標準的な管理者ロールと権限
これらの表を使用して、Oktaの機能、設定、タスクの標準管理者権限を比較します。
スーパー管理者は、orgのすべての管理タスクを実行し、完全な管理アクセス権を持つことができます。
org全体の設定
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
レポートを表示および実行する | ● | ● | ● | ● | ● | |||||||
Oktaの設定(テーマ、ロゴ、連絡先情報)を表示する | ● | ● | ● | ● | ||||||||
Oktaサポートにアクセス権を付与する | ● | |||||||||||
Profile Editorを管理する | ● | ● | ● | ●* | ||||||||
プロファイルマッピングを管理する | ● | ● | ●* | |||||||||
機密属性を管理する | ● | |||||||||||
Oktaの設定を編集する | ● | ● | ||||||||||
管理者を追加、削除、表示する | ● | |||||||||||
認証サーバーのスコープ、クレーム、ポリシーを追加、削除、編集する | ● | ● | ||||||||||
認証サーバーのスコープ、クレーム、ポリシーを表示する | ● | ● | ● | ● | ||||||||
System Log(システムイベント)を表示する | ● | ● | ● | ● | ● | ● | ● | |||||
メールとSMSのテンプレートを編集する | ● | ● | ||||||||||
他の管理者のデフォルトのメール設定を編集する | ● | |||||||||||
Device Trustの有効化設定を表示する | ● | ● | ● | |||||||||
Device Trustの設定を有効化する | ● | ● | ||||||||||
タスクを閉じるまたは再試行する | ● | ● | ||||||||||
ユーザーにカスタム通知を送信する | ● | ● | ||||||||||
マルチブランドカスタマイゼーションを適用 | ● | ● | ||||||||||
CAPTCHAイネーブルメント設定を管理(有効化、無効化、更新) | ● | ● | ||||||||||
CAPTCHAイネーブルメント設定を表示 | ● | ● | ● | |||||||||
ログストリーミングを管理する | ● |
*:OIDCアプリにのみ権限が適用されます。
ユーザー管理
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
ユーザーを表示する | ● | ● | ●* | ● | ● | ● | ●* | ● | ● | ● | ● | |
ユーザーの作成 | ● | ● | ●* | |||||||||
ユーザーを削除する | ● | ● | ●* | |||||||||
ユーザーの一時停止 | ● | ●° | ●*° | |||||||||
ユーザーの非アクティブ化 | ● | ● | ●* | |||||||||
ユーザーのアクティブ化 | ● | ●° | ●*° | |||||||||
ユーザータイプを変更 | ● | ● | ●* | |||||||||
ユーザーをサインアウト | ● | ● | ●* | |||||||||
ユーザーセッションを削除 | ● | ●° | ●*° | ●*° | ||||||||
ログを表示 | ● | ●° | ●* | ●° | ●° | |||||||
プロファイルを編集する | ● | ● | ●* | ●^ | ||||||||
パスワードのリセット、MFAのリセット | ● | ● | ●* | ●* | ||||||||
ロックされたユーザーアカウントに関するメール通知を受信しないことを選択する | ● | ● | ●* | ● | ● | ● | ||||||
ユーザーの動作プロファイルをリセットする | ● | ● | ●* | ●* | ||||||||
ユーザーの動作プロファイルを表示する | ● | ● | ● | |||||||||
ユーザータイプを表示する |
● |
|
|
● |
● |
|
|
|
● |
|
*:管理者が管理を許可されているグループにのみ権限が適用されます。
^:プロファイルソースが構成されていないアプリのユーザーインポートにのみ権限が適用されます。
°:管理者はスーパー管理者に対してアクションを実行できます。
グループ管理
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
グループを表示する | ● | ● | ●* | ● | ● | ● | ●* | ● | ● | ● | ● | |
グループにユーザーを追加する | ● | ● | ●^ | ●* | ||||||||
割り当てられた管理者権限でグループにユーザーを追加する | ● | |||||||||||
グループからユーザーを削除する | ● | ● | ●^ | ●* | ||||||||
グループの作成 | ● | ● | ||||||||||
グループルールの表示 |
● |
● | ●° |
|
● |
|
|
|
|
|
|
|
グループルールの追加/編集/削除 |
● |
● |
|
|
|
|
|
|
|
|
||
グループに管理者権限を割り当てる | ● | |||||||||||
グループを削除する | ● | ● | ||||||||||
グループMFA要素を編集する |
● | ● | ● |
*:管理者が管理を許可されているグループにのみ権限が適用されます。
^:ユーザーの作成、追加、削除の権限は、グループ管理者が管理するグループにのみ適用されます。グループ管理者は、管理するグループで新しいユーザーを作成したり、管理するグループからユーザーを削除したり、管理するグループ間でユーザーを移動したりできます。
°:権限は、管理者にすべてのユーザーとグループへのアクセス権がある場合にのみ適用されます。
-
管理者ロールを持つグループを管理できるのは、スーパー管理者だけです。管理者ロールが後から割り当てられたグループへのアクセス権がグループ管理者に割り当てられている場合、そのグループ管理者はこのグループまたはグループメンバーに対して変更を行うことができなくなります。
-
グループプロファイル機能が有効になっているorgの場合、グループメンバーシップ管理者はグループの名前と説明を変更できません。
アプリケーション管理
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
アプリケーションまたはアプリケーションインスタンスを表示する | ● | ●^ | ● | ● | ●* | ● | ● | |||||
アプリケーションを追加および構成する | ● | ●^ | ●* | |||||||||
アプリケーションへのユーザーアクセスを割り当てる | ● | ●^ | ●* | |||||||||
アプリのインポートを介して段階的ステータスのユーザーを作成する | ● | ●^ |
*:OIDCアプリにのみ権限が適用されます。
^:アプリ管理者が管理を許可されているアプリケーションにのみ権限が適用されます。
モバイルポリシー
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
デバイスを表示および管理する | ● | ● | ● | |||||||||
Okta Mobileマネージャーを構成する | ● | ● | ● | |||||||||
ポリシーを表示する(モバイル) | ● | ● | ● | ● | ||||||||
APNSを設定する | ● | ● | ● | |||||||||
ポリシーを追加/更新/削除する | ● | ● | ● | |||||||||
ルールの追加、更新、削除 | ● | ● | ● | |||||||||
ポリシーをドラッグアンドドロップして優先順位付けする | ● | ● | ● |
モバイルデバイス
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
ユーザーセクションで[Mobile(モバイル)]タブを表示する | ● | ● | ● | ● | ||||||||
デバイスの詳細を表示する | ● | ● | ● | ● | ||||||||
デプロビジョニングする/PCを消去する/リモートロックする/リセットする | ● | ● | ● | |||||||||
[Mobile(モバイル)]タブからデプロビジョニング/リセットする | ● | ● | ● |
フック
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
フックを表示する | ● | |||||||||||
フックを作成・構成する | ● |
ポリシー
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
Oktaサインオン ポリシーの表示 | ● | ● | ● | ● | ||||||||
ポリシーを追加/更新/削除する | ● | ● | ●* | ● | ||||||||
ルールの追加、更新、削除 | ● | ● | ●* | ● | ||||||||
ポリシーをドラッグアンドドロップして優先順位付けする | ● | ● | ● | |||||||||
ポリシーのMFA要素の編集 | ● | ● | ● |
*:権限はアプリサインオンポリシーにのみ適用されます。
orgのセキュリティ
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
ネットワークゾーンを表示する | ● | ● | ● | ● | ||||||||
ネットワークゾーンの管理 | ● | ● | ||||||||||
orgの動作プロファイルを表示する | ● | ● | ● | |||||||||
orgの動作プロファイルを管理する | ● | ● | ||||||||||
Okta ThreatInsightの構成を表示する | ● | ● | ● | |||||||||
Okta ThreatInsightの構成を管理する | ● | ● |
多要素認証
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
MFA要素を構成する |
● | ● | ||||||||||
管理者ダッシュボードのMFAを有効化する | ● | |||||||||||
RADIUS Agentを承認する | ● | ● | ● | ● |
APIトークン
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
ユーザートークンを作成する | ●* | ●* | ●* | ●* | ●* | |||||||
ユーザートークンを表示する | ● | ● | ●^ | ●* | ● | ●* | ||||||
ユーザートークンを消去する | ● | ●* | ●* | ●* | ●^ | ●* | ||||||
ユーザーのソーシャルトークンを表示する | ● | ● | ● | ● | ||||||||
トークンを管理する | ● | ● | ●* | ●* |
*:自分自身にのみ権限が適用されます。
^:自分自身および対象のメンバーにのみ権限が適用されます。
OpenID Connectのエンドツーエンドのシナリオ
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
OIDCアプリを作成および変更する(OAuthクライアントの登録を含む)。 OIDCクライアントアプリに制限できる。 |
● | ● | ● | |||||||||
ソーシャルIDPを追加する | ● | ● | ||||||||||
APIを介してOAuthクライアントに読み取り専用でアクセスする | ● | ● | ● | ● | ● |
OMMアプリケーション
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
アプリの[Mobile(モバイル)]タブを表示する | ● | ● | ● | ● | ||||||||
EAS設定の編集と保存 | ● | ● | ||||||||||
ネイティブモバイルアクセスのチェックボックスの編集 | ● | ● |
OMM - WiFi(EA)
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
WiFiポリシーの表示 | ● | ● | ● | ● | ||||||||
ポリシーを追加/更新/削除する | ● | ● | ● | |||||||||
ルールの追加、更新、削除 | ● | ● | ● | |||||||||
ポリシーをドラッグアンドドロップして優先順位付けする | ● | ● | ● |
Identity Governance
アクセス認定管理者とアクセスリクエスト管理者のロールは、Okta Identity Governanceをサブスクライブしている場合にのみ利用できます。
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
すべてのキャンペーンを表示する | ● | ● | ||||||||||
キャンペーンを作成 | ● | ● | ||||||||||
スケジュールされたキャンペーンを編集/開始する | ● | ● | ||||||||||
アクティブなキャンペーンを終了する | ● | ● | ||||||||||
アクセスリクエスト内でユーザーアクセスアプリケーションを管理する | ● | ● | ||||||||||
アクセスリクエスト内で管理者としての役割を果たす | ● | ● |
領域
領域にはOkta Identity Governanceが必要です。詳細については、「Okta Identity Governance」を参照してください。
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
アクセスリクエスト管理者 |
アクセス認定管理者 |
---|---|---|---|---|---|---|---|---|---|---|---|---|
領域を作成する | ● | ● | ||||||||||
領域指定を表示する | ● | ● | ● | ● | ● | ● | ● | ● | ● | |||
領域を更新する |
● | ● | ||||||||||
領域を削除する | ● | ● | ||||||||||
ユーザー領域指定を更新する(ユーザーをある領域から別の領域に移動する) | ● | ● | ||||||||||
ユーザーを個別に移動する |
● | ● | ||||||||||
領域間でユーザーを一括移動する | ● | |||||||||||
領域割り当てを作成する |
● | |||||||||||
領域を含むワークフローを設定する | ● | ● | ● |
Workflows
Oktaスーパー管理者ロールとWorkflows管理者ロールには、Okta Workflows製品内の完全な管理権限があります。
Workflows管理者ロールには、Okta Admin Consoleでアクションを実行する権限はありません。
Workflows管理者ロールに割り当てられたユーザーまたはグループは、Okta org内の別のユーザーにWorkflows管理者ロールを割り当てることはできません。Okta Admin Consoleを通じてこのロールを割り当てることができるのは、Oktaスーパー管理者のみです。
Workflows管理者ロールを除くすべてのOkta Workflowsロールは、Workflowsコンソールを使ってユーザーおよびグループに割り当てられます。「Workflowロールを管理する」を参照してください。
このロールの権限の完全な概要については、「リソース権限」を参照してください。