キャンペーン

キャンペーンは、ユーザーがアプリ(および関連するエンタイトルメント)やグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。

  • リソースキャンペーン

    このキャンペーンタイプには、リソースにアクセスできるすべてのユーザーが表示されます。

    アプリまたはグループなどのリソースを選択し、そのリソースと関連するエンタイトルメントおよびバンドルにアクセス可能なユーザーを確認します。リソースに割り当てられたすべてのユーザーを選択するか、Okta Expression Languageを使用して特定のユーザーを定義できます。キャンペーンから特定のユーザーを除外することもできます。定期的にリソースキャンペーンを実施し、機密リソースへのアクセスを制限するようにします。

    リソースキャンペーンは、監査要件やコンプライアンス要件を満たすのに役立ちます。

  • ユーザーキャンペーン

    このキャンペーンタイプには、ユーザーがアクセスできるすべてのリソースが表示されます。

    特定のユーザーまたはユーザーグループを選択し、割り当てられたリソースを確認できます。最も特権のあるアクセスは、ユーザーによってリクエストされるか、ユーザーに個別に割り当てられます。ほとんどの場合、レビュー担当者は、グループメンバーシップやグループルールを介して付与されたリソースへのアクセスをレビューする必要はありません。ユーザーキャンペーンを使用すると、レビュー担当者がユーザーに個別に割り当てられたリソースとエンタイトルメントへのアクセスのみをレビューするだけでよいキャンペーンを設定できます。

    ユーザーキャンペーンでは、特にロール、部門、プロジェクトの変更などによってユーザーと組織の関係が変化した場合に、ユーザーのリソースへのアクセスを効率的に管理できます。

    ユーザーキャンペーンを頻繁に実行して、ユーザーのアクセス権限が最小限に抑えられるようにします。

キャンペーンを事前にスケジュールしたり、特定の間隔で繰り返したり、開始前に変更したりできます。

キャンペーンは開始日にアクティブになり、終了日を迎えるか、キャンペーンのレビュアー全員がレビューを完了するかのいずれか早いときに終了済みとしてマークされます。開始日の前にキャンペーンを開始したり、スケジュールされた終了日の前にアクティブなキャンペーンを終了したりすることができます。ただし、キャンペーンの開始後は、レビューアイテムの再割り当てとキャンペーンの終了のみ可能です。キャンペーンの終了後に変更することはできません。

[Access certification campaigns(アクセス認定キャンペーン)]ページで、アクティブなキャンペーン、予定されたキャンペーン、終了済みキャンペーンを表示できます。[Scheduled(スケジュール設定済み)]タブでは、繰り返しキャンペーンに[Recurring(繰り返し)]ラベルが付けられ、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。

キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。

スケジュールされたキャンペーンの開始に失敗した場合は、メール通知が届きます。エラーを表示するには、次のいずれかの手順を実行できます。

  • メール通知から[View Campaign(キャンペーンを表示)]をクリックします。
  • [Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブからキャンペーンを開きます。
  • System Logに移動します。

キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、[Overview(概要)]セクションにあるユーザーおよびレビュアーのOkta Expression Languageを書き留めておくことをお勧めします。[アクション]メニューから開始に失敗したキャンペーンを削除できます。

キャンペーンのレビュアーは、ダッシュボードの[Oktaアクセス認定レビュー]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。

キャンペーン作成者がキャンペーンにエンタイトルメントを含めた場合、レビュアーは、リソースに関連付けられているエンタイトルメントまたはバンドルと、エンタイトルメントまたはバンドルがレビューアイテムのユーザーにどのように割り当てられたかを確認することもできます。レビュアーは、エンタイトルメントとバンドルへのアクセスを、アプリとグループへのユーザーのアクセスをレビューする場合と同様の方法でレビューできます。レビュアーは、エンタイトルメントまたはバンドルを個別のユニットとして取り消すことはできますが、ユーザーに割り当てられたバンドルの一部である特定のエンタイトルメントを取り消すことはできません。ユーザーに割り当てられたエンタイトルメントは、ポリシールールを使用して手動で修復する必要があります。

アプリのエンタイトルメントをレビューするためのキャンペーンを実行できるのは、Governance Engineがアプリに対して有効になっている場合のみです。「Governance Engineを有効にする」と「制限事項」を参照してください。

関連項目

キャンペーンを作成