ロールの権限

このトピックでは、カスタム管理者ロールに追加できるロール権限について説明します。

ユーザー権限

権限

説明

ユーザーの管理 代理管理者に、ユーザーのすべてのプロファイルと認証情報の表示・作成・編集・削除を実行できる権限を付与します。
この権限を持つ代理管理者は、ユーザー資格情報フィールドのみ管理でき、資格情報の値自体は管理できません。
ユーザーの作成 代理管理者に、ユーザーの作成権限を付与します。
ユーザーのプロファイル属性を編集 代理管理者に、ユーザーのプロファイル属性の値のみを編集できる権限を付与します。
ただし、この権限では、代理管理者がディレクトリのプロファイルページからカスタム属性を作成または編集したり、プロファイルマッピングを管理したりすることはできません。
ユーザーのライフサイクルの状態の編集* 代理管理者に、ユーザーのライフサイクル操作(ユーザーのアクティブ化、非アクティブ化、再アクティブ化、一時停止など)を管理する権限を付与します。
ユーザーをアクティブ化* 代理管理者に、ユーザーアカウントをアクティブ化する権限を付与します。
ユーザーを非アクティブ化* 代理管理者に、ユーザーアカウントを非アクティブ化する権限を付与します。
ユーザーを一時停止* 代理管理者に、ユーザーによるOktaへのアクセスを一時停止する権限を付与します。ユーザーからのアクセスが一時停止されると、そのユーザーセッションもクリアされます。
ユーザーの一時停止を解除* 代理管理者に、ユーザーによるOktaへのアクセスを復元する権限を付与します。
ユーザーを削除* 代理管理者に、ユーザーアカウントを完全に削除する権限を付与します。
ユーザーのロックを解除* 代理管理者に、Oktaからロックアウトされたユーザーのロックを解除する権限を付与します。
ユーザーのセッションを消去* 代理管理者に、エンドユーザーのすべてのアクティブなOktaセッションとOAuthトークンをクリアする権限を付与します。
ユーザーのAuthenticator操作を編集* 代理管理者に、ユーザーの認証操作(パスワードのリセットや、YubiKeyの登録を含む多要素認証(MFA)など)を管理する権限を付与します。
ユーザーのAuthenticatorをリセット* 代理管理者に、ユーザーのMFA認証をリセットする権限を付与します。
ユーザーのパスワードをリセット* 代理管理者に、ユーザーのパスワードをリセットする権限を付与します。
ユーザーの一時パスワードを設定* 代理管理者に、ユーザーのパスワードを期限切れにし、新しい一時パスワードを設定する権限を付与します。
ユーザーとその詳細情報を表示 代理管理者に、ユーザーのプロファイルおよび認証情報を読み取る権限を付与します。
この権限を持つ代理管理者は、ユーザー資格情報フィールドのみ表示でき、資格情報の値自体は表示できません。
ユーザーのグループメンバーシップを編集* 代理管理者に、ユーザーのグループメンバーシップを管理する権限を付与します。

また、代理管理者には、ユーザーを追加できるグループに対してグループ権限セクションにある[Manage group membership(グループメンバーシップを管理する)]権限も必要となります。

ユーザーのアプリケーション割り当ての編集* 代理管理者に、ユーザーのアプリ割り当てを管理する権限を付与します。

また、代理管理者には、アプリケーション権限セクションの[Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)]権限も必要です。これにより、代理管理者はユーザーに割り当てるアプリを表示、選択できます。

APIトークンの管理 トークンを消去/表示する権限を代理管理者に付与します。
APIトークンを表示 トークンを表示する権限を代理管理者に付与します。

* — これらの権限は、[Username(ユーザー名)][First name(名)][Last name(姓)][Primary email(プライマリメール)]、および[Mobile phone(携帯電話)]プロファイル属性への表示専用アクセスを付与します。

Oktaソースのグループ、ADソースのグループ、LDAPソースのグループをリソースとして使用できます。ただし、次の権限はADソースのグループおよびLDAPソースのグループに対しては適用されません。

  • ユーザーの作成
  • ユーザーのAuthenticator操作を管理
  • ユーザーのプロファイル属性を編集
  • グループメンバーシップの管理

グループ権限

権限

説明

グループの管理 代理管理者に、orgのグループを表示、作成、編集、削除する権限を付与します。
グループの作成 管理者ロールの割り当てがorg全体に制限されている場合、代理管理者にグループを作成する権限を付与します。
グループの表示 代理管理者に、orgのグループと、そのグループに割り当てられているユーザーおよびアプリのみを表示する権限を付与します。
グループメンバーシップの管理 代理管理者に、orgのグループ内のユーザーメンバーシップを表示、編集、および削除する権限を付与します。

また、代理管理者がグループに追加できるユーザーを表示および選択するには、ユーザー権限セクションの[Edit users' group membership(ユーザーのグループメンバーシップを編集する)]権限も必要です。

グループのアプリケーション割り当ての編集 代理管理者に、グループのアプリ割り当てを管理する権限を付与します。

また、代理管理者には、アプリケーション権限セクションの[Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)]権限も必要です。これにより、代理管理者はグループに追加できるアプリを表示、選択できるようになります。

IDおよびアクセス管理権限

権限

説明

ロール、リソース、管理者割り当ての表示 代理管理者に、org内のロール、リソースセット、管理者割り当ての表示専用権限を付与します。Admin Consoleで情報を表示するには、これらの権限も必要になります。
  • View users and their details permission(ユーザーとその詳細情報を表示する権限):代理管理者はorgの管理者を表示することができます。この権限はユーザー権限セクションに表示されます。
  • View applications and their details(アプリケーションとその詳細情報を表示):代理管理者はアプリを表示することができます。この権限はアプリケーション権限セクションに表示されます。
また、この権限を持つ管理者に読み取り専用管理者ロールを割り当てて、Admin Consoleへの完全な読み取り専用アクセス権を付与する方法もあります。

アプリケーション権限

権限

説明

アプリケーションの管理 代理管理者に、orgのアプリを表示、作成、編集、削除する権限を付与します。
アプリケーションとその詳細情報の表示 代理管理者に、orgに割り当てられているアプリのみを表示する権限を付与します。
クライアント資格情報の表示 OAuthクライアントシークレットを表示する権限を代理管理者に付与します。

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

アプリケーションの一般設定の管理

代理管理者に、org内のアプリの一般設定のみを管理する権限を付与します。
アプリのユーザー割り当ての編集 代理管理者に、アプリに割り当てられているユーザーを管理する権限を付与します。

また、代理管理者には、グループ権限セクションの[Edit groups' application assignments(グループのアプリケーションの割り当てを編集する)]権限、またはユーザー権限セクションの[Edit users' application assignments(ユーザーのアプリケーションの割り当てを編集する)]権限も必要です。これにより、代理管理者はアプリに追加されるユーザーまたはユーザーグループを表示、選択できるようになります。

代理管理者に、次のプロビジョニングエラータスクを表示する権限を付与します。

  • Application assignments encountered errors(アプリケーションの割り当て中にエラーが発生しました)
  • Group push mapping encountered errors(グループプッシュマッピングでエラーが発生しました)
  • Profile push updates encountered errors(プロファイルプッシュの更新中にエラーが発生しました)

タスクを監視する」を参照してください。

サポート権限

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

権限

説明

Oktaサポートケースの表示、作成、管理

代理管理者に、代理管理者が開いたサポートケースを管理する権限を付与します。

Oktaはこの権限をorgに徐々に展開しているため、まだ利用できない可能性があります。

プロファイルソース権限

権限

説明

インポートの実行 HRaaS、AD/LDAPアプリなどのアプリにプロファイルソースのインポートを実行する権限を付与します。この権限を持つ管理者は、インポートを通じてユーザーを作成できます。

代理管理者が、インポートに含まれる既存のユーザーを変更するには、[User permissions(ユーザー権限)]セクションの[Edit users' profile attributes(ユーザーのプロファイル属性を編集する)]権限が必要です。

ワークフロー権限

権限

説明

委任されたフローの実行 フローをOkta Admin Consoleから実行する権限を委任管理者に付与します。
委任されたフローの表示 代理管理者に、Admin Consoleでフローを表示する権限のみを付与します。

認証サーバー権限

権限

説明
認可サーバーの管理 代理管理者に、orgの認可サーバーを表示、作成、編集、削除する権限を付与します。
認可サーバーの表示 代理管理者に、orgの認可サーバーの表示のみを実行する権限を付与します。

カスタマイズ権限

権限

説明

カスタマイズの管理 代理管理者に、orgのブランディングのカスタマイズを表示、作成、編集、および削除する権限を付与します。
カスタマイズの表示 代理管理者に、orgのブランディングのカスタマイズの表示のみを実行する権限を付与します。

ディレクトリ権限

権限

説明

ディレクトリの管理 代理管理者に、orgのディレクトリ統合アプリを表示、作成、編集、削除する権限を付与します。

アプリのユーザー割り当てを管理し、そのようなアプリのインポートを行うには、ユーザーとグループに権限が必要になる場合があります。

ディレクトリの表示 代理管理者に、ディレクトリ統合アプリとその詳細の表示のみを実行する権限を付与します。

IDプロバイダー権限

権限

説明

IDプロバイダーの管理 代理管理者に、IdP構成を表示、作成、編集、削除する権限を付与します。
IDプロバイダーの表示 代理管理者に、IdP構成の表示のみを実行する権限を付与します。

デバイス権限

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

権限

説明

デバイスの管理 代理管理者に、orgのデバイスを表示、一時停止、停止解除、アクティブ化、非アクティブ化、削除する権限を付与します。
デバイスの表示 代理管理者に、orgのデバイスを表示する権限を付与します。
デバイスのアクティブ化 代理管理者に、orgのデバイスを表示およびアクティブ化する権限を付与します。
デバイスの非アクティブ化 代理管理者に、orgのデバイスを表示および非アクティブ化する権限を付与します。

代理管理者がデバイスを非アクティブ化すると、登録済み要素が非アクティブ化され、アクティブ化された際にユーザーは要素をデバイスに再登録する必要があります。「デバイス・ライフサイクル」を参照してください。

デバイスの一時停止 代理管理者に、orgのデバイスを表示および一時停止する権限を付与します。
デバイスの停止解除 代理管理者に、orgのデバイスを表示および停止解除する権限を付与します。
デバイスの削除 代理管理者に、orgのデバイスを表示および削除する権限を付与します。

領域権限

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

権限

説明

領域の管理 代理領域管理者に、orgの複数の領域を管理する権限を付与します。
ユーザーの管理 代理領域管理者に、ユーザーを追加・削除する権限とユーザーを領域間で移動する権限を付与します。

代理管理者がユーザーを領域間で移動するには、[領域の管理]権限が必要です。

代理領域管理者はロール内できめ細かい権限を設定することもできます。たとえば、領域内のユーザーにグループメンバーシップ権限とアプリ権限を付与する場合は、リソースセットにあるアプリまたはグループにそれらの権限を割り当てることができます。

Secure Partner Access権限

早期アクセスリリース

権限 説明
ユーザーの管理 パートナーの委任管理者が以下を行えるようにします:
  • ユーザーのライフサイクル状態を編集
  • ユーザーを表示*
  • ユーザーのAuthenticator操作を編集
  • ユーザープロファイル属性を編集*
  • ユーザーのアプリ割り当てを編集
  • ユーザーを作成
  • ユーザーのグループメンバーシップを編集
グループの管理

パートナーの委任管理者がグループを表示して、グループメンバーシップを管理できるようにします。

レルムの表示 パートナーの委任管理者がレルムを表示できるようにします。
アプリの管理 パートナーの委任管理者がアプリを表示して、アプリのユーザー割り当てを編集できるようにします。
ポリシーの表示 パートナーの委任管理者がポリシーを表示できるようにします。

*権限では、Last name(姓)First name(名)Username(ユーザー名)Primary email(プライマリメール)Secondary email(セカンダリメール)Primary phone(プライマリ電話)Mobile phone(モバイル)Middle name(ミドルネーム)の属性にのみアクセスが付与されます。

エージェント権限

権限

説明

エージェントの表示 委任管理者に、エージェントのステータスを表示する権限とエージェントをダウンロードする権限を付与します。
エージェントの登録 委任管理者に、エージェントとドメインを登録する権限を付与します。
エージェントの管理 委任管理者に、エージェントコミュニケーションを管理する権限とエージェントをアップデートする権限を付与します。

関連項目

ロールの作成

リソースセットの作成