グループルール

グループルールはグループの管理を簡素化し、アプリケーションへのアクセス、アプリケーションのルール、およびセキュリティ基本方針の管理に役立ちます。

グループは、Oktaのシングルサインオン(SSO)アクセスや、特定のエンタイトルメントを持つアプリにユーザーをプロビジョニングするためによく使われます。属性に基づいてグループに自動入力するルールを使用すると、属性ベースのアクセス制御が有効になります。ルールは、単一または複数の属性、単一または複数のグループ、または属性とグループの組み合わせで作成できます。

グループルールは、以下のように使用できます。

  • 複数のActive Directory(AD)グループを1つのOktagroupグループにマッピングします。ルールで、OktaのグループをADグループにマッピングすることができます。

  • ユーザー属性に基づいてADグループに入力します。ルールは、OktaがユーザーやグループをADにプロビジョニングする「Workday(WD)をソースに使用する」設定で特に有効です。たとえば、WDのcost center(コストセンター)属性を使用して、ADグループのメンバーシップを決定します。

  • グループの管理を簡素化します。ユーザーをグループに手動で追加する代わりに、必要な属性を持つユーザーを自動的に追加するルールを定義することができます。たとえば、「sales(営業)」というdepartment(部署)プロファイル属性値を持つユーザーは、Sales(営業)グループに自動的に追加されます。ユーザーのdepartment(部署)属性が変更された場合、そのユーザーは自動的にSales(営業)グループから削除されます。

  • プロビジョニングを自動化します。ユーザーをアプリに手動でプロビジョニングする代わりに、必要な属性を使用してユーザーを自動的にプロビジョニングするルールを定義できます。たとえば、ユーザーのプロファイル属性が==Xの場合、アプリYをロールZでプロビジョニングします。

次の制限事項に注意してください。

  • orgは最大2000個のルールを持つことができます。
  • グループルールを使ってユーザーを管理者グループに割り当てることはできません。
  • 文字列属性は、基本条件グループルールでのみ使用できます。
  • すでにグループルールのターゲットとなっているグループに、管理者権限を付与することはできません。
  • ルールを編集できるのはスーパー管理者とorg管理者のみです。
  • すべてのグループを管理しているグループ管理者のみが、ルールを検索して表示することができます。個々のグループ管理者は、ルールを検索したり表示したりすることはできません。

関連項目

グループルールのベストプラクティス

グループメンバーシップ管理者

グループルールの作成