アクセス認定
Okta Identity Governanceは、サブスクリプションベースで一般利用可能です。詳細については、担当のアカウントエグゼクティブまたはカスタマーサクセスマネージャーにお問い合わせください。
組織として、重要なリソースにアクセスできるユーザーを定期的に特定してレビューすることが重要です。これにより、リソースを必要とするユーザーのみがアクセスできるようになり、リソースへの昇格されたアクセスまたは特権アクセスが蓄積されるのを回避できます。
アクセス認定を使用して監査キャンペーンを作成し、ユーザーのリソースへのアクセスを定期的にレビューし、必要に応じてアクセスを自動的に承認または取り消します。各キャンペーンで、次を指定できます。
- キャンペーンの開始日と期間。
- レビューに含めるリソース(アプリまたはグループ)。
- キャンペーンに含めるユーザーまたはチーム。
- 各ユーザーおよびリソースのアクセスをレビューする必要があるレビュアー。
また、以前に終了したキャンペーンを表示し、レポートを生成することもできます。
アクセス認定プロセスは、会社が次の要件を満たせるようサポートします。
- 重要なリソースへの不適切なアクセスのリスクを軽減することにより、これらのリソースを保護します。
- アクセスを確認し、適切なユーザーのみが適切なリソースにアクセスできるという証拠を監査者に提供できるため、業界の監査に合格します。
- 一時的なプロジェクトやユーザーが組織内でチームを変更することによるライセンスの肥大化に関連するライセンスコストを削減します。
- 既存のOkta構成とアプリ統合を使用して効率を向上させて、キャンペーンを簡単に作成し、サードパーティアプリでの削除を自動化します。
既知の問題と制限事項
-
現在、キャンペーンには50個のリソースしか割り当てることができません。
-
各orgは、最大500個のアクティブなキャンペーンを持つことができます。
- キャンペーン内のレビュー対象の数は、1~100,000の間である必要があります。大規模なキャンペーンをより適切に管理するには、レビューを複数のキャンペーンに分割することをお勧めします。
-
[Access Certification Reviewer(アクセス認定レビュアー)]グループの名前変更、変更、または削除をしないでください。管理者からレビュー対象が割り当てられると、レビュアーは自動的にこのグループに追加されます。このグループを何らかの方法で変更すると、レビュアーがキャンペーンにアクセスできなくなり、レビューを完了できなくなります。このグループを誤って削除してしまった場合は、Oktaサポートにお問い合わせください。
-
キャンペーンに含まれるリソースまたはレビュアーがキャンペーンの開始時点で非アクティブ化または削除されている場合、キャンペーンの開始に失敗します。キャンペーンの開始に失敗すると、エラーのリストを含むメール通知が届きます。エラーの詳細については、[Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブ、またはSystem Logの[Events(イベント)]テーブルを確認することもできます。
- 自動アクセス取り消しは、ユーザーに個別に割り当てられたリソース(グループまたはアプリケーション)に限定されます。グループメンバーシップまたはグループルールを通じてユーザーがリソースへのアクセス権を割り当てられたその他の状況では、手動で修復する必要があります。これらのケースの特定と手動で解決する方法の詳細については、「修復」を参照してください。