Okta Identity Governanceを備えた領域

早期アクセスリリース

Okta Identity Governance製品、アクセス認定エンタイトルメント管理を備えた領域を使用し、Okta Expression Languageを使用してユーザースコープを1つの領域に制限できます。

アクセス認定を使用して領域のユーザーを認定する

アクセス認定キャンペーンを使用して、領域ユーザーのリソースへのアクセスを定期的にレビューして認定します。

同様に、領域管理者を含むユーザーをレビュアーとして割り当ててから、Okta Expression Languageを使用して、各レビュアーが管理対象の領域のユーザーからの承認リクエストのみを受け取るようにすることができます。

ユーザーキャンペーンを作成してユーザーとレビュアーのスコープを領域内の人々に制限するには、以下のオプションを選択します。

  1. [ユーザー]ページで、[Custom (Okta Expression Language)(カスタム(Okta Expression Language))]を選択します。

  2. [レビュアー]ページで、レビュアータイプに[Custom(カスタム)]を選択します。

次のサンプル式を使用できます。

スコープ ユースケース

式のサンプル

ユーザー 特定の領域に属するユーザーのみをキャンペーンに含めます。 user.realmId == "o4cbj6ybZl1QShj0g7"、またはuser.realmId == "guo4c8usniIlFgluO0g7"、またはuser.realmId == "guo4c7skrkbxDgJ140g7"
レビュアー 特定の領域に属するレビュアーを指定します。 user.realmId == "guo4c8usniIlFgluO0g7" ? "jane@gmail.com":(user.realmId == "guo4c8usniIlFgluO0g7" ? "joe@gmail.com":"joea@gmail.com")

詳細については、「Okta Expression Languageの例」を参照してください。

エンタイトルメント管理を使用してアプリケーションエンタイトルメントを構成する

エンタイトルメント管理を使用して、user.realmIdなどのユーザーのプロファイル属性に基づいてアプリエンタイトルメントポリシーを作成できます

ポリシーを作成するには、アプリのGovernance Engineを有効にする必要があります。

次のサンプル式を使用して、特定の領域に属するユーザーをポリシーールールに含めることができます。

user.realmId == "o4cbj6ybZl1QShj0g7"、またはuser.realmId == "guo4c8usniIlFgluO0g7"、またはuser.realmId == "guo4c7skrkbxDgJ140g7"

詳細については、「Okta Expression Languageの例」を参照してください。

関連項目

Okta Identity Governance

アクセス認定

エンタイトルメント管理