Governance代理人
管理者とユーザーは他のユーザーを代理人として割り当て、一時的または永続的に代理でGovernanceタスクを実行させることができます。Governanceタスクには、アクセス認定キャンペーンのレビューアイテム、およびアクセスリクエストの承認や質問、タスクが含まれます。アクセスリクエストの場合、代理人は条件とリクエストタイプの両方で管理されるリクエストのGovernanceタスクを完了できます。
メリット
-
主要な関係者が対応不可の場合にGovernanceタスクを手動で再割り当てする時間が削減されます。
-
レビュアーと承認者が対応不可の場合、またはタスクを別の関係者に再ルーティングする必要がある場合にGovernanceプロセスが停止しないようにします。
管理者は、ユーザーの代理人を設定できます。または、ユーザーが自分自身の代理人を指定できるようにするには、設定(Settings)ページでエンドユーザーによる代理人の割り当て有効にする(Enable end users to assign their own delegate)をオンにします。また、選択範囲をユーザーのマネージャー、あるいはユーザーのマネージャーと同僚に制限することも、ユーザー(管理者以外)がorg内の誰でも代理人として選択できるようにすることもできます。代理人の制限に関係なく、スーパー管理者はAdmin Consoleのユーザーのプロファイルページで任意のユーザーを代理として指定できます。
許可されていれば、ユーザーはEnd-User DashboardのAccess CertificationまたはOkta Access Requestsアプリから自分の代理人を指定できます。代理人の割り当ては、アクセス認定とアクセスリクエストの両方のGovernanceタスクに適用されます。自身またはユーザーが代理人を指定すると、代理人はメールで通知されます。
新しいキャンペーンレビューとアクセスリクエストタスクは代理人に自動割り当てされます。また代理人は、管理者がセットアップした新しいアクセスリクエストタスクとアクセス認定キャンペーンレビューの通知も受け取ります。既存のキャンペーンレビューとアクセスリクエストタスクは変更されずに残ります。要求者と、リクエストを表示できる他のユーザーは、タスクが代理人に割り当てられたことも確認できます。
Governanceタスクは、元レビュアーまたは元承認者の代理人にのみ割り当てられます。たとえば、元レビュアーが自分のマネージャーを代理人として割り当て、マネージャーがディレクターを代理人として割り当てます。この例では、元レビュアーに割り当てられたGovernanceタスクは、引き続きマネージャーに委任されます。このようなGovernanceタスクは、管理者またはリクエストの割り当て先が手動で再割り当てする必要があります。
リクエストタイプでは、チームメンバーの1人に代理人が割り当てられていると、リクエストタイプに関連するリクエストが送信された場合、Oktaはそのチームメンバーをリクエストの割り当て先として割り当てません。リクエストタイプを所有するチームに代理人を割り当てられたメンバーが1人の場合は、リクエストタイプに関連するリクエストは未割り当てのままになります。
スーパー管理者、アクセス認定管理者、またはアクセスリクエスト管理者は、代理人に割り当てられたタスクも表示できます。
-
アクセス認定:レビュアーは代理人(Reviewer is Delegate)フィルターには、アクティブまたは終了したキャンペーンの代理人に割り当てられているレビューアイテム、およびアクティブなキャンペーンで完了したレビューが表示されます。このフィルターを使用すると、結果には、レビュアーとしてグループやグループオーナーが割り当てられているレビューアイテムも含まれます。これは、グループ内の1人以上のレビュアーに代理人が割り当てられている場合に発生します。この情報はレビューの詳細(Review details)パネルにも表示されます。レビュアータイプがグループ(Group)またはグループオーナー(Group Owner)のキャンペーンでは、レビューアイテムのレビューの詳細(Review details)パネルにどのユーザーが代理人であるかも表示されます。
-
Access Requests:Access Requestsアプリのリクエスト詳細ページには、ユーザーとその代理人が表示されます。
過去のアクセスリクエスト(条件)および過去のアクセスリクエスト(リクエストタイプ)レポートには、承認委任(Approval Delegated)フィルターと、元の承認者の名前(Original Approver Name)、元の承認者のフルネーム(Original Approver Full Name)、元の承認者のメールアドレス(Original Approver Email)、および承認者委任(Approver Delegated)の列があります。
-
システムログ:システムログイベント
governance.principal.settings.updateは、代理人への変更を追跡し、監査要件を満たすのに役立ちます。 -
レポート:アクティブなキャンペーンの概要、アクティブなキャンペーンの詳細、過去のキャンペーンの概要、過去のキャンペーンの詳細、過去のアクセスリクエスト(条件)、過去のアクセスリクエスト(リクエストタイプ)のレポートを使用して、元のレビューアーや承認者、および委任されたレビューアーや承認者の詳細をフィルタリングできます。