設定を構成する

アプリやリソースコレクションへのすべてのアクセスリクエストの設定を構成します。他のユーザーに代わってアクセスをリクエストできるかどうかを指定します。また、職務分離（SOD）ルールに競合するアクセス要求をそのまま許可するか、カスタム設定で許可するか、ブロックするかを定義することもできます。

SODの競合設定は、アプリに対してGovernance Engineを有効にしていない場合や、エンタイトルメントとバンドルを定義していない場合でも利用できます。この場合、設定を構成することはできますが、アクセスリクエストには影響しません。

注:

要求者がアクセスリクエスト内でタスクをエスカレーションすることを許可または防止する方法については、要求者にタスクのエスカレーションを許可する（Allow requesters to escalate tasks）を参照してください。

ユーザーがSlackを使用してリクエストを送信または承認できるかどうかを制御するには、「Slackの設定を構成する」を参照してください。

このタスクを開始する

アプリ、リソースコレクション、または管理者ロールのアクセスリクエスト設定に移動します。

アプリへのアクセスリクエスト設定
1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。
2. アプリを選択し、アプリのプロファイルページのアクセスリクエスト（Access requests）タブに移動します。
3. 設定（Settings）をクリックします。
リソースコレクションへのアクセスリクエスト設定
1. Admin ConsoleでIDガバナンス（Identity Governance） > リソースコレクション（Resource Collections）に移動します。
2. コレクションを検索し、そのコレクションの表示（View）をクリックします。
3. Access Requests タブに移動します。
4. 設定（Settings）をクリックします。
管理者ロールへのアクセスリクエスト
1. Admin Consoleでセキュリティ（Security） > 管理者（Administrators） > ガバナンス（Governance）に移動します。
2. アクセスリクエスト（Access requests）をクリックします。
3. 設定（Settings）をクリックします。
別のユーザーに代わってのリクエストや、職務分離（SOD）に競合するリクエストを許可またはブロックするように設定を構成します。

次のユーザーに代わって要求：（Request on behalf of）設定を構成する

ユーザーが別のユーザーのアクセスをリクエストできるようにするには、次のユーザーの代わりに要求することを有効化：（Enable request on behalf of）オプションをオンにします。
- 部下に対するアクセスを要求できるのはマネージャーのみです（Only managers can request access for their reports）：マネージャーがチームに代わってアクセスをリクエストできます。
- いかなるユーザーも他のユーザーのためにアクセスを要求できます（Any user can request access for any other user）：org内のすべてのユーザーが、 org内のロールや階層関係に関係なく、他のユーザーに代わってリソースへのアクセスをリクエストできます。
  
  注:
  これらのオプションによって、ユーザーが自分でアクセスをリクエストすることは妨げられません。
職務分離（SOD）競合が発生したときの動作を定義します。

このオプションは、管理者ロールへのアクセスリクエストには利用できません。

デフォルトでは、要求者は、既存のエンタイトルメント割り当てと競合するエンタイトルメントバンドルに対するアクセスリクエストを送信できません。これを変更するには、編集（Edit）をクリックして次のいずれかのオプションを選択します。
- リクエストを許可する（Allow requests）：要求者には警告が表示されますが、アクセスをリクエストできます。そのアクセスは、該当するアクセスリクエスト条件で定義された設定を使用して処理されます。
- カスタム設定でリクエストを許可する（Allow requests with custom settings）：要求者には警告が表示されますが、アクセスをリクエストできます。ただし、このページで指定した承認シーケンスとアクセス期間によってリクエストが制御されます。
  1. 承認シーケンスを選択します。
  2. アクセス期間を指定します。
  注:
  SOD競合を引き起こすアクセスリクエストの場合、ここで指定した承認シーケンスとアクセス期間が、このアプリの他の条件で定義されている同様の設定よりも優先されます。
- リクエストをブロックする（Block requests）：要求者はアクセスレベルを表示できますが、リクエストはできません。これはデフォルト設定です。
  
  Oktaは、要求者がリクエストを送信する際、要求者の既存のエンタイトルメント割り当てに基づいて職務分離ルールを評価します。つまり、要求者が短期間で複数のリクエストを作成したり、複数のリクエストを同時に開いたりした場合に、職務分離ルール相反の警告が要求者に表示されず、相反するエンタイトルメントへのアクセスリクエストが防止されません。
  
  アクセスを付与する前に、要求者からのすべてのオープンリクエストについて、エンタイトルメントリクエストが職務分離ルールに相反する可能性がないか確認します。また、アクセス認定キャンペーンを定期的に実行して、職務分離の相反をレビューし、エンタイトルメント割り当ての相反を取り消してください。
保存（Save）をクリックします。Access request settings updatedイベントが、System Logに記録されます。