セキュリティアクセスレビューの修復を理解する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
セキュリティアクセスレビューでは、ほとんどの修復は自動的に行われますが、以下の場合は手動修復が必要になります。
-
ユーザーがポリシーによってグループに割り当てられた。
-
ユーザーはポリシーによってグループに割り当てられ、その結果アプリにも割り当てられた。
-
ユーザーはポリシーまたはグループルールによってエンタイトルメントを割り当てられた。
-
ユーザーがアプリソースのグループ(Active Directory(AD)グループを除く)のメンバーである。
手動修復に関する考慮事項
-
グループまたはポリシーからユーザーを削除する前に、ユーザーがグループまたはポリシーから取得する割り当てを確認してください。アプリ、管理者ロール、サインオンポリシー、その他の権限は、多くの場合、グループまたはポリシーを通じて割り当てられます。ユーザーをグループから削除すると、そのユーザーがそのグループを通して取得したすべての割り当てが取り消されます。
-
ユーザーをアプリに割り当てることができる複数のグループメンバーシップまたはポリシールールをユーザーが持っているかどうかを確認します。アクセスを削除するには、すべてのグループからユーザーを削除するか、アプリへのアクセスを付与するポリシールールを更新する必要があります。
-
アプリソースのグループを削除する前に、ソースアプリでそのグループがどのように使用されているかを確認してください。
次の推奨アクションを実行して、アクセスを修復します。
| リソース | Assignment method(割り当て方法) | 推奨アクション |
|---|---|---|
| Group(グループ) | ポリシーを通じたOktaソースのグループメンバーシップ | グループからユーザーを削除します。また、再割り当てを防ぐために、ポリシールールを確認して除外するように更新します。 |
| アプリ | ポリシーを通じたOktaソースのグループメンバーシップ | グループからユーザーを削除します。また、再割り当てを防止するために、ポリシールールを確認して更新します。 |
| アプリ | アプリソースのグループメンバーシップ(Active Directory(AD)グループを除く) | アプリソースのグループからユーザーを削除します。 |
| Entitlements(エンタイトルメント) | ポリシーまたはグループルール | エンタイトルメントがポリシーから割り当てられた場合には、再割り当てを防止するために、ポリシールールを確認して除外するように更新します。 エンタイトルメントがグループルールから割り当てられた場合、ユーザーをグループから削除し例外としてグループルールに追加します。 |