Okta管理者ロールを管理する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
orgの適格性によっては、Okta管理者ロールの管理を利用できない場合があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。
Govern Okta管理者ロールは、管理者ロールへのアクセスのリクエストおよび承認に関連するプロセスを合理化します。これはorgの管理者ロールにアクセスできるユーザー、それらのユーザーのアクセスレベル、およびアクセス期間を制御するのに役立ちます。この機能により、ユーザーは管理者ロールへの期限付きアクセスを簡単にリクエストでき、orgはユーザーが管理者ロールを必要としなくなったときにロールを簡単に取り消すことができます。
仕組み
この機能を使用し始める前に、以下の概念について理解を深めておく必要があります。
-
管理者ロールバンドルはロールとリソースセットの組み合わせです。Govern Okta管理者ロールでは、管理者ロールバンドルがAdmin Consoleに関連付けられているエンタイトルメントのグループとして扱われます。
-
アクセスリクエストを使用すると、管理者ロールバンドルへのアクセスをリクエストするプロセスを合理化できます。これにより、ユーザーはリクエストを送信し、それらのリクエストを承認者に自動的に送信してアクションを求めることが簡単かつ安全にできます。リクエストが承認されると、ユーザーはリクエストした管理者ロールに期限付きでアクセスできるようになります。
-
アクセス認定は、ユーザーの管理者ロールの割り当てのレビュー、承認、および取り消しを定期的に行う監査キャンペーンを作成するのに役立ちます。これにより、リソースへの昇格または特権アクセスの蓄積を回避できます。
[管理者]ページでは、orgの管理者ロールと1つ以上のリソースを組み合わせる管理者ロールバンドルを作成できます。管理者ロールバンドルを作成したら、そのバンドルのアクセスリクエスト条件を構成できます。
条件では、管理者ロールバンドルへのアクセスをリクエストするためのルールを定義できます。リクエストを行えるユーザー、それらのユーザーがリクエストできる管理者ロールバンドル、およびアクセス期間を定義できます。条件を使用してユーザーのリクエストの承認シーケンスを選択することもできます。承認シーケンスは、管理者ロールバンドルを付与するための一連のステップです。ユーザーがアクセスリクエストを送信すると、設定されたシーケンスの承認者が承認タスクを割り当てられます。
orgの管理者ロールバンドル、条件、承認シーケンスを定義したら、ユーザーがEnd-User Dashboardから直接アクセスリクエストを送信できるようになります。リクエストが承認されると、ユーザーは管理者ロールを期限付きで付与されます。
アクセス認定を使用すると、管理者ロールバンドルが割り当てられたユーザーをレビューし、必要に応じてアクセスを取り消す監査キャンペーンを作成できます。これにより、orgの重要なリソースが保護され、適切なユーザーしかそれらのリソースにアクセスできなくなります。
管理者ロールバンドルとその有効期限は管理者ロールの割り当てレポートで確認できます。Okta Identity Governanceをサブスクライブしている場合は、過去のキャンペーンの詳細レポート、過去のキャンペーンの概要レポート、ユーザーエンタイトルメントレポートを使用することもできます。
利点
The Govern Okta管理者ロール機能は、次の重要なセキュリティ機能を提供します。
- orgは、orgの管理者ロールとリソースにアクセスできるユーザーをより適切に制御できます。
- 期限付きの管理者アクセスにより、機密性の高い権限とリソースが確実に保護されます。
- 不要な固定の管理者割り当てが排除されます。
- ユーザーは管理者アクセスを簡単にリクエストでき、orgはそのアクセスを迅速に付与および取り消すことができます。
- キャンペーンを使用すると、ユーザーの管理者ロールの割り当てを定期的にレビューして昇格または特権アクセスの蓄積を回避できます。
Govern Okta管理者ロールでは、他のWorkforce Identity Cloudサブスクリプションで使用されるものとは異なるセキュリティ制御とサブプロセッサーを使用する場合があります。詳細については、「Oktaの信頼およびコンプライアンスに関するドキュメント」を参照してください。