キャンペーンをレビューする

アクセス認定キャンペーンを使用して、ユーザーのリソースへのアクセスを定期的にレビューします。キャンペーン作成者は、キャンペーン作成中にキャンペーンの一部であるユーザー、リソース、レビュアーを決定します。

キャンペーンで1つ以上のアイテムがレビュアーに割り当てられると、そのレビュアーにはEnd-User DashboardのOkta アクセス認定 Reviewsアプリへのアクセス権が付与されます。このアプリでは、ユーザーの現在のアクセスをレビューし、決定を下すことができます。

レビュアーは、Okta Access Certifications Reviewsアプリを使ってユーザーのアクセスを承認または取り消すか、必要に応じてレビューアイテムを別のユーザーに再割り当てします。レビューアイテムに関する決定は最終的なものであり、変更することはできません。

キャンペーンでセルフレビューが無効になっている場合、管理者は、自分自身のレビューアイテムを承認、取り消し、または再割り当てすることはできません。

orgで Governance Analyzer 機能を有効にしている場合は、レビューアーにインサイトと推奨事項を提供し、アクセス認定キャンペーン中にアクセスの承認または取り消しについて、レビュアーが情報に基づいた決定を下せるようにできます。「Governance Analyzerをセットアップする」を参照してください。

注:

Oktaでは、管理者ロールを管理するキャンペーンのセルフレビューは制限されています。つまり、管理者は自分のレビューアイテムの承認、取り消し、または再割り当てを行うことができません。ただし、Okta管理者ロールのセルフレビュー（Self-review for Okta admin roles）機能が有効になっている場合には、Okta管理者ロールへのアクセスを管理するキャンペーンでセルフレビューが許可されるか制限されるかを構成することができます。

レビュアーに提供される Governance Analyzer の承認/取り消しの推奨事項とインサイトデータは、情報提供のみを目的としています。レビュアーは、この情報を独自の判断と通常のレビュープロセスの代わりにではなく、補足として使用するようにしてください。Oktaは、認定レビューの決定を通知するためのインサイトや推奨事項の使用について、関連する保証をせず、すべての責任を拒否します。

orgでスマートレビュー（Smart Review）機能を有効にしている場合は、大量のレビューアイテムを持つキャンペーンのレビュー効率を向上させ、レビュアーのレビューの負担を減らすことができます。「スマートレビュー」を参照してください。

キャンペーンを開始する前に割り当て方法（Assignment methods）コンテキスト情報のオプションを有効にした場合、レビュアーはユーザーにリソースへのアクセスがどのように割り当てられたかを確認できます。特定のエンタイトルメントを付与するために使用されたすべての方法を確認できます。「割り当て方法」を参照してください。

レビュアーのベストプラクティス

レビュアーが管理者ロールへのユーザーアクセスをレビューするときは、代わりに管理者ロールへのアクセスを確認するを参照してください。
決定を下す前にそれを確認します。レビュアーがレビューアイテムに関する決定を送信すると、それは最終的なものとなり、変更できません。
キャンペーンの理由設定（Justification Settings）に応じて、ビジネス上の理由の追加は任意、特定の決定の場合に必須、もしくは無効になっています。理由を入力できるようになっている場合は、決定の背景を知らせるために理由を追加してください。この注記は、決定者本人、キャンペーン作成者、レビュアーに表示されます。正当性も、レビューアイテムを再割り当てされた任意のユーザーに表示されます。
別の人物のほうがユーザーのアクセスをレビューするのにふさわしいと考えられるときはは、レビューアイテムをその人物に再割り当てできます。レビューアイテムを再割り当てしても、キャンペーンの終了日は延長されません。新しいレビュアーは、キャンペーンが終了する前にアクセスを承認または取り消す必要があります。レビューアイテムを再割り当てするを参照してください。
マルチレベルレビューが設定されたキャンペーンでは、次の事項を考慮してください。
- 一部のレビューアイテムは、第2レベルのレビュアーに送信されます。
- 第2レベルのレビュアーが決定を下すことができるのは、第1レベルのレビュアーがレビューアイテムを承認または取り消した後のみです。キャンペーンの進捗を妨害しないためには、第1レベルのレビュアーがレビューを予定どおりに完了することが重要です。
- 第2レベルのレビュアーは、レビューアイテムに関する第1レベルのレビュアーの決定とその理由を表示できます。
- 最終レビュアーは、キャンペーンの構成によって異なります。
- 修復は、最終レビュアーの決定に対してのみ行われます。「修復設定」を参照してください。
レビュアーは、エンドユーザーによる代理人の割り当て有効にする（Enable end users to assign their own delegate）トグルをオンにした場合にのみ、代理人として別のユーザーを指定したり、割り当てられた代理人に変更を加えたりできます。ユーザーに代理人の割り当てを許可するを参照してください。
レビューアイテム数の多いキャンペーンでは、スマートレビュー（Smart review）を使用して、より計画的かつ正確なアクセス判断を効率的に行うことができます。

このタスクを開始する

レビュアーは、End-User Dashboardで Okta Access Certification Reviewsをクリックします。
担当のレビュー（My reviews）ページで開く（Open）タブに移動し、レビューを開始するアクセス認定キャンペーンを選択します。
任意。キャンペーンでスマートレビューが利用可能な場合は、レビューの開始（Start Review）をクリックして、利用可能ないずれかのモードを選択し、UIのプロンプトに従います。
- ［By User（ユーザー別）］
- ［By Resource（リソース別）］
- 推奨条件（このモードは、Governance Analyzerをセットアップした場合にのみ利用できます）
任意。スマートレビューモードでは、レビュアーはすべてのレビュー（All reviews）をクリックしてレビューキュー（Review queue）（ステップのリスト）を表示し、別のステップにすばやく移動できます。
任意。列フィルターをカスタマイズします。たとえば、エンタイトルメントに矛盾のあるユーザーのレビューアイテムを表示するには、Separation of duty (SoD) rule（職務の分離（SoD）ルール）（Separation of duty (SOD) rule）または職務の分離と矛盾する（Has separation of duties conflict）の列フィルターを選択します。

注:
保留中のレビュー（Pending reviews）セクションで利用できる列とレビューの詳細（Review details）ペインで利用できるフィールドは、キャンペーンを開始する前のコンテキスト情報の構成に依存します。カスタマイズ可能なレビュアーコンテキストを参照してください。
任意。レビューアイテムを選択し、レビュー対象のユーザーとリソース、およびユーザーのリソース使用状況に関する詳細情報を表示します。リソースコレクション情報は、orgに対してリソースコレクションを構成し、コンテキスト設定をカスタマイズした場合にのみ利用できることにご注意ください。
レビューの詳細（Review details）ペインには次のセクションがあります。
- ユーザーの詳細（User Details）：Okta内のユーザーのプロファイルから直接取得される情報。
- リソースの詳細セクションは、レビュー対象のリソース（エンタイトルメント、アプリ、グループ、またはリソースコレクション）によって異なります。
- Governance Analyzer ：このセクション（利用可能な場合）にはGovernance Analyzerのインサイトと推奨事項が含まれます。
- 職務矛盾の詳細（SoD conflict details）（SOD conflict details）：このセクションには、矛盾のある職務分離ルールと、矛盾しているエンタイトルメントについての情報が含まれます。
- 履歴（History）：このセクションには、最初のレビュアーと代理人の割り当てに関する詳細、再割り当てのビジネス上の正当性、割り当てられたレビュアーの詳細、レビュアーの決定などの有用な情報が含まれます。
任意。レビュアーは、再割り当て（Reassign）をクリックしてレビューアイテムを別の人物に再割り当てできます。レビューアイテムを再割り当てするというトピックに記載されている手順3～6に従うことができます。キャンペーンの再割り当てを無効にした場合、レビュアーはOkta アクセス認定 Reviewsアプリでレビューアイテムを再割り当てできません。ただし、スーパー管理者またはアクセス認定管理者は、Admin Consoleにあるキャンペーンのページでレビューを引き続き再割り当てできます。
レビュアーは、承認（Approve）または取り消す（Revoke）をクリックします。キャンペーンの理由設定（Justification Settings）に応じて、決定のビジネス上の理由を入力する必要がある場合があります。アクセスを承認または取り消すと、直ちに修復プロセスが開始されます。
送信（Submit）をクリックします。

キャンペーンの作成者がレビュアーに複数のレビューアイテムの同時選択を許可しているときは、複数のレビューアイテムを選択して、アクセスを承認または取り消したり、選択したアイテムのレビューを再割り当てしたりもできます。一度に実行できるアクションは1つだけです。入力したビジネス上の正当性は、選択したレビューアイテムに適用されます。複数のレビューアイテムを別のユーザーにいつでも再割り当てできますが、再割り当ての理由を入力する必要があります。

レビュアーは、キャンペーンページのカウントを使ってレビュー指標を監視することもできます。さらに、すでにレビューが完了しているアイテムをキャンペーンページの終了済み（Closed）タブで参照できます。終了済み（Closed）タブでは、さまざまなオプションを使ってレビューをフィルタリングしたり、特定のユーザーを検索したりできます。