キャンペーンを作成する

キャンペーンを作成して、リソースへのユーザーアクセスと、関連付けられているエンタイトルメント(標準およびカスタム管理者ロールを含む)を定期的にレビューします。

ベストプラクティス

  • Okta管理者ロールの管理機能を有効にしたときは、ユーザーの管理者ロール割り当てのレビューにリソースキャンペーンを使用できます。

    Okta管理者ロールの管理機能は、Okta Identity Governanceをサブスクライブしている方向けには公開されています。サブスクライブしていない場合、orgの適格性によってはOkta管理者ロールの管理機能を利用できない可能性があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。

  • わかりやすいキャンペーン名を選択してください。キャンペーン名はレビュアーに表示されます。
  • キャンペーンの説明には、レビュアーがキャンペーンの目的を理解する上で役立つ情報を含めます。たとえば、ユーザーのSalesforce権限を確認するキャンペーンをセットアップした場合、それをキャンペーンの説明として追加して、レビュアーにコンテキストを提供できます。
  • キャンペーンに関連付けられているリソースがOktaに存在し、非アクティブ化または削除されていないことを確認します。
  • 既知の問題と制限事項に留意してください。
  • 繰り返しキャンペーンに関する考慮事項」を参照してください。
  • 選択した最終レビュアーがOktaでアクティブになっていることを確認します。
  • レビュアータイプとしてManager(マネージャー)を使用するには、managerIdユーザー属性がユーザーのマネージャーのOktaユーザー名またはメールアドレスに設定されていることを確認します。設定されていない場合は、キャンペーンはマネージャーの特定に失敗し、レビューは最終レビュアーに割り当てられます。
  • キャンペーンでアプリのエンタイトルメントをレビューする場合は、アプリに対してGovernance Engineを有効にしたこと、およびエンタイトルメントを作成したことを確認します。「エンタイトルメント管理を開始する」を参照してください。

  • Group Owner(グループ所有者)のレビュアータイプを使用するには、Oktaにグループ所有者が構成されていることを確認します。「Oktaグループ所有者を構成する」を参照してください。

  • 重要なリソースに対する自分自身のアクセスをユーザーがレビューおよび承認しないように、レビュアーを定義する際に[Disable self-review(セルフレビューを無効にする)]チェックボックスを選択します。

  • マルチレベルレビューが設定されたキャンペーンでは、次の事項を考慮してください。

    • 1つのキャンペーンに2レベルのレビューをセットアップできます。

    • 第2レベルのレビュアーにレビューアイテムが送信されるのは、第1レベルのレビュアーがそれを承認または取り消した後のみとなります。キャンペーンの進捗を妨害しないためには、第1レベルのレビュアーが予定どおりにレビューアイテムの決定を下すことが重要です。

    • 第2レベルのレビュアーは、レビューアイテムに関する第1レベルのレビュアーの決定とその理由を表示できます。

    • 最終レビュアーは、キャンペーンの構成によって異なります。

    • キャンペーン向けに構成する修復オプションは、最終レビュアーが下した決定に適用されます。「修復設定」を参照してください。

始める前に

  • スーパー管理者またはアクセス認定管理者としてサインインしていることを確認します。

  • 管理者ロールを管理するためのキャンペーンを作成するときは、必ずスーパー管理者としてサインインし、機能が有効化されていることを確認します。また、「管理者ロールを管理するためのキャンペーンを作成する」というトピックに記載されいる考慮事項もお読みください。

  • Okta Expression Languageを使って特定レルムからのユーザーが含まれるようにキャンペーンを制限するときは、レルム機能が有効化されていることを確認します。

このタスクを開始する

  1. Admin Console[Identity Governance(IDガバナンス)][Access Certifications(アクセス認定)]に移動します。

  2. [Create campaign(キャンペーンを作成)]をクリックします。

  3. [Create campaign(キャンペーンを作成)]ドロップダウンメニューからキャンペーンタイプを選択します。

    • Resource campaign(リソースキャンペーン):リソースキャンペーンはキャンペーンのリソーススコープの設定に重点を置いているため、それらのリソースにアクセスできるすべてのユーザーを確認できます。このキャンペーンタイプは、機密リソースへのアクセスを確認し、コンプライアンス要件を満たす上で役立ちます。特にユーザーの管理者ロール割り当てをレビューするときは、このキャンペーンタイプを使用します。

    • [User campaign(ユーザーキャンペーン)]:ユーザーキャンペーンはキャンペーンのユーザー範囲の定義に重点を置いているため、これらのユーザーに割り当てられたすべてのリソースを包括的に確認できます。このキャンペーンタイプは、部門、ロール、プロジェクトの変更などの特定のイベントが発生した場合に、リソースへのユーザーのアクセスを確認する上で役立ちます。

      ユーザーの管理者ロール割り当ては、確認のためにユーザーキャンペーンには含まれません。

  4. ウィザードで要件を構成します。[Users(ユーザー)]および[Resources(リソース)]ページの構成は、キャンペーンタイプによって異なります。

    リソースキャンペーン

    1. 一般設定

    2. リソース設定

    3. ユーザー設定

    4. レビュアー設定

    5. 修復設定

    ユーザーキャンペーン

    1. 一般設定

    2. ユーザー設定

    3. リソース設定

    4. レビュアー設定

    5. 修復設定

  5. 任意。レビュアーに役立つように、キャンペーンのコンテキスト情報を追加または変更します。「カスタマイズ可能なレビュアーコンテキスト」を参照してください。

  6. [Schedule campaign(キャンペーンの日程を設定)]をクリックします。

関連項目

キャンペーンウィザードのフィールド

Okta Expression Languageの例

アクティブなキャンペーンの進行状況を表示する

スケジュールされたキャンペーンを変更する

キャンペーンの終了日を変更する