アクセスリクエストを構成する

Okta アクセスリクエストの使用を開始するのは、いくつかのステップを含む簡単なプロセスです。

プロビジョニングを設定する

最初のステップは、アクセスリクエスト内のOktaユーザーのアカウントをプロビジョニングすることです。このプロセスは、ほとんどのOktaアプリケーションで同じです。通常、管理者は、既存のOkta資格情報を使用してアクセスリクエストにサインインできる特定のユーザーまたはユーザーグループを選択します。デフォルトでは、アクセスリクエストはすべてのOktaスーパー管理者とアクセスリクエスト管理者のアカウントをプロビジョニングしますが、その他のユーザーまたはグループは明示的に承認する必要があります。

  1. Okta Admin Consoleにアクセスします。
  2. [Applications(アプリケーション)]>[Applications(アプリケーション)]に移動し、[Request Access(アクセスのリクエスト)]アプリをクリックします。
  3. [Assignments(割り当て)]タブに移動し、[Assign(割り当てる)]をクリックします。
  4. 割り当てウィンドウから、ユーザーまたはグループを識別します。
  5. [Assign(割り当て)]をクリックします。
  6. [完了]をクリックします。

リクエストされたユーザーのアカウントがプロビジョニングされます。

Oktaからリソースを同期する

アクセスリクエストは、データの論理表現をリソースとして自動的にグループ化します。リソースには、Oktaから同期されたアプリケーションとグループが含まれます。リソースへのアクセスを自動化するには、リソースから構成リストを作成し、リソースタイプでそれらを参照します。

リソースはOktaから毎日同期されますが、アクセスリクエストコンソールからすぐにアクセスリクエストを同期させることができます。

このプロセスは、アクセスリクエストOktaとの初回同期を完了した後にのみ使用できます。

初回同期が完了するまでに最大1時間かかる場合があります。

  1. アクセスリクエストコンソールから、 [設定] [Resources(リソース)]に移動します。
  2. リソースタイプを特定します
  3. 省略記号を選択し、[Update Now(今すぐ更新)]を選択します。

JiraやService Nowなどの統合からリソースを同期するには、「Jiraをアクセスリクエストと統合する」および「ServiceNowをアクセスリクエストと統合する」を参照してください。

Oktaグループをアクセスリクエストにプッシュする

このプロセスにより、既存のOktaグループを使用して、アクセスリクエスト内で組織構造とビジネスプロセスをより適切にモデル化できます。たとえば、アクセスリクエストチームは、レビューのためにOktaグループのメンバーに特定の承認またはタスクを割り当てたい場合があります。

ユーザーは、Oktaグループの一部としてプッシュされる前に、アクセスリクエストにプロビジョニングされている必要があります。

  1. Okta Admin Consoleにアクセスします。
  2. [Applications(アプリケーション)]>[Applications(アプリケーション)]に移動し、Okta アクセスリクエストアプリをクリックします。
  3. [Push Groups(グループをプッシュ)]タブに移動し、[Push Groups(グループをプッシュ)]をクリックします。
  4. メニューから検索方法を選択します。

    方式

    アクション

    名前でグループを検索

    特定のOktaグループを選択して同期できます。

    1. 検索ウィンドウから、既存のグループの名前を入力します。
      注:入力すると、一致するグループが表示されます。
    2. 一致するグループを選択します。
    3. 任意。[Push group memberships immediately(グループメンバーシップをただちにプッシュする)]を選択します。
    4. 任意。プッシュアクションを選択します。
      注:以前にアクセスリクエストからリンク解除されたグループをプッシュしている場合にのみ、[Link Group(リンクグループ)]アクションを使用してください。
    5. [保存]をクリックします。

    Oktaはグループをアクセスリクエストと同期します。

    ルールでグループを検索

    1つ以上のOktaグループを同期するルールを作成できます。

    1. ルールウィンドウから、ルールの名前を入力します。
    2. 既存のグループに一致するテキストを入力します。
    3. 任意。[Immediately push groups found by this rule(このルールで見つかったグループをただちにプッシュする)]を選択します。
    4. [保存]をクリックします。

    Oktaは、条件に一致するすべてのグループをアクセスリクエストと同期します

Oktaからプッシュするグループを表示するには、アクセスリクエストコンソール [設定] [Pushed Groups(プッシュされたグループ)]タブに移動します。

サインオンポリシーを構成する

次のステップは、アクセスリクエストのサインオンポリシーを構成することです。これはオプションのプロセスですが、Organizationはアクセスリクエストへのアクセスを制御できます。ルールの作成は簡単で、ほとんどのOkta管理者になじみがあるはずです。ドロップダウンメニューから、またはOkta Expression Languageを使用して、さまざまなIf/Thenスタイルのルールを定義できます。詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。

追加のアクセスリクエスト管理者を作成する

デフォルトでは、Oktaスーパー管理者権限を持つすべてのユーザーは、アクセスリクエスト管理者でもあります。スーパー管理者が最初にアクセスリクエストに割り当てられると、そのアカウントにはアクセスリクエスト内の管理者権限が自動的に割り当てられます。

Oktaスーパー管理者アカウントへの変更は、アクセスリクエストに既に割り当てられているユーザーに対して自動的に同期されません。Okta組織内でスーパー管理者権限を追加または削除したら、アプリケーションをユーザーに手動で再割り当てする必要があります。

  1. Okta管理コンソールから、スーパー管理者権限をユーザーに追加します。
    管理者権限の詳細については、「管理者権限を割り当てる」を参照してください。
  2. アクセスリクエストからユーザーの割り当てを解除します。
  3. ユーザーをアクセスリクエストに再割り当てします。

次の手順

アクセスリクエストチームを作成する