ユーザーキャンペーンを作成する

ユーザーキャンペーンは、ユーザーがアクセスできるすべてのリソースを表示します。ユーザーキャンペーンを頻繁に実行すると、ユーザーに最小特権のアクセス許可を割り当てることができます。これらのキャンペーンは、特にロールや部署、プロジェクトの変更でユーザーと組織との関係が変わる場合に、リソースに対するユーザーのアクセスを効率よく管理できるようにします。

特定のユーザーまたはユーザーグループを選択し、割り当てられたリソースを確認することができます。最大特権のアクセス許可は、ユーザーが要求するか、個別に割り当てられます。リソースに対して、グループメンバーシップやグループルールを通して付与されたアクセス権は、通常、レビュアーによるレビューを必要としません。ユーザーキャンペーンを使用すると、レビュー担当者がユーザーに個別に割り当てられたリソースとエンタイトルメントへのアクセスのみをレビューするだけでよいキャンペーンを設定できます。

リソースコレクション、およびリソースコレクション - ユーザーキャンペーンの認定機能を有効にした場合、ユーザーキャンペーンを実行して、コレクションへのアクセスを確認し、取り消すことができます。

開始する前の確認事項

  • 任意。決定を取り消す場合にのみ理由を必須にするなど、レビュアーのより詳細な理由の要件を構成するには、理由の要件のカスタマイズ(Customize Justification Requirements)機能を有効にします。「早期アクセス機能とBeta機能を管理する」を参照してください。

  • orgでリソースラベルが有効になっている場合、ユーザーキャンペーンではラベルはサポートされません。

  • 選択したレビュアーと最終レビュアーがOktaでアクティブになっていることを確認します。

  • orgでリソース所有者が有効になっている場合、グループ所有者(Group Owner)レビュアータイプの設定はリソース所有者(Resource Owner)と呼ばれます。グループ、アプリ、エンタイトルメント、エンタイトルメントバンドル、およびコレクションの所有者は、リソース所有者と見なされます。Oktaは、キャンペーン開始時にリソース所有者をレビュアーとして割り当てます。

    • エンタイトルメント所有者が利用できず、エンタイトルメントが含まれるバンドルがある場合、バンドルがキャンペーンのリソーススコープに含まれていれば、バンドル所有者がレビュアーとして割り当てられます。

    • エンタイトルメント所有者が利用できず、そのエンタイトルメントが含まれるバンドルがない場合は、アプリ所有者がレビュアーとして割り当てられます。

    • エンタイトルメントバンドル所有者が利用できない場合は、アプリ所有者がレビュアーとして割り当てられます。

    • アプリ所有者も利用できない場合は、Oktaはキャンペーンのレビュアー(Reviewer)設定で指定された最終レビュアーにレビューアイテムを割り当てます。

    • グループ所有者が利用できない場合は、Oktaはキャンペーンのレビュアー(Reviewer)設定で指定された最終レビュアーにレビューアイテムを割り当てます。

    • コレクション所有者が利用できない場合、レビューは最終レビュアーに割り当てられます。

  • 任意。一定期間、レビュアーが対応不可であることが判明している場合は、Admin Consoleからレビュアーの代理人を割り当てることができます。Admin Consoleから代理人を割り当てるを参照してください。レビュアータイプ(Reviewer type)グループ(Group)、またはグループ所有者(Group Owner)リソース所有者(Resource Owner)のキャンペーンでは、自身またはグループメンバーがグループのメンバーではない代理人を割り当てると、今後のレビューアイテムは既存のグループメンバーに加えて代理人にも割り当てられます。

  • 最大50のアプリ、グループ、またはその組み合わせを除外できます。

  • エンタイトルメント管理(Entitlement management)が有効になったアプリの場合、ユーザーにエンタイトルメントまたはバンドルが割り当てられている場合にのみ、ユーザーのレビューアイテムがレビュアーに提供されます。エンタイトルメントまたはバンドルが割り当てられていないユーザーのアクセスを確認するには、代わりにエンタイトルメントを確認する(Review entitlements)トグルをオフにしてリソースキャンペーン(Review entitlements)を作成します。

  • キャンペーン内のレビュー対象の数は、1~100,000の間である必要があります。大規模なキャンペーンをより適切に管理できるように、レビューを複数のキャンペーンに分割します。

  • 任意。Slackでレビュアーに通知するには、キャンペーンを開始する前に、Access CertificationにSlackを有効にする(Enable Slack for Access Certifications)トグルがオンになっていることを確認します。Slack通知を有効にするを参照してください。

キャンペーンをセットアップする

  1. Admin Consoleで、IDガバナンス(Identity Governance) > アクセス認定 > 認定キャンペーン(Certification campaigns)に移動します。

  2. キャンペーンを作成(Create campaign)をクリックします。

  3. キャンペーンを作成(Create campaign)(User campaign)ドロップダウンメニューからユーザーキャンペーン(User campaign)(Create campaign)をキャンペーンタイプに選択します。

  4. ウィザードで次の設定を構成してから、キャンペーンの日程を設定(Schedule campaign) をクリックします。

一般設定を構成する

次の設定を構成します。

  1. キャンペーン名(Campaign name):キャンペーンの名前を入力します。理想的には、レビュアーにとってわかりやすい名前を入力してください。
  2. 説明(Description):キャンペーンの目的を説明します。
  3. 開始日(Start date):キャンペーンの開始日を選択します。
  4. 開始時刻(Start time):キャンペーンの開始時刻とタイムゾーンを選択します。
  5. 所要時間(Duration):キャンペーンを実行する期間を選択します。マルチレベルレビュアーを使用したキャンペーンは、7日間以上の期間を設定する必要があります。
  6. 任意。これを繰り返す(Make this recurring)を選択して、キャンペーンの定期スケジュールを設定します。繰り返しキャンペーンを効率よく計画する方法については、「繰り返しキャンペーンに関する考慮事項」を参照してください。

ユーザーの設定を構成する

以下の1つのオプションを選択して、キャンペーンに含めるユーザーを定義します。

  • 個々のユーザー(Individual users):1人以上のユーザーを選択します。最大100人のユーザーを選択できます。

  • 特定のグループ(Specific groups):1つ以上のグループを選択します。最大5つのグループを選択できます。

  • カスタム([Custom)](Okta Expression Language)(Custom (Okta Expression Language))Okta式言語式を入力し、特定の基準を満たすユーザーまたはグループを含めます。式の結果は、ユーザーをキャンペーンに含める場合はtrue、キャンペーンから除外する場合はfalseになります。ユーザースコープを定義するを参照してください。

    レルム機能を有効にしたときは、このオプションを使ってキャンペーンのユーザースコープを特定のレルムに制限します。

リソースの設定を構成する

[リソースコレクション - ユーザーキャンペーンの認定]を有効にしてある場合は、リソースタイプがタイルとして表示され、すべてのリソース(All resources)チェックボックスがデフォルトで選択され、キャンペーンに含まれるユーザーに割り当てられているすべてのアプリ、グループ、コレクションが含まれます。個別に割り当てられたリソースを含めるために使用できるオプションは、選択するリソースタイプによって異なります。

  1. 以下のいずれかのオプションを選択して、キャンペーンに含めるリソースを定義します。

    • 先ほど選択したユーザーに割り当てられているすべてのアプリとグループを含めるか、ユーザーの管理者ロールの割り当てを確認したい場合は、すべてのアプリとグループ(All apps and groups)オプションを選択するか、アプリケーション(Application)およびグループ(Group)タイルの両方を選択します。

    • 先ほど選択したユーザーに割り当てられているすべてのアプリを含めるか、ユーザーの管理者ロールの割り当てを確認したい場合は、すべてのアプリ(All apps)オプションまたはアプリケーション(Application)タイルを選択します。

    • 先ほど選択したユーザーに割り当てられているすべてのグループを含める場合は、すべてのグループ(All groups)オプションまたはグループ(Group)タイルを選択します。キャンペーンにエンタイトルメントを含める、または管理者ロールを管理したい場合は、すべてのグループ(All groups)またはグループ(Group)を選択しないでください。

    • 先ほど選択したユーザーに割り当てられているすべてのコレクションを含める場合は、コレクション(Collection)を選択します。

  2. 任意。リソースのスコープをユーザーに個別に割り当てられたアプリに制限するには、個別に割り当てられたアプリのみを含める(Only include individually assigned apps) を選択します。

    グループによって割り当てられたアプリケーションは含まれません。ユーザーに割り当てられたアプリとグループの両方をレビューする際の余分なレビューを減らす(アプリとグループを割り当てるグループはすでにレビューされているため)ときは、このオプションを使用します。

  3. 任意。リソースのスコープをユーザーに個別に割り当てられたグループに制限するには、個別に割り当てられたグループのみを含める(Only include individually assigned groups)を選択します。グループルールによって割り当てられたグループを含めません。グループルールによって割り当てられたリソースに問題がなく、グループルール外で割り当てられたグループのみをレビューするときは、このオプションが役立ちます。

  4. 任意。エンタイトルメントポリシーによって割り当てられたエンタイトルメント除外する、またはグループ割り当てによって割り当てられた管理者ロールを除外するには、個別に割り当てられたエンタイトルメントのみを含める(Only include individually assigned entitlements)を選択します。

    キャンペーンでアプリのエンタイトルメントをレビューする場合は、アプリに対してGovernance Engineを有効にしたこと、およびエンタイトルメントを作成したことを確認します。 「エンタイトルメント管理 を開始する」を参照してください。

    エンタイトルメントまたはバンドルが割り当てられていないユーザーのアクセスを確認するには、代わりにエンタイトルメントを確認する(Review entitlements)トグルをオフにしてリソースキャンペーン(Review entitlements)を作成します。

  5. 管理者ロールを管理するキャンペーンを作成する場合は、Okta管理者ロールを含める(Include Okta admin roles)を選択して、ユーザーの管理者ロールの割り当てをレビューに含めます。それ以外の場合は、このステップをスキップしてください。

  6. 任意。特定のアプリをキャンペーンの対象から除外する(Exclude specific apps from the campaign)を選択して、キャンペーンから除外するアプリを指定します。

  7. 任意。特定のグループをキャンペーンの対象から除外する(Exclude specific groups from the campaign)を選択して、キャンペーンから除外するグループを指定します。

  8. 任意。特定のコレクションをキャンペーンの対象から除外する(Exclude specific collections from the campaign)を選択して、キャンペーンから除外するコレクションを指定します。

レビュアーの設定を構成する

  1. レビュアータイプを選択します:

    • ユーザー(Users):キャンペーン内のすべてのユーザーについて、アクセス認定のレビューを担当するレビュアーの名前を入力します。

    • マネージャー(Manager):Oktaでユーザーのプロファイルにリストされているユーザーのマネージャーにレビューアイテムを割り当てます。Oktaのユーザーのプロファイルにマネージャーがリストされていない場合、レビューは最終レビュアーに割り当てられます。

    • グループ(Group):特定のユーザーグループのすべてのメンバーにレビューアイテムを割り当てます。1人のグループメンバーのみがレビューを行い、レビューアイテムに対してアクションを実行する必要があります。そのため、グループメンバーがレビューアイテムへのアクセスを承認するか、取り消した場合、そのレビューアイテムはすべてのレビュアーに対して「完了済み」とマークされます。ドロップダウンメニューには、1~10人のメンバーがいるグループのみが表示されます。それよりも多くのメンバーをグループに追加すると、レビューアイテムはグループの10人のメンバーにランダムに割り当てられます。

    • リソース所有者(Resource Owner):リソースの所有者にレビューアイテムを割り当てます。グループの場合、リソース所有者はOktaのグループプロファイルにリストされている所有者です。アプリ、エンタイトルメント、バンドルまたはコレクションの所有者は個人またはグループのいずれかになりますが、同時に両方にはなりません。ただし、グループの所有者は、個々のユーザー、グループ、またはその両方にすることができます。さらに、グループ内のリソース所有者の数が10人より多い場合、レビューアイテムは10人のリソース所有者にランダムに割り当てられます。

    • カスタム(Custom):有効なOkta式言語式を入力して、レビュアーを指定します。式は、レビュアーとして割り当てる必要があるユーザーのOktaユーザーIDまたはユーザー名を返す必要があります。式がレビュアーの値を返さないときは、最終レビュアーがユーザーのレビュアーとして割り当てられます。「レビュアーを定義する]を参照してください。

      レルム機能を有効にしたときは、このオプションを使ってキャンペーンのレビュアーを特定のレルムに制限します。

  2. 最終レビュアー(Fallback reviewer)フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。

  3. 推奨。プレビューレビュアー(Preview reviewer)リンクをクリックし、UIのプロンプトに従ってください。

  4. 任意。セルフレビューを無効にする(Disable self-review)を選択します。このオプションは、含まれるリソースの重要性や機密性に応じて、キャンペーンのセルフレビューを許可するか許可しない柔軟性を提供します。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。キャンペーンでセルフレビューが無効になっている場合、独自のレビューアイテムを承認、取り消し、または再割り当てすることはできません。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。セルフレビューの無効化を理解するを参照してください。

  5. 任意。レベルの追加(Add level)をクリックして、レビューに別のレベルを追加し、レビュアータイプを選択します。

  6. 第2レベルのレビュアーを追加した場合には、追加レベルの設定(Additional level settings)セクションで、第2レベルのレビュアーに送る第1レベルのレビュアーの決定を選択します。

    • 承認された決定のみ(Only approved decisions):承認された決定の最終レビュアーは、第2レベルのレビュアーとなります。このオプションでは、第2レベルのレビュアーは、第1レベルのレビュアーの承認については決定を下すことができますが、取り消された決定についてはできません。取り消された決定の最終レビュアーは、引き続き第1レベルのレビュアーとなります。

    • 承認された決定と取り消された決定の両方(Both approved and revoked decisions):承認されたすべての決定と取り消されたすべての決定の最終レビュアーは、第2レベルのレビュアーとなります。このオプションでは、第2レベルのレビュアーは、第1レベルのレビュアーが下したすべての決定について決定を下すことができます。

    • スライダーを使用して、第2レベルのレビューが開始される日を指定します。この数は、キャンペーンの期間より小さい必要があります。第2レベルのレビューは、第1レベルのレビューが終了すると開始されます。第2レベルのレビューの開始時にレビューが保留されている場合、第1レベルのレビューに期限切れのフラグが立てられます。

  7. メールおよびSlack(有効な場合)通知をセットアップします。

    • レビューの割り当て(Reviews assigned):キャンペーンの開始時にレビューアイテムが割り当てられたときや、レビューアイテムが再割り当てされたときに、レビュアーは通知を受け取ります。管理者は、キャンペーンの開始時にレビュアーが受け取るメールをカスタマイズできます。「メールテンプレートをカスタマイズする」を参照してください。

    • 保留中レビューのリマインダー(Reminder for pending reviews):保留中のレビューアイテムがあるレビュアーは、キャンペーンの終了前に通知を受け取ります。リマインダーは、キャンペーンの中間時点、キャンペーンの終了日、またはキャンペーン終了の数日前に送信されるように選択できます。

      マルチレベルレビューが設定されているキャンペーンでは、第1レベルと第2レベルの両方のレビュアーがリマインダーを受け取ります。

      キャンペーン終了予定日の前に自分も管理者としてリマインダーを受け取りたいときは、このオプションを選択します。

    • 第1レベルのレビュアーの期限切れリマインダー(Overdue reminders for first-level reviewers):レビューアイテムを保留している第1レベルのレビュアーは、第1レベルレビューの終了後、キャンペーンの終了まで毎日通知を受け取ります。このオプションは、マルチレベルレビューが設定されているキャンペーンでのみ使用できます。

    • キャンペーンの終了(Campaign ended):キャンペーンが終了すると、レビュアーは通知を受け取ります。管理者は、自分が作成したキャンペーンが開始または終了するときのメール通知に自動サブスクライブされます。また、キャンペーンの開始に失敗した場合は、キャンペーンのページへのリンクが記載された通知を受け取ります。

  8. レビュアーの追加設定を構成します:

    • 理由が必要(Require justification):レビュアーがユーザーのリソースへのアクセスを承認または取り消した理由を入力することを必須にするときは、このオプションを選択します。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。

      orgで理由の要件のカスタマイズ(Customize Justification Requirements)が有効になっている場合、理由が必要(Require justification)チェックボックスは理由設定(Justification Settings) セクションに置き換えられます。次のいずれかのオプションを選択します。

      • 任意(Optional):レビュアーは、アクセスの承認または取り消しの決定理由を入力するかどうか、選択できます。

      • アクセスの取り消しにのみに必要(Required for revoke access only):レビュアーは、アクセスを取り消す場合に理由を入力する必要があります。

      • Required for revoke and optional for approve access(アクセスの取り消しには必須、承認には任意):レビュー担当者は、アクセスを取り消す場合に理由を入力する必要があります。ただし、ユーザーはアクセスを承認する際に理由を入力することを選択できます。

      • アクセスの承認と取り消しに必要(Required for approve and revoke access):レビュアーは、アクセスを承認する場合と取り消す場合に理由を入力する必要があります。

      • [Disabled(無効)]:レビュアーは、アクセスが承認または取り消される理由を説明するオプションを表示できません。

    • 一括決定を無効にする(Disable bulk decisions):レビュアーが承認または取り消すレビューを複数選択することができないようにするときは、このオプションを選択します。レビュアーは一括でなければ複数のレビューを別のユーザーに再割り当てできますが、再割り当ての理由を入力する必要があります

    • 再割り当てを無効にする(Disable reassignment):レビュアーがOkta アクセス認定 Reviewsアプリでレビューアイテムを他のユーザーに再割り当てできないようにするには、このオプションを選択します。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効になります。ただし、スーパー管理者またはアクセス認定管理者は、Admin Consoleのキャンペーンのページからレビューアイテムを引き続き再割り当てすることができます。

修復設定を構成する

レビュアーがユーザーのリソースへのアクセスを承認または取り消した場合の処理、またはレビューを完了しなかった場合の処理を選択します。

Okta Workflowsを使用して修復をカスタマイズすることもできます。ほとんどのキャンペーンについて、ユーザーのアプリやグループがグループルールやグループメンバーシップによって割り当てられている場合には、手動でレビューを修復する必要があります。

修正の仕組みについては、修復を理解するを参照してください。

関連項目

Okta Expression Languageの例

アクティブなキャンペーンの進行状況を表示する

スケジュールされたアクセス認定キャンペーンを変更する

アクティブなアクセス認定キャンペーンを終了する