Okta Identity Governanceを備えたレルム
Okta Identity Governance製品、アクセス認定、エンタイトルメント管理を備えたレルムを使用し、Okta Expression Languageを使用してユーザースコープを1つのレルムに制限できます。
アクセス認定を使用してレルムのユーザーを認定する
アクセス認定キャンペーンを使用して、レルムユーザーのリソースへのアクセスを定期的にレビューして認定します。
同様に、レルム管理者を含むユーザーをレビュアーとして割り当ててから、Okta Expression Languageを使用して、各レビュアーが管理対象のレルムのユーザーからの承認リクエストのみを受け取るようにすることができます。
ユーザーキャンペーンを作成してユーザーとレビュアーのスコープをレルム内の人々に制限するには、以下のオプションを選択します。
-
[ユーザー]ページで、[Custom (Okta Expression Language)(カスタム(Okta Expression Language))]を選択します。
-
[レビュアー]ページで、レビュアータイプに[Custom(カスタム)]を選択します。
次のサンプル式を使用できます。
| スコープ | ユースケース |
式のサンプル |
|---|---|---|
| ユーザー | 特定のレルムに属するユーザーのみをキャンペーンに含めます。 | user.realmId == "o4cbj6ybZl1QShj0g7"、またはuser.realmId == "guo4c8usniIlFgluO0g7"、またはuser.realmId == "guo4c7skrkbxDgJ140g7" |
| レビュアー | 特定のレルムに属するレビュアーを指定します。 | user.realmId == "guo4c8usniIlFgluO0g7" ? "jane@gmail.com":(user.realmId == "guo4c8usniIlFgluO0g7" ? "joe@gmail.com":"joea@gmail.com") |
詳細については、「Okta Expression Languageの例」を参照してください。
エンタイトルメント管理を使用してアプリケーションエンタイトルメントを構成する
エンタイトルメント管理を使用して、user.realmIdなどのユーザーのプロファイル属性に基づいてアプリエンタイトルメントポリシーを作成できます
ポリシーを作成するには、アプリのGovernance Engineを有効にする必要があります。
次のサンプル式を使用して、特定のレルムに属するユーザーをポリシーールールに含めることができます。
user.realmId == "o4cbj6ybZl1QShj0g7"、またはuser.realmId == "guo4c8usniIlFgluO0g7"、またはuser.realmId == "guo4c7skrkbxDgJ140g7"
詳細については、「Okta Expression Languageの例」を参照してください。