認定キャンペーンレビュー

アクセス認定キャンペーンを使用して、リソースへのユーザーアクセスを定期的にレビューします。

キャンペーンは開始予定日にアクティブになります。キャンペーンがアクティブな場合、レビュアーはリソースへのユーザーアクセスを承認または取り消すことができます。レビューアイテムを別のレビュアーに再割り当てすることもできます。ただし、レビューアイテムに関する決定を送信後に変更することはできません。

キャンペーンは、終了予定日、キャンペーンのレビュアー全員がレビューを完了したとき、またはスーパー管理者またはアクセス認定管理者が終了予定日の前にキャンペーンを終了したときに終了済みとしてマークされます。キャンペーンが終了すると、レビュアーは保留中のレビューアイテムを承認または取り消しできなくなります。

マルチレベルのレビューが設定されているキャンペーンでは、第1レベルのレビュアーがレビューした一部のアイテムは、承認のために第2レベルのレビュアーに送信されます。この場合、第2レベルのレビュアーがこれらのレビューアイテムの最終レビュアーとなり、キャンペーンの終了前に決定を下す必要があります。

第2レベルのレビュアーは、第2レベルのレビューの開始後に自分に割り当てられた新規レビューアイテムを目にすることがあります。これは、第1レベルのレビュアーが、保留中のアイテムのレビューを期日終了後に完了した場合に生じます。

キャンペーンを開始する前に、スーパー管理者またはアクセス認定管理者がコンテキスト情報(Contextual Information)ページで構成しておけば、レビュアーがユーザーアクセスをレビューするときに職務分離の矛盾の詳細も表示できます。カスタマイズ可能なレビュアーコンテキストを参照してください。

レビュアーは、Okta アクセス認定 Reviewアプリの担当のレビュー(My reviews)ページにある終了済み(Closed)タブで、過去に自分がレビューした終了済みキャンペーンを確認できます。キャンペーン所有者がメール通知をセットアップすると、レビュアーは次のイベントについて通知を受け取ります。

  • 管理者またはレビュアーがレビューアイテムを割り当てる。
  • レビュアーに保留中のレビューアイテムがあり、キャンペーンがまもなく終了する。

  • レビュアーに保留中のレビューアイテムがある場合の、第1レベルレビュアーの期限切れリマインダー。

  • キャンペーンが終了する。

一定期間、レビュアーが対応不可であることが判明している場合は、自身(スーパー管理者)はレビュアーの代理人を割り当てることができます。レビュアーは、エンドユーザーによる代理人の割り当て有効にする(Enable end users to assign their own delegate)トグルをオンにした場合にのみ、代理人として別のユーザーを指定したり、割り当てられた代理人に変更を加えたりできます。ユーザーに代理人の割り当てを許可するを参照してください。トグルをオンにしていない場合、ユーザーは代理人割り当て情報の表示だけができます。

キャンペーンに含まれるレビュアーがキャンペーン開始後に代理人を割り当てた場合、レビューアイテムは代理人に割り当てられないことにご注意ください。Admin Consoleから代理人を割り当てるおよび代理人を管理するを参照してください。

レビュアータイプ(Reviewer type)グループ(Group)またはグループオーナー(Group Owner)のキャンペーンでは、グループメンバーがグループのメンバーではない代理人を割り当てると、今後のレビューアイテムは既存のグループメンバーに加えて代理人にも割り当てられます。レビューアイテムのレビューの詳細(Review details)パネルには、どのユーザーが代理人であるかも表示されます。

スマートレビュー

スマートレビューは、Okta Access Certifications Reviewアプリでレビューアーがキャンペーンのアクセス権をレビューし認定するための代替手段です。キャンペーンテーブルで各レビューアイテムのアクセス権を1つずつ認定する代わりに、この機能ではユーザーまたはリソース別にレビューアイテムをグループ化します。これにより、レビュアーはより計画的かつ正確なアクセス判断を下し、レビューアイテム数の多いキャンペーンでも効率的にアクセス権を認定できます。

レビュアーは次のいずれかのモードを使用して、アクセスの認定を開始できます。

  • リソース別(By Resource):レビューアイテムはリソースごとにグループ化されます。レビュアーは、キャンペーン内のリソースにアクセスできる全ユーザーのアクセス権を一度にレビューして認定できます。このモードは、管理責任のあるリソースへのアクセス権を持つユーザーを、リソース所有者が認定するのに最適です。
  • ユーザー別(By User):レビューアイテムはユーザーごとにグループ化されます。レビュアーは、ユーザーがアクセスできるキャンペーン内の全リソースへのアクセス権を一度にレビューして認定できます。このモードは、直属の部下のアクセス権を認定するマネージャーに最適です。
  • 推奨事項別(By recommendation):レビューアイテムは推奨事項ごとにグループ化されます。このモードは、Governance analyzerGovernance Analyzer推奨事項を有効化する(Enable recommendations)トグルと 推奨事項(Recommendations)チェックボックスを選択した場合にのみ利用できます。「AIを有効にする」と「Governance Analyzerをセットアップする」を参照してください。

モードに応じて、レビューアイテムはユーザーまたはリソースごとにグループ化されて、複数のステップに分けられます。ステップとは、リソースやユーザーなどの共通要素を持つ2つ以上のレビューアイテムのセットです。

たとえば、すべてのアプリとグループを対象としたキャンペーンを開始し、ユーザーのマネージャーにレビュータスクを割り当てたとします。

リソース別(By Resource)レビューモードの各ステップでは、1つのリソースに対してユーザーが持つアクセス権が表示されます。ステップ1は、ユーザーがアプリAに割り当てられているレビューアイテムのセット。ステップ2は、すべてのユーザーがグループBに割り当てられているレビューアイテムのセット、というように続きます。

ユーザー別(By User)レビューモードの各ステップでは、ユーザーがアクセスできるリソースのリストが含まれます。ステップ1には、ユーザー1に関連付けられたすべてのレビューアイテム(さまざまなアプリやグループへのユーザーのアクセス権のリスト)が含まれ、ステップ2には、ユーザー2に関連付けられたすべてのレビューアイテムが含まれる、というように続きます。

どちらのモードでも、レビュアーは すべてのレビュー(All reviews)を選択すると、現在のモードの全ステップの概要を確認できます。

レビュアーはオプションメニューを使用して、進行中のスマートレビューを終了したり、アクティブなOktaセッションの期間中すべてのキャンペーンでスマートレビュー機能を無効にしたりできます。

保留中のレビューアイテムがある場合、スマートレビューの最後に「You've seen everything」というメッセージが表示されます。レビュアーは、前のステップに戻るか、スマートレビューを完了することができます。

スマートレビュー(Smart Review)オプションは、次の条件を満たす場合に、アクティブなキャンペーンのレビューアーのみが利用できます。

  • レビュアーに割り当てられたレビューアイテムの総数が10,000未満である。
  • 適用可能なスマートレビューモードが1つ以上ある。
  • ステップ数が2つ以上(ラップアップ(Wrap up)ステップを除く)存在し、最大100ステップである。

関連項目

アクセス認定キャンペーンをレビューする

レビュー対象を再割り当てする