アクセスリクエスト条件を作成する

アクセスリクエスト条件を使用することで、アプリへのアクセスを要求するプロセスを合理化できます。

開始する前に

  • スーパー管理者、またはアクセスリクエスト管理者とアプリ管理者の両方のロールが割り当てられたユーザーとしてAdmin Consoleにサインインします。

  • アクセスリクエスト条件およびリソースカタログ機能を有効にします。

  • エンタイトルメントバンドルを使ってアクセスレベルを定義するには、アプリのGovernance Engineを有効化し、エンタイトルメントとバンドルを作成します。

  • 管理者ロールのアクセスリクエストの合理化については、代わりに「Okta管理者ロールを管理する」と「アクセスリクエスト管理者ロール」を参照してください。

このタスクを開始する

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. アプリを選択し、アプリのプロファイルページの[アクセスリクエスト]タブに移動します。

  3. [+ Create condition(+条件を作成)]をクリックします。

  4. 要求者スコープセクションで次のいずれかのオプションを選択し、アクセスを要求できるユーザーを定義します。

    • Everyone in the organization(組織の全員)
    • Specific groups(特定のグループ)

  5. アクセスレベルセクションで次のいずれかのオプションを選択し、ユーザーが要求できるアプリへのアクセスレベルを定義します。

    • [Only app(アプリのみ)]:アプリへのデフォルトアクセスをユーザーに提供するときは、このオプションを選択します。

    • [Groups associated with the app(アプリに関連付けられているグループ)]:ユーザーが要求できるグループを選択します。アプリケーションに割り当てられている、またはプッシュされているグループを選択できます。各グループは、ユーザーが選択できるオプションとして表示されます。

      アプリのGovernance Engineを有効にした場合、このオプションは表示されません。

    • [Entitlements associated with the app(アプリに関連付けられているエンタイトルメント)]:ユーザーが要求できるバンドルを選択します。

      このオプションは、アプリのGovernance Engineを有効にした場合にのみ利用できます。条件内で使用できるエンタイトルメントバンドルが少なくとも1つ作成されていることを確認してください。

  6. アクセス期間セクションで、トグルを有効にし、以下のいずれかのオプションを選択します。

    • [Specify duration now(期間を今すぐ指定する)]:ユーザーのアクセスが期限切れになる時間を示します。

    • [Requester specifies the duration(要求者が期間を指定する)]:ユーザーがアクセスに必要な時間を指定することを許可します。オプションを制限するように[Maximum duration(最大期間)]を構成する必要があります。

  7. [Create(作成)]をクリックします。この条件はデフォルトで非アクティブ状態になります。

  8. ドラッグアンドドロップで条件を移動し、他の条件に対するその条件の優先度を定義します。Oktaでは、条件を有効化した後での条件の優先順位のみが考慮されます。

  9. 任意。条件を有効化して使用できるようにします。条件で参照しているアイテムがアクティブまたは使用可能であることを確認します。いずれかのアイテムが非アクティブである、または削除されている場合、条件を有効にしたときに、または要求者がリクエストを送信したときに条件は無効になります。

条件を作成したら、その条件の承認シーケンスを設定します。「承認シーケンスを構成する」を参照してください。

Okta Access Requestsアプリを承認者に割り当てて、承認者がリクエストを承認または拒否できるようにします。 「グループへの単一アプリの割り当て」または「アプリケーションをユーザーに割り当てる」を参照してください。

ユーザーエクスペリエンス

アプリのGovernance Engineを有効化すると、Oktaは、条件によってアクセスが許可されたユーザーのアクセス期限を削除します。これらのユーザーのアクセス期限を手動で更新することを検討してください。「ユーザーエンタイトルメントを管理する」を参照してください。

要求者が複数の条件の基準を満たしている場合は、最も優先度の高い条件によってリクエストの承認に使用される承認シーケンスが決定されます。要求者のグループメンバーシップが変更され、要求者が条件を満たさなくなると、その要求者はそれらの条件で管理されているグループ、エンタイトルメント、またはバンドルを要求できなくなります。既存の割り当ては影響を受けません。

要求者、リクエストの割り当て先、および承認者のエクスペリエンスを理解するには、「リクエストの作成」、「リクエストの管理」、「タスクの管理」を参照してください。

関連項目

アクセスリクエスト条件を管理する

承認シーケンスを構成する