管理者ロールへのアクセスを確認する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

アクセス認定キャンペーンを使用して、管理者ロールアクセスをレビューする必要があるユーザー、アクセスをレビューするユーザー、およびレビュアーがアクセスを承認または拒否したときに行われる修復アクションを決定します。

キャンペーンで1つ以上のレビューアイテムが割り当てられているユーザーには、ダッシュボードのOktaアクセス認定レビューアプリへのアクセス権が付与されます。レビュアーはこのアプリを使用し、キャンペーンでレビュアーの決定を必要とするレビューアイテムを表示してから、ユーザーのアクセスを承認または取り消すことができます。

管理者ロールを管理するキャンペーンでは、セルフレビューはデフォルトで無効になっています。つまり、管理者は自分のレビューアイテムの承認、取り消し、または再割り当てを行うことができません。

ベストプラクティス

  • レビュアーは自分の決定を下す前にその決定を確認する必要があります。レビュアーがレビューアイテムに関する決定を送信すると、それは最終的なものとなり、変更できません。

  • レビュアーがビジネス上の正当性を追加して自分の決定に関するコンテキストを提供すると、ノートがレビュアー自身、スーパー管理者、キャンペーンの作成者に表示されます。

  • マルチレベルレビューが設定されたキャンペーンでは、次の事項を考慮してください。

    • 一部のレビューアイテムは、第2レベルのレビュアーに送信されます。

    • 第2レベルのレビュアーが決定を下すことができるのは、第1レベルのレビュアーがレビューアイテムを承認または取り消した後のみです。キャンペーンの進捗を妨害しないためには、第1レベルのレビュアーがレビューを予定どおりに完了することが重要です。

    • 第2レベルのレビュアーは、レビューアイテムに関する第1レベルのレビュアーの決定とその理由を表示できます。

    • 最終レビュアーは、キャンペーンの構成によって異なります。

    • 修復は、最終レビュアーの決定に対してのみ行われます。「修復設定」を参照してください。

  • レビューアイテムを再割り当てする際の考慮事項を以下に示します。

    • 管理者ロールへのユーザーのアクセスをレビューするキャンペーンのレビューアイテムを再割り当てできるのはスーパー管理者だけです。

    • レビューアイテムを再割り当てしても、キャンペーンの終了日は延長されません。新しいレビュアーは、キャンペーンが終了する前にアクセスを承認または取り消す必要があります。

    • スーパー管理者がレビューアイテムを再割り当てしたレビュアーは、スーパー管理者が提供した、レビューアイテムを再割り当てする正当な理由を表示できます。

このタスクを開始する

  1. レビュアーは、End-User Dashboardで[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]をクリックします。

  2. [My reviews(担当のレビュー)]ページで[Open(開く)]タブに移動し、レビューを開始するアクセス認定キャンペーンを選択します。

  3. レビューアイテムを選択し、ユーザーとリソース、およびユーザーのリソース使用状況に関する詳細情報を表示します。

    [レビューの詳細]ペインには次のセクションがあります。

    • [ユーザーの詳細]:ユーザーのOkta内のプロファイルから直接取得された情報。

    • [リソースの詳細]:このセクションには次の情報が含まれます。

      • レビューされているアプリケーション。

      • ユーザーが最後にアプリケーションにアクセスした日時と、アクセスに関連する以前のレビュー。レビュアーがレビューを完了したら、スーパー管理者はそのレビュアーの決定とビジネス上の正当性、および行った修復を確認することもできます。

      • アプリケーションに対するユーザーのアクセスが最後にレビューされた日時。

      • アプリケーションがユーザーに割り当てられた時。

      • ユーザーがリソースに対して持っているエンタイトルメント。

    • [履歴]:このセクションには、最初の割り当てに関する詳細、再割り当てのビジネス上の正当性、割り当てられたレビュアーの詳細、およびレビュアーの決定などの有用な情報が含まれています。

  4. [Approve(承認)]または[Revoke(取り消し)]をクリックし、自分の決定のビジネス上の正当性を入力します。アクセスを承認または取り消すと、直ちに修復プロセスが開始されます。

    レビュアー(スーパー管理者ではない)はレビューアイテムを別のユーザーに再割り当てできません。

  5. [Submit(送信)]をクリックします。

レビュアーは、キャンペーンページのカウントを使ってレビュー指標を監視できます。さらに、すでにレビューが完了しているアイテムをキャンペーンページの[終了済み]タブで参照できます。[終了済み]タブでは、[Resource(リソース)]および[Decision(決定)]でフィルタリングし、特定のユーザーで検索できます。