キャンペーンの日程を設定)]をクリックします。

スケジュールされたキャンペーンは、キャンペーンがアクティブになる前であればいつでも変更できますが、アクティブになった後や終了した後は変更できません。「スケジュールされたキャンペーンを変更する」および「アクティブなキャンペーンを終了する」を参照してください。

管理者は、キャンペーンがアクティブな場合でも、レビューアイテムを別のレビュアーに再割り当てできます。

[Access certification campaigns(アクセス認定キャンペーン)]ページの[Scheduled(スケジュール設定済み)]タブで、作成したばかりのキャンペーンを表示できます。繰り返しキャンペーンは、[Scheduled(スケジュール設定済み)]タブで[Recurring(繰り返し)]ラベルが付き、一連の繰り返しキャンペーンの一部であることが示されます。

[Access certification campaigns(アクセス認定キャンペーン)]ページで、アクティブなキャンペーンと終了済みキャンペーンを表示することもできます。繰り返しキャンペーンは、[Scheduled(スケジュール設定済み)]タブで[Recurring(繰り返し)]ラベルが付き、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。

キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。レビュアーは、ダッシュボードの[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。

スケジュールされたキャンペーンの開始に失敗した場合は、メール通知が届きます。エラーを表示するには、次のいずれかの手順を実行できます。

  • メール通知から[View Campaign(キャンペーンを表示)]ボタンをクリックします。
  • [Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブからキャンペーンを開きます。
  • System Logに移動します。

キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、[Overview(概要)]セクションにあるユーザーおよびレビュアーのOkta Expression Languageを書き留めておくことをお勧めします。[Actions(アクション)]メニューから開始に失敗したキャンペーンを削除できます。

関連項目

Okta Expression Languageの例

修復

アクティブなキャンペーンの進行状況を表示する

スケジュールされたキャンペーンを変更する

アクティブなキャンペーンを終了する