アクセス認定

アクセス認定を使用して、セキュリティアクセスレビューとキャンペーンを開始し、ユーザーアクセスをレビューして修復します。

セキュリティアクセスレビュー

セキュリティインシデントに応じて、機密リソースへのユーザーアクセスをレビューします。セキュリティアクセスレビューは、リソースへのユーザーアクセス、ユーザーのアクセスレベル、アクセスが付与された方法のレビューです。これらのレビューは、アプリとエンタイトルメントの重要性、およびアクセスの異常に基づいて優先順位が付けられ、アカウントとorgのセキュリティを強化するように組み込まれています。Okta Admin ConsoleまたはAPIを使用して、これらを手動で開始するか、特定のセキュリティイベントに応じて自動的にトリガーすることができます。これにより、アクセスの異常を調査し、アクセスが適切であることを確認し、必要に応じてアクセスを一時的または恒久的に取り消すことができます。

アクセス認定キャンペーン

リソースへのユーザーアクセスをレビューして認定し、最小権限アクセスモデルを採用して強制適用します。必要に応じて特定の期間にキャンペーンを開始するか、定期的なスケジュールで実行するように設定することができます。アクセス認定キャンペーンは通常スコープが広範囲で、大規模なユーザーセットまたは重要なリソースを対象とします。Oktaは、キャンペーン用に構成した設定に基づいて、アクセスを自動的に修復します。キャンペーンを実行して、監査、コンプライアンス、Governanceの要件を満します。

アクセス認定プロセスは、会社が次の要件を満たせるようにサポートします。

  • 特定のイベントに応じてセキュリティアクセスレビューを開始することで、orgのセキュリティを向上させる。

  • 職務分離(SoD)ルールを実装して、リソースへの不適切なアクセスのリスクを軽減することにより、重要なリソースを保護する。

  • アクセスを確認し、適切なユーザーのみが適切なリソースにアクセスできるという証拠を監査者に提供できるため、業界の監査に合格します。

  • 一時的なプロジェクトやユーザーによる組織内でのチームの変更に起因するライセンスの肥大化に関連するライセンスコストを削減します。

  • 既存のOkta構成とアプリ統合を使用して、サードパーティアプリでのキャンペーンの作成を容易にし、削除を自動化します。

ペルソナ

セキュリティアクセスレビューと認定キャンペーンは、異なる組織ロールのニーズを満たします。

セキュリティアクセスレビュー

ペルソナ 説明
管理者 セキュリティアクセスレビューを管理(Manage security access reviews)およびユーザーとその詳細情報を表示(View users and their details)権限を持つスーパー管理者またはカスタム管理者。
レビュアー(Reviewer) 別のユーザーのセキュリティアクセスレビューを割り当てられ、リソースへのユーザーアクセスの取り消しまたは復元を担当するorg内の任意のユーザー。
ユーザー(User) セキュリティアクセスレビューでリソースへのアクセスがレビューされるorg内の任意のユーザー。

認定キャンペーン

ペルソナ 説明
管理者

スーパー管理者またはアクセス認定管理者。
レビュアー(Reviewer) キャンペーン設定でレビュアーとして指定されたorg内の任意のユーザー。このユーザーは、キャンペーンに含まれるリソースへのユーザーアクセスに関する決定を担当します。
ユーザー(User) キャンペーンのスコープに含まれるリソースへのアクセスを持つorg内の任意のユーザー。
キャンペーン所有者またはキャンペーン作成者 キャンペーンを作成した管理者。最終レビュアーが利用できない場合、キャンペーンの作成者または所有者がレビュアーとして割り当てられる場合があります。

コンポーネント

コンポーネント 説明
キャンペーン(Campaign) アクセス認定、コンプライアンス、監査要件についてアクセスをレビューする一般的なプロセス。
セキュリティアクセスレビュー セキュリティについてリソースへのユーザーアクセスをレビューする対象となるプロセス。
リソース

  • キャンペーン:グループ、アプリ、OktaおよびSaaSアプリのサービスアカウント、エンタイトルメント、エンタイトルメントバンドル、コレクション。OktaおよびSaaSアプリのサービスアカウントは、Okta Privileged Accessをサブスクライブしている場合にのみリソースとして利用可能です。キャンペーンに含めるには、サービスアカウントを持つアプリもOkta Privileged Accessで管理される必要があります。サービスアカウントを認定するを参照してください。

  • セキュリティアクセスレビュー:アプリ、エンタイトルメント、バンドル。セキュリティアクセスレビューでは、リソースはAPIのアクセスアイテムとも呼ばれます。セキュリティアクセスレビュー(またはレビューアイテム)には通常、その中のリソースが複数含まれます。
レビューアイテム

  • キャンペーン:レビューのためにレビュアーに割り当てられたユーザー:リソースマッピングの1つ。通常、キャンペーンではレビュアーにレビューアイテムが複数割り当てられます。

  • セキュリティアクセスレビュー:ユーザー向けのセキュリティアクセスレビュー自体。同じレビュアーに複数のセキュリティアクセスレビューが割り当てられた場合、各レビューはレビューアイテムと呼ばれます。

Governance Analyzer

これは、org内のアクセス管理データをレビューおよび分析してインサイトを提供し、キャンペーンレビュアーに推奨事項を承認または取り消す機能です。

これにより、レビュアーはアクセス認定キャンペーン中にアクセスの承認または取り消しについて、情報に基づいて決定することができます。現在、Governance Analyzerインサイトと推奨事項は、グループ、アプリ、エンタイトルメント、エンタイトルメントバンドルへのアクセスをリソースとして認定するキャンペーンでのみ利用できます。

Governance Analyzerは早期アクセスリリースです。「セルフサービス機能を有効にする」を参照してください。

Governance Analyzerインサイト

Governance Analyzerによって生成され、レビューアイテムのレビュー詳細(Review details)パネルでレビュアーに表示されるコンテキスト情報。これには、職務分離ルールの矛盾、使用履歴、過去のガバナンスの決定、割り当て、ユーザープロファイルの変更が含まれます。

Governance Analyzerの推奨事項

レビュアーへのアクセス推奨事項を承認または取り消します。
スマートレビュー Okta Access Certifications Reviewアプリで、レビュー担当者がキャンペーンのアクセスをレビューし認定するための代替方法であり、共通の属性に基づいてレビューアイテムがステップごとにグループ化されます。
ステップ スマートレビューモードのステップとは、リソース、ユーザー、推奨事項などの共通要素を持つ2つ以上のレビューアイテムのセットです。

関連項目

キャンペーン

セキュリティアクセスレビュー