アクセスリクエスト条件を作成する

Access Requests条件を使用することで、アプリへのアクセスを要求するプロセスを合理化できます。

開始する前に

• スーパー管理者、またはアクセスリクエスト管理者とアプリ管理者の両方のロールが割り当てられたユーザーとしてAdmin Consoleにサインインします。

• 考慮事項およびADグループのアクセスガバナンスを参照してください。

• グループについて、分かりやすいアクセスレベル名と説明を提供するには、「でグループプロファイル属性を更新するAccess Requests 」を参照してください。

• エンタイトルメントバンドルを使ってアクセスレベルを定義するには、アプリのGovernance Engineを有効化し、エンタイトルメントとバンドルを作成します。

• 管理者ロールのアクセスリクエストの合理化については、代わりに「Okta管理者ロールを管理する」と「管理者ロールへのアクセスリクエスト」を参照してください。

このタスクを開始する

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. アプリを選択し、アプリのプロファイルページのアクセスリクエスト（Access requests）タブに移動します。

3. 任意。別のユーザーに代わってのリクエストや、職務分離（SOD）に競合するリクエストを許可またはブロックするように、アクセスリクエスト設定を構成します。これられの設定は、アプリのアクセスリクエストを管理するすべての条件に適用されます。

4. +条件を作成（+ Create condition）をクリックします。

5. 条件の名前を入力します。

6. 任意。条件の説明を入力します。理想的には、条件の目的の説明です。

7. 要求者スコープ（Requester scope）セクションで次のいずれかのオプションを選択し、アクセスを要求できるユーザーを定義します。

   • 組織の全員（Everyone in the organization）
   • 特定のグループ（Specific groups）

8. アクセスレベル（Access level）セクションで次のいずれかのオプションを選択し、ユーザーが要求できるアプリへのアクセスレベルを定義します。

   • アプリのみ（Only app）：アプリへのデフォルトアクセスをユーザーに提供するときは、このオプションを選択します。

   • アプリに関連付けられているグループ（Groups associated with the app）：ユーザーが要求できるグループを選択します。アプリに割り当てられている、またはプッシュされているOktaかADをソースとするグループを選択できます。各グループは、ユーザーが選択できるオプションとして表示されます。

     アプリの Governance Engine を有効にした場合、このオプションは表示されません。

   • アプリに関連付けられているエンタイトルメント（Entitlements associated with the app）：ユーザーが要求できるバンドルを選択します。

     このオプションは、アプリのGovernance Engineを有効にした場合にのみ利用できます。条件内で使用できるエンタイトルメントバンドルが少なくとも1つ作成されていることを確認してください。

9. アクセス期間（Access duration）セクションで、トグルを有効にし、以下のいずれかのオプションを選択します。

   • 期間を今すぐ指定する（Specify duration now）：ユーザーのアクセスが期限切れになる時間を示します。

   • 要求者が期間を指定する（Requester specifies the duration）：ユーザーがアクセスに必要な時間を指定することを許可します。オプションを制限するように最大期間（Maximum duration）を構成する必要があります。

10. 承認シーケンス（Approval Sequence）セクションで、シーケンスを選択（Select sequence）をクリックします。

11. 既存の承認シーケンスを選択するには、そのシーケンスの選択（Select）をクリックします。または、新規シーケンス（New sequence）をクリックしてシーケンスを作成してから、それを選択することもできます。承認シーケンスを構成するを参照してください。

12. 作成（Create）をクリックします。この条件はデフォルトで非アクティブ状態になります。

13. 条件のドラッグアンドドロップを使用して条件を移動し、他の条件に対するその条件の優先度を定義します。Oktaでは、条件を有効化した後での条件の優先順位のみが考慮されます。

14. 任意。条件を有効化して使用できるようにします。条件で参照しているアイテムがアクティブまたは使用可能であることを確認します。これらのアイテムのいずれかが非アクティブになっているか、削除されている場合は、条件を有効にしたとき、または要求者がリクエストを送信したときに条件が無効になります。

Okta Access Requestsアプリを承認者に割り当てて、承認者がリクエストを承認または拒否できるようにします。「グループへの単一アプリの割り当て」または「アプリケーションをユーザーに割り当てる」を参照してください。

ユーザーエクスペリエンス

アプリのGovernance Engineを有効化すると、Oktaは、条件によってアクセスが許可されたユーザーのアクセス期限を削除します。これらのユーザーのアクセス期限を手動で更新することを検討してください。ユーザーエンタイトルメントを管理するを参照してください。

要求者が複数の条件の基準を満たしている場合は、最も優先度の高い条件によってリクエストの承認に使用される承認シーケンスが決定されます。要求者のグループメンバーシップが変更され、要求者が条件を満たさなくなると、その要求者はそれらの条件で管理されているグループ、エンタイトルメント、またはバンドルを要求できなくなります。既存の割り当ては影響を受けません。

要求者、リクエストの割り当て先、および承認者のエクスペリエンスを理解するには、リクエストを作成する、リクエストを管理する、タスクを管理するを参照してください。

関連項目

アクセスリクエスト条件を管理する

承認シーケンスを管理する