グループルール
グループルールはグループの管理を簡素化し、アプリケーションへのアクセス、アプリケーションのルール、およびセキュリティ基本方針の管理に役立ちます。
グループは、Oktaのシングルサインオン(SSO)アクセスや、特定のエンタイトルメントを持つアプリにユーザーをプロビジョニングするためによく使われます。属性に基づいてグループに自動入力するルールを使用すると、属性ベースのアクセス制御が有効になります。ルールは、単一または複数の属性、単一または複数のグループ、または属性とグループの組み合わせで作成できます。
グループルールは、以下のように使用できます。
-
複数のActive Directory(AD)グループを1つのOktagroupグループにマッピングします。ルールで、OktaのグループをADグループにマッピングすることができます。
-
ユーザー属性に基づいてADグループに入力します。ルールは、OktaがユーザーやグループをADにプロビジョニングする「Workday(WD)をソースに使用する」設定で特に有効です。たとえば、WDのcost center(コストセンター)属性を使用して、ADグループのメンバーシップを決定します。
-
グループの管理を簡素化します。ユーザーをグループに手動で追加する代わりに、必要な属性を持つユーザーを自動的に追加するルールを定義することができます。たとえば、「sales(営業)」というdepartment(部署)プロファイル属性値を持つユーザーは、Sales(営業)グループに自動的に追加されます。ユーザーのdepartment(部署)属性が変更された場合、そのユーザーは自動的にSales(営業)グループから削除されます。
-
プロビジョニングを自動化します。ユーザーをアプリに手動でプロビジョニングする代わりに、必要な属性を使用してユーザーを自動的にプロビジョニングするルールを定義できます。たとえば、ユーザーのプロファイル属性が==Xの場合、アプリYをロールZでプロビジョニングします。
次の制限事項に注意してください。
- orgは最大2000個のルールを持つことができます。
- グループルールを使ってユーザーを管理者グループに割り当てることはできません。
- 文字列属性は、基本条件グループルールでのみ使用できます。
- すでにグループルールのターゲットとなっているグループに、管理者権限を付与することはできません。
- ルールを編集できるのはスーパー管理者とorg管理者のみです。
- すべてのグループを管理しているグループ管理者のみが、ルールを検索して表示することができます。個々のグループ管理者は、ルールを検索したり表示したりすることはできません。