Identity Governance

Okta Identity Governance (OIG)を使用すると、ユーザーに必要なアクセス権のみが付与され、それ以上のアクセス権は付与されないようになります。これは、複数のシステム間でユーザーIDとアクセスライフサイクルを管理し、会社の全体的なセキュリティを向上させるのに役立ちます。

メリット

最小特権アクセスモデルを採用
重要なリソースへのアクセスの作成、保護、監査を行い、管理されていないアイデンティティに関連するリスクを低減します。
従業員の生産性の向上
新入社員に基本アプリケーションを自動的にプロビジョニングし、追加のリソースへのアクセスをリクエストできるようにします。
IT効率の向上
タスクを自動化して、手動のデータ入力とプロビジョニングタスクに関連する時間とエラーを削減します。

仕組み

Okta Identity Governanceは、次の3つのOktaサービスで構成されています。Lifecycle Management (LCM)、Workflows、およびアクセスガバナンスです。これらのサービスを組み合わせると、orgに最小限の特権アクセスモデルを採用するのに役立ちます。

LCMとWorkflowsは、ユーザーのIDライフサイクル全体にわたってアクセスフルフィルメントと権利タスクを簡素化します。Lifecycle Managementは、ユーザー、グループ(およびグループ所有者)、アプリ、ルール、割り当て、およびこれらに関連付けられているその他の属性を管理するのに役立ちます。ディレクトリ統合、プロファイルマッピング、Okta Integration Networkコネクター、SCIM統合(SCIMと権利の統合を含む)、オンプレミスプロビジョニング(OPP)、パートナー統合などのIDライフサイクルプロセスに取り組むことができます。

Okta Workflowsは、カスタムアクションを自動化するためのノーコードまたはローコードフローを構築するのに役立ちます。OIG固有のシステムログイベントを使用して、Okta Workflowsを使用してカスタムアクションを実行することもできます。

2つのオファリングは、アクセスガバナンスと連携して、グループ、アプリ、アプリの権利、およびOkta管理者ロールへのアクセスを要求および確認するプロセスを合理化します。Okta Access Governanceは、次のコンポーネントで構成されます。

アクセス認定
アクセス認定キャンペーンを使用して、ユーザーのリソースへのアクセスを定期的に確認し、レビュー担当者の決定に基づいてアクセスを自動的に承認または取り消します。キャンペーンを頻繁に実行すると、ユーザーが必要なレベルのアクセスのみを保持できるようになります。また、キャンペーンは、監査とコンプライアンスの要件や、SOC2やSOXなどの専門的な基準を満たすのにも役立ちます。
アクセス認定は、Okta Workflowsを通じて拡張できます。
アクセスリクエスト
アクセスリクエストは、アプリ、アプリの権限、グループなどのリソースへのアクセスをリクエストして承認するプロセスを合理化します。リソースの条件またはリクエストタイプを作成して、アクセスを必要とするユーザーのみがアクセスをリクエストできるようにすることができます。
ユーザーは、エンドユーザーダッシュボードから直接リソースへのアクセスをリクエストできます。リクエストを承認のためにどのようにルーティングするか、および承認または拒否の結果として自動的に実行されるべき委任フローによるカスタムアクションを含むアクションを定義できます。
エンタイトルメント管理
エンタイトルメント管理を使用して、OktaAdmin Consoleからさまざまなアプリのエンタイトルメントをインポート、作成、および管理します。エンタイトルメントポリシーを作成して、ユーザーのプロファイル属性に基づいてエンタイトルメントを割り当てたり、ユーザーがアプリへの適切なレベルのアクセス権を持つようにエンタイトルメントを個別に割り当てたりすることができます。
レポート、API、およびSystem Logイベント
アクセスガバナンス固有のレポートを使用して、過去の認証キャンペーンの概要と、過去のリソースアクセスリクエストおよびキャンペーンの詳細を取得します。IDガバナンスAPIを使用すると、エンタイトルメント、アクセスリクエスト、キャンペーン、またはレポートに関連するさまざまなタスクを実行できます。さらに、Okta Identity Governance固有のシステムログイベントを使用して、Okta Workflowsを使用してカスタムアクションを実行できます。

はじめに

LCMセットアップを構成したら、次の項目のいずれかを開始できます。

さらに、Okta Identity Governanceのスペシャリストおよびコミュニティと連携するには、OIG Office HoursセッションOIGナレッジベースを参照してください。