グループ

Okta Privileged Accessは、関連する権限をグループを使ってユーザーに明示的に割り当てて、必要なリソースまたはアクセス制御権限にアクセスできるようにします。グループをローカルに作成し、そこにユーザーを追加できます。Universal Directoryからのユーザーとグループを同期させることもできます。これによりユーザー、メンバー、ロールの管理が容易になります。Okta Universal Directory

デフォルトグループ

チームごとに次の2つのグループが自動的に作成されます。

全員には、 Okta Privileged Accessチームに属するすべてのユーザーが含まれます。
所有者には、最初はOkta Privileged Accessチームを作成したユーザーのみが含まれます。このグループは削除できません。
所有者グループは、Okta Privileged Access管理者ロールを付与します。グループの作成やグループへのユーザーの追加を実行できるのは、PAM管理者ロールを持つユーザーのみです。

注:

所有者グループは、PAM管理者ロール以外のロールを割り当てることも、このグループからPAM管理者ロールを削除することもできません。PAM管理者ロールは、Okta SCIMを通じてOkta Privileged Accessにプロビジョニングされる別のグループに割り当てることをお勧めします。所有者グループに割り当てるユーザーは、できるだけ少なくする必要があります

基本セットアップが完了したら、次の操作を行うことをお勧めします。

PAM管理者ロールが割り当てられるユーザーを管理するためのグループをOktaに作成します。
現在Okta Privileged Accessの所有者グループに属しているユーザーを、この新しいOktaグループに割り当てます。
新しいOktaグループをOkta Privileged Accessにプッシュします。
新しいOktaグループにPAM管理者ロールを割り当てます。

これにより、所有者グループ内のユーザーが非アクティブ化される、またはOktaから削除された場合でも、org内の別のユーザーがPAM管理者ロールを維持できます。

前提条件

チームがこのタスクを実行するには、PAM管理者である必要があります。

ローカルグループを作成します。

注:

ローカルグループの使用を最小限に抑え、代わりにOktaAdmin Consoleでグループメンバーシップを管理することをお勧めします。これにより、Okta内のユーザーまたはグループのライフサイクルイベントに基づいて、グループメンバーに正確に反映させることができます。

Okta Privileged Accessダッシュボードを開きます。
ディレクトリ（Directory） > グループ（Groups）に移動します。
グループを作成する（Create Group）をクリックします。
グループの作成（Create Group）ウィンドウでグループ名を入力します。
任意。グループに割り当てるチームロールを選択します。ロールと権限を参照してください。
グループを作成する（Create Group）をクリックします。

ローカルグループにユーザーを追加する

ユーザーをグループに追加すると、グループが追加されているプロジェクトのすべてのサーバーへのアクセス権がそのユーザーに付与されます。ローカルグループには、Okta Privileged Accessでローカルに作成されたサービスユーザーのみを追加する必要があります。

Okta Privileged Accessダッシュボードを開きます。
ディレクトリ（Directory） > グループ（Groups）に移動して、グループを選択します。
ユーザー（Users）タブに移動します。
ユーザー名（Username）フィールドに既存ユーザーの名前を入力します。
ユーザーを追加する（Add User）をクリックします。