グループルールを作成する
基本条件またはOkta式言語を使用してルールを作成できます。どちらの方法も個別ユーザーを除外できます。また、どちらの場合も属性はOktaユーザープロファイルに起因していなくてはなりません。Workday、Active Directory、またはその他のソースに起因する属性を評価するには、まずそれらをOktaユーザープロファイル属性リストにマップする必要があります。
- 管理コンソールで、[Directory(ディレクトリ)]>[Groups(グループ)]に移動します。
- [Rules(ルール)]タブを選択し、[Add Rule(ルールの追加)]をクリックします。
- ルールの名前を入力します。
- IF条件については、次のいずれかのオプションを選択します。
- [Use basic condition(基本条件を使用)]:ドロップダウンリストからオプションを選択し、文字列属性のみを使用してルールを作成します。1つの属性や、1または複数のグループのみから作成する場合など、簡単なルールを作成する場合はこの方法を使用します。
- [Use Okta Expression Language (advanced)(Okta式言語を使用:上級)]:カスタム式を用いて複雑なルールを作成する場合はこのオプションを選択します。1つまたは複数の属性、1つまたは複数のグループ、または属性とグループの組み合わせからルールを作成できます。
- 制約事項:式には有効な構文が含まれ、論理演算子を使用し、Okta式言語を用いている必要があります。式はブール値で評価され、式に代入(=)演算子を含めることはできません。式で使用されるユーザー属性は利用可能なOktaユーザー属性のみ参照できます。
- サポートされる関数:AND演算子、OR演算子、「!」演算子(NOT演算子)および <、> <=、>=などの標準算術演算子。同等性のチェックには、「=」の代わりに「==」 を使用します。ほとんどの関数がOkta式言語でサポートされます。ただし、グループルールのカスタム式のコンテキストでサポートされるのは、グループ属性とユーザー属性のみです。アプリケーション属性を使用したカスタム式を使用することはできません。
- 有効な条件式の例:ユーザーが以下のタイプの属性を持つと仮定します。
- firstName(文字列)
- lastName(文字列)
- city(文字列)
- salary (整数)
- isContractor(ブール値)
次の場合
条件式
割り当てるグループ(またはアクション)
指定 String.stringContains(user.firstName, "dummy") dummyUsers 指定 user.city == "San Francisco" sfo 指定 user.salary > 1000000 expensiveEmployee 指定 ! user.isContractor fullTimeEmployees 指定 user.salary > 1000000 AND !user.isContractor expensiveFullTimeEmployee
- [Then Assign to(割り当て先)]フィールドに、ルール条件を満たした場合にユーザーが追加されるグループを1つまたは複数入力します。最大100のグループにユーザーを追加できます。
- [Except The following users(以下のユーザーを除く)]フィールドに、ルールから除外するユーザーの名前を入力します。最大100のユーザーをルールから除外できます。
- [Save(保存)]をクリックします。
注:ルール管理対象ユーザーがグループから手動で削除された場合、そのユーザーはルールの[Except The following users(以下のユーザーを除く)]フィールドに自動的に追加されます。
ルールが作成、保存された後、ルールはデフォルトで非アクティブになります。アクティベートすると、org全体に適用されます。その後、インポート、直接更新、またはその他の変更を通じてユーザーのプロファイルがアップデートされたときに新しいルールが特定のユーザーに対して実施されます。
[Pending(保留中)]または[Inactive(非アクティブ)]状態のユーザーは、割り当てられたグループに移動できません。