考慮事項と制限
エンタイトルメント管理機能を使用するときは、事前に次のガイダンスに留意してください。
-
エンタイトルメント管理では、アプリケーションはリソースとしてのみサポートされます。
-
アプリでエンタイトルメント管理の有効化が失敗すると、System Logイベントが不正確になる可能性があります。
-
プロビジョニング対応アプリでは、プロビジョニングを有効にしていない場合にエンタイトルメント管理を有効にできるのは、アプリインスタンスに対してのみです。
-
エンタイトルメント管理とプロビジョニングが有効になっているプロビジョニング対応アプリで、[Create Users(ユーザーを作成)]と[Update User Attributes(ユーザー属性を更新)]を有効にします。これらの設定により、エンタイトルメントが正確に割り当てられるようになります。これらのオプションは、アプリインスタンスの[プロビジョニング]タブにある[設定]の[アプリへ]セクションで設定します。
-
新しいアプリインスタンスを作成して、エンタイトルメントポリシーを効果的に使用できるようにエンタイトルメント管理を有効にします。既存のアプリインスタンスにエンタイトルメント管理を有効にすると、既存のユーザーの割り当てが「カスタム」とマークされます。既存のアプリインスタンス用に作成したポリシーは、そのアプリに割り当てられる新規ユーザーにのみ適用されます。
-
ポリシールールによるエンタイトルメントの割り当ては、Oktaソースのグループに対してのみ有効です。非Oktaソースのグループのユーザーメンバーシップが変更された場合、ポリシーによってそのユーザーに割り当てられたエンタイトルメントは更新されません。
-
エンタイトルメントバンドルをAdmin Consoleから直接ユーザーに割り当てることはできません。ユーザーがアクセスリクエストからエンタイトルメントバンドルへのアクセスをリクエストできるように、リクエストタイプを設定する必要があります。代わりに、APIを使用してバンドルをユーザーに割り当てることができます。「Okta Identity Governance API」を参照してください。
-
エンタイトルメント管理では、アクセスリクエストでTimer(タイマー)設定が使用または強制適用されません。
-
エンタイトルメント管理では、必須のエンタイトルメントはサポートされません。
-
アクセスリクエストでは、必須のエンタイトルメントまたは属性があるアプリへのリクエストはサポートされません。
-
エンタイトルメントポリシーを使用してバンドルを割り当てることはできません。
-
アプリでエンタイトルメント管理が有効になっている場合、アプリのプロファイルページの[Self Service(セルフサービス)]セクションは使用できません。
エンタイトルメント管理のサポート対象アプリケーション
|
アプリケーションタイプ
|
サポート対象 |
|
|---|---|---|
|
テンプレートアプリ |
OIDC(Federation Broker Modeなし) |
はい |
|
OIDC(Federation Broker Modeあり) |
いいえ |
|
|
SCIM |
はい |
|
|
SAML |
はい |
|
|
ブックマーク |
いいえ |
|
|
SWA |
はい |
|
|
OINアプリ
|
||
|
Universal Directory(UD)属性があるプロビジョニング対応アプリ |
限定 「エンタイトルメント対応アプリ」を参照してください。 |
|
|
UD属性がないプロビジョニング対応アプリ |
はい |
|
|
プロビジョニング対応ではないアプリ |
はい |
|
|
SWA |
はい |
|
|
APIサービスアプリ |
N/A |
いいえ |
エンタイトルメントの上限
|
コンポーネント |
最大 |
|---|---|
|
org内のエンタイトルメント |
10,000 |
|
org内のエンタイトルメント値 |
150,000 |
|
バンドル内のエンタイトルメント |
100 |
|
org内のエンタイトルメントバンドル |
1,000 |
|
サードパーティアプリ向けのエンタイトルメントポリシールールの数 |
100 |