サービスアカウントを認定する

サービスアカウントのアクセス認定が有効な場合、Okta Access Certificationsリソースキャンペーンを使ってOkta Privileged Access内で管理されているサービスアカウントへのアクセスをレビューして認定できます。

リソースキャンペーンはキャンペーンのリソーススコープの設定に重点を置いているため、サービスアカウントを含め、それらのリソースにアクセスできるすべてのユーザーを確認できます。

キャンペーンを定期的に実行すると、ユーザーがアプリ、アプリに関連するサービスアカウントとエンタイトルメント、およびグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。

リソースキャンペーンには2つのプライマリペルソナが関係します。

キャンペーン管理者: 通常は、キャンペーンのセットアップおよび構成、スコープの定義、スケジューリングを担当するスーパー管理者またはアクセス認定管理者です。
レビュアー（Reviewer）: ガバナンスの決定を担当するユーザーです。レビュアーは、ユーザーのマネージャー、グループ所有者、リソース所有者、特定のユーザー、またはカスタムのOkta Expression Language （OEL）式が動的に割り当てられたユーザーのいずれかです。レビュアーは、ダッシュボードのOktaアクセス認定レビュー（Okta Access Certification Reviews）アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。

使用の開始

キャンペーン設定を更新して、レビュアーのサービスアカウントに固有のコンテキスト情報を含めます。カスタマイズ可能なレビュアーコンテキストを参照してください。
「既知の問題と制限事項」を理解します。
キャンペーン作成のベストプラクティスをお読みください。
リソースキャンペーンを作成するに記載されている手順を使用します。

サービスアカウントへのアクセスをレビューするキャンペーンを作成するときは、以下に留意してください。
- 一般（General）設定：リソースキャンペーンのスコープにサービスアカウントが含まれる場合、監査レポートパッケージ内の次のレポートは利用できません。
  - リソースアクセス - キャンペーンの開始（Resource access - Campaign launch）
  - リソースアクセス - キャンペーンの完了（Resource access - Campaign complete）
  - リソースアクセスの変更 - キャンペーンの開始からキャンペーンの完了まで（Resource access changes - Campaign launch to campaign complete）
- リソース（Resource）設定：レビュー対象のスコープを定義するページ。キャンペーンを構成するときは、サービスアカウント（Service accounts）を選択し、サービスアカウントタイプをSaaSアプリのサービスアカウント（SaaS application service account）またはOktaサービスアカウント（Okta service account）に設定できます。
- レビュアー（Reviewer）設定：ユーザーとリソースの組み合わせごとに、アクセスを承認、取り消し、または再割り当てするレビュアーを1つ以上のレベルで割り当てるページ。レビュアーが通知とリマインダーを受け取るイベントを指定します。所有者グループ（Owner groups）または所有者ユーザー（Owner users）の属性が定義されていないか、そのサービスアカウントでは利用できない場合、レビュアータイプとしてリソース所有者（Resource Owner）を選択すると、レビューは最終レビュアーに割り当てられます。
- 修復（Remediation）設定：レビュアーがアクセスを承認または取り消した場合の動作、またはレビューが完了しなかった場合の動作を構成するページ。サービスアカウントへのアクセスを手動で修復する必要があります。キャンペーンのスコープにサービスアカウントのみが含まれる場合、自動修復設定は利用できません。
  
  推奨される修復アクションは、関連するグループまたは Okta Privileged Accessのセキュリティポリシーから、ユーザーを手動で削除することです。