リソースコレクションのアクセスリクエスト条件を作成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

アクセスリクエスト条件を使用することで、リソースコレクションへのアクセスを要求するプロセスを合理化できます。

開始する前に

  • スーパー管理者、またはアクセスリクエスト管理者とアプリ管理者の両方のロールが割り当てられたユーザーとしてAdmin Consoleにサインインします。
  • 考慮事項」をお読みください。
  • エンタイトルメントバンドルを使ってアクセスレベルを定義するには、アプリのGovernance Engineを有効化し、エンタイトルメントとバンドルを作成します。
  • 管理者ロールのアクセスリクエストの合理化については、代わりに「Okta管理者ロールを管理する」と「アクセスリクエスト管理者ロール」を参照してください。

このタスクを開始する

  1. Admin Console[Identity Governance(IDガバナンス)][Resource Collections(リソースコレクション)]に移動します。
  2. アクセス条件を作成するコレクションを検索します。そのコレクションの[View(表示)]をクリックします。
  3. [Access Requests(アクセスリクエスト)]タブに移動します。
  4. 任意。ユーザーが別のユーザーに代わってアクセスを要求できるようにするには、次の手順を実行します。
    1. [Settings(設定)]をクリックし、[Enable request on behalf of(次のユーザーの代わりに要求することを有効化)] をクリックして有効化します。この設定は、このリソースコレクションのすべての条件に適用されます。
    2. この権限をすべてのユーザーに付与するか、ユーザーのマネージャーのみがユーザーに代わってアクセスを要求できるように制限します。
    3. [Save(保存)]をクリックします。
    4. アクセスリクエストタブに戻ります。
  5. [+ Create condition(+条件を作成)]をクリックします。
  6. 条件の名前を入力します。

  7. 要求者スコープセクションで次のいずれかのオプションを選択し、アクセスを要求できるユーザーを定義します。

    • Everyone in the organization(組織の全員)
    • Specific groups(特定のグループ)
  8. デフォルトで[Access level(アクセスレベル)]が選択されています。
  9. アクセス期間セクションで、トグルを有効にし、以下のいずれかのオプションを選択します。
    • [Specify expiration now(有効期間を直ちに指定する)]:ユーザーのアクセスが期限切れになる時間を示します。
    • [Ask requester to specify expiration(要求者に有効期間の指定を求める)]:ユーザーがアクセスに必要な時間を指定することを許可します。オプションを制限するように[Maximum duration(最大期間)]を構成する必要があります。
  10. [承認シーケンス]セクションで、[Select sequence(シーケンスを選択)]をクリックします。
  11. 既存の承認シーケンスを選択するには、そのシーケンスの[Select(選択)]をクリックします。または、[New sequence(新規シーケンス)]をクリックしてシーケンスを作成してから、それを選択することもできます。「承認シーケンスを構成する」を参照してください。
  12. [Create(作成)]をクリックします。この条件はデフォルトで非アクティブ状態になります。
  13. ドラッグアンドドロップで条件を移動し、他の条件に対するその条件の優先度を定義します。Oktaでは、条件を有効化した後での条件の優先順位のみが考慮されます。
  14. 任意。条件を有効化して使用できるようにします。条件で参照しているアイテムがアクティブまたは使用可能であることを確認します。いずれかのアイテムが非アクティブである、または削除されている場合、条件を有効にしたときに、または要求者がリクエストを送信したときに条件は無効になります。

Okta Access Requestsアプリを承認者に割り当てて、承認者がリクエストを承認または拒否できるようにします。 「グループへの単一アプリの割り当て」または「アプリケーションをユーザーに割り当てる」を参照してください。

ユーザーエクスペリエンス

要求者が複数の条件の基準を満たしている場合は、最も優先度の高い条件によってリクエストの承認に使用される承認シーケンスが決定されます。要求者のグループメンバーシップが変更され、要求者が条件を満たさなくなると、その要求者はそれらの条件で管理されているグループ、エンタイトルメント、またはバンドルを要求できなくなります。既存の割り当ては影響を受けません。

要求者、リクエストの割り当て先、および承認者のエクスペリエンスを理解するには、「リクエストの作成」、「リクエストの管理」、「タスクの管理」を参照してください。

関連項目

アクセスリクエスト条件を管理する

承認シーケンスを構成する