ユーザーキャンペーンを作成する

ユーザーキャンペーンは、ユーザーがアクセスできるすべてのリソースを表示します。ユーザーキャンペーンを頻繁に実行すると、ユーザーに最小特権のアクセス許可を割り当てることができます。これらのキャンペーンは、特にロールや部署、プロジェクトの変更でユーザーと組織との関係が変わる場合に、リソースに対するユーザーのアクセスを効率よく管理できるようにします。

ユーザーの管理者ロール割り当ては、このキャンペーンタイプのレビューには含まれません。

特定のユーザーまたはユーザーグループを選択し、割り当てられたリソースを確認できます。最大特権のアクセス許可は、ユーザーが要求するか、個別に割り当てられます。リソースに対して、グループメンバーシップやグループルールを通して付与されたアクセス権は、通常、レビュアーによるレビューを必要としません。ユーザーキャンペーンを使用すると、レビュー担当者がユーザーに個別に割り当てられたリソースとエンタイトルメントへのアクセスのみをレビューするだけでよいキャンペーンを設定できます。

開始する前に

  • 最大50のアプリ、グループ、またはその組み合わせを除外できます。

  • キャンペーン内のレビュー対象の数は、1~100,000の間である必要があります。大規模なキャンペーンをより適切に管理できるように、レビューを複数のキャンペーンに分割します。

キャンペーンをセットアップする

  1. Okta Admin Consoleで[Identity Governance(IDガバナンス)][Access Certifications(アクセス認定)]に移動します。

  2. [Create campaign(キャンペーンを作成)]をクリックします。

  3. [Create campaign(キャンペーンを作成)]ドロップダウンメニューから[User campaign(ユーザーキャンペーン)]をキャンペーンタイプに選択します。

  4. ウィザードで次の設定を構成してから、[Schedule campaign(キャンペーンの日程を設定)] をクリックします。

一般設定を構成する

次の設定を構成します。

  1. [Campaign name(キャンペーン名)]:キャンペーンの名前を入力します。理想的には、レビュアーにとってわかりやすい名前を入力してください。
  2. [Description(説明)]:キャンペーンの目的を説明します。
  3. [Start date(開始日)]:キャンペーンの開始日を選択します。
  4. [Start time(開始時刻)]:キャンペーンの開始時刻とタイムゾーンを選択します。
  5. [Duration(所要時間)]:キャンペーンを実行する期間を選択します。マルチレベルレビュアーを使用したキャンペーンは、7日間以上の期間を設定する必要があります。
  6. 任意。[Make this recurring(これを繰り返す)]を選択して、キャンペーンの定期スケジュールを設定します。繰り返しキャンペーンを効率よく計画する方法については、「繰り返しキャンペーンに関する考慮事項」を参照してください。

ユーザーの設定を構成する

以下の1つのオプションを選択して、キャンペーンに含めるユーザーを定義します。

  • [Individual users(個々のユーザー)]:1人以上のユーザーを選択します。最大100人のユーザーを選択できます。

  • [Specific groups(特定のグループ)]:1つ以上のグループを選択します。最大5つのグループを選択できます。

  • [Custom(カスタム)](Okta Expression Language)Okta Expression Language式を入力し、特定の基準を満たすユーザーまたはグループを含めます。式の結果は、ユーザーをキャンペーンに含める場合はtrue、キャンペーンから除外する場合はfalseになります。「ユーザースコープを定義する」を参照してください。

    レルム機能を有効にしたときは、このオプションを使ってキャンペーンのユーザースコープを特定のレルムに制限します。

リソースの設定を構成する

  1. 以下の1つのオプションを選択して、キャンペーンに含めるリソースを定義します。

    • [All apps and groups assigned to users in scope(スコープ内のユーザーに割り当てられたすべてのアプリとグループ)]:先ほど選択したユーザーに割り当てられているすべてのアプリとグループを含めるには、このオプションを選択します。

    • [All apps assigned to users in scope(スコープ内のユーザーに割り当てられたすべてのアプリ)]:先ほど選択したユーザーに割り当てられているすべてのアプリを含めるには、このオプションを選択します。

    • [All groups assigned to users in scope(スコープ内のユーザーに割り当てられたすべてのグループ)]:先ほど選択したユーザーに割り当てられているすべてのグループを含めるには、このオプションを選択します。

      キャンペーンにエンタイトルメントを含める、または管理者ロールを管理するときは、[All groups(すべてのグループ)]を選択しないでください。[All groups(すべてのグループ)]を選択すると、[Only include individually assigned entitlements(個別に割り当てられたエンタイトルメントのみを含める)]オプションを利用できなくなります。

  2. 任意。リソースのスコープをユーザーに個別に割り当てられたアプリに制限するには、[Only include individually assigned apps(個別に割り当てられたアプリのみを含める)] を選択します。

    グループによって割り当てられたアプリケーションは含まれません。ユーザーに割り当てられたアプリとグループの両方をレビューする際の余分なレビューを減らす(アプリとグループを割り当てるグループはすでにレビューされているため)ときは、このオプションを使用します。

  3. 任意。リソースのスコープをユーザーに個別に割り当てられたグループに制限するには、[Only include individually assigned groups(個別に割り当てられたグループのみを含める)]を選択します。グループルールによって割り当てられたグループを含めません。グループルールによって割り当てられたリソースに問題がなく、グループルール外で割り当てられたグループのみをレビューするときは、このオプションが役立ちます。

  4. 任意。エンタイトルメントポリシーによって割り当てられたエンタイトルメント除外する、またはグループ割り当てによって割り当てられた管理者ロールを除外するには、[Only include individually assigned entitlements(個別に割り当てられたエンタイトルメントのみを含める)]を選択します。

    キャンペーンでアプリのエンタイトルメントをレビューする場合は、アプリに対してGovernance Engineを有効にしたこと、およびエンタイトルメントを作成したことを確認します。「エンタイトルメント管理を開始する」を参照してください。

  5. 任意。[Exclude specific apps from the campaign(特定のアプリをキャンペーンの対象から除外する)]を選択して、キャンペーンから除外するアプリを指定します。

  6. 任意。[Exclude specific groups from the campaign(特定のグループをキャンペーンの対象から除外する)]を選択して、キャンペーンから除外するグループを指定します。

レビュアーの設定を構成する

キャンペーンに含まれるレビュアーがキャンペーン開始設定時刻に非アクティブ化または削除されている場合、キャンペーンは開始されません。

  1. レビュアータイプを選択します:

    • [Users(ユーザー)]:キャンペーン内のすべてのユーザーについて、アクセス認定のレビューを担当するレビュアーの名前を入力します。

    • [Manager(マネージャー)]:Oktaでユーザーのプロファイルにリストされているユーザーのマネージャーにレビューアイテムを割り当てます。Oktaのユーザーのプロファイルにマネージャーがリストされていない場合、レビューは最終レビュアーに割り当てられます。

    • [Group(グループ)]:特定のユーザーグループのすべてのメンバーにレビューアイテムを割り当てます。1人のグループメンバーのみがレビューを行い、レビューアイテムに対してアクションを実行する必要があります。そのため、グループメンバーがレビューアイテムへのアクセスを承認するか、取り消した場合、そのレビューアイテムはすべてのレビュアーに対して「完了済み」とマークされます。ドロップダウンメニューには、1~10人のメンバーがいるグループのみが表示されます。それよりも多くのメンバーをグループに追加すると、レビューアイテムはグループの10人のメンバーにランダムに割り当てられます。

    • [Group owner(グループ所有者)]:Oktaでグループのプロファイルにリストされているグループの所有者にレビューアイテムを割り当てます。[Group Owner(グループ所有者)]のオプションは、次の条件が当てはまる場合のみ使用可能で有効です。

      • [リソース]ペインで1つ以上のグループをリソースとして選択した。

      • 各グループのグループオーナーが個人またはグループである。どのグループについても、人とグループの組み合わせをグループ所有者にすることはできません。グループ内のグループ所有者の数が10人より多い場合、レビューアイテムは10人のグループ所有者にランダムに割り当てられます。

    • [Custom(カスタム)]:有効なOkta Expression Language式を入力して、レビュアーを指定します。式は、レビュアーとして割り当てる必要があるユーザーのOktaユーザーIDまたはユーザー名を返す必要があります。式がレビュアーの値を返さないときは、最終レビュアーがユーザーのレビュアーとして割り当てられます。「動的レビュアーを定義する」を参照してください。

      レルム機能を有効にしたときは、このオプションを使ってキャンペーンのレビュアーを特定のレルムに制限します。

  2. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。
  3. 推奨。[Preview reviewer(プレビューレビュアー)]リンクをクリックし、ユーザー名を入力します。[Preview(プレビュー)]をクリックし、割り当てられたレビュアーを表示します。

  4. 任意。[Disable self-review(セルフレビューを無効にする)]を選択します。このオプションは、含まれるリソースの重要性や機密性に応じて、キャンペーンのセルフレビューを許可するか許可しない柔軟性を提供します。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。キャンペーンでセルフレビューが無効になっている場合、独自のレビューアイテムを承認、取り消し、または再割り当てすることはできません。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。「セルフレビューの無効化を理解する」を参照してください。

  5. 任意。[Add level(レベルの追加)]をクリックして、レビューに別のレベルを追加し、レビュアータイプを選択します。

  6. 第2レベルのレビュアーを追加した場合には、[追加レベルの設定]セクションで、第2レベルのレビュアーに送る第1レベルのレビュアーの決定を選択します。

    • [Only approved decisions(承認された決定のみ)]:承認された決定の最終レビュアーは、第2レベルのレビュアーとなります。このオプションでは、第2レベルのレビュアーは、第1レベルのレビュアーの承認については決定を下すことができますが、取り消された決定についてはできません。取り消された決定の最終レビュアーは、引き続き第1レベルのレビュアーとなります。

    • [Both approved and revoked decisions(承認された決定と取り消された決定の両方)]:承認されたすべての決定と取り消されたすべての決定の最終レビュアーは、第2レベルのレビュアーとなります。このオプションでは、第2レベルのレビュアーは、第1レベルのレビュアーが下したすべての決定について決定を下すことができます。

    • スライダーを使用して、第2レベルのレビューが開始される日を指定します。この数は、キャンペーンの期間より小さい必要があります。第2レベルのレビューは、第1レベルのレビューが終了すると開始されます。第2レベルのレビューの開始時にレビューが保留されている場合、第1レベルのレビューに期限切れのフラグが立てられます。

  7. 通知を設定します:

    • [Reviews assigned(レビューの割り当て)]:キャンペーンの開始時にレビューアイテムが割り当てられたときや、レビューアイテムが再割り当てされたときに、レビュアーはメール通知を受け取ります。管理者は、キャンペーンの開始時にレビュアーが受け取るメールをカスタマイズできます。「メールテンプレートをカスタマイズする」を参照してください。

    • [Reminder for pending reviews(保留中レビューのリマインダー)]:保留中のレビューアイテムがあるレビュアーは、キャンペーンの終了前にメール通知を受け取ります。リマインダーは、キャンペーンの中間時点、キャンペーンの終了日、またはキャンペーン終了の数日前に送信されるように選択できます。

      マルチレベルレビューが設定されているキャンペーンでは、第1レベルと第2レベルの両方のレビュアーがリマインダーを受け取ります。

      キャンペーン終了予定日の前に自分も管理者としてリマインダーメールを受け取りたいときは、このオプションを選択します。

    • [Overdue reminders for first-level reviewers(第1レベルのレビュアーの期限切れリマインダー)]:レビューアイテムを保留している第1レベルのレビュアーは、第1レベルレビューの終了後、キャンペーンの終了まで毎日メール通知を受け取ります。このオプションは、マルチレベルレビューが設定されているキャンペーンでのみ使用できます。

    • [Campaign ended(キャンペーンの終了)]:キャンペーンが終了すると、レビュアーはメール通知を受け取ります。管理者は、自分が作成したキャンペーンが開始または終了するときのメール通知に自動サブスクライブされます。また、キャンペーンの開始に失敗した場合は、キャンペーンのページへのリンクが記載されたメール通知を受け取ります。

  8. レビュアーの追加設定を構成します:

    • [Require justification(理由が必要)]:レビュアーがユーザーのリソースへのアクセスを承認または取り消した理由を入力することを必須にするときは、このオプションを選択します。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。

    • [Disable bulk decisions(一括決定を無効にする)]:レビュアーが承認または取り消すレビューを複数選択することができないようにするときは、このオプションを選択します。それでもレビュアーは複数のレビューを別のユーザーに再割り当てできますが、再割り当ての理由を入力する必要があります([Require justification(理由が必要)]チェックボックスがオフであっても)。管理者ロールへのアクセスをレビューするキャンペーンでは、このオプションはデフォルトで有効化されます。

修復設定を構成する

レビュアーがユーザーのリソースへのアクセスを承認または取り消した場合の処理、またはレビューを完了しなかった場合の処理を選択します。

Okta Workflowsを使用して修復をカスタマイズすることもできます。ほとんどのキャンペーンについて、ユーザーのアプリやグループがグループルールやグループメンバーシップによって割り当てられている場合には、手動でレビューを修復する必要があります。

修正の仕組みについては、「修復を理解する」を参照してください。

関連項目

Okta Expression Languageの例

アクティブなキャンペーンの進行状況を表示する

スケジュールされたキャンペーンを変更する

キャンペーンの終了日を変更する