エンタイトルメントポリシーを作成する
エンタイトルメントポリシーはルールの集合です。アプリのエンタイトルメントポリシーの作成を開始するには、ルールを追加します。既存のポリシーがないか、ルールを追加していない場合には、ルールを追加すると自動的にドラフトポリシーが作成されます。ルールを使用すると、エンタイトルメントポリシーでユーザーのプロファイル属性とグループメンバーシップに基づいてユーザーにエンタイトルメントを自動的に割り当てることができます。
開始する前に
-
「エンタイトルメントポリシー」を参照してください。
-
スーパー管理者、アプリ管理者、または次の権限を持つ管理者としてサインインします。
-
Manage applications(アプリケーションを管理する)
-
Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)
-
Edit groups' application assignments(グループのアプリケーション割り当てを編集する)またはEdit users' application assignments(ユーザーのアプリケーション割り当てを編集する)
-
-
自分がOktaエンタイトルメント管理アプリケーションに割り当てられていることを確認します。
このタスクを開始する
- Admin Consoleで、 に移動します。
-
アプリを検索して選択します。
-
-
ポリシーを編集するときは、[Edit policy(ポリシーを編集)]または[Continue editing policy(ポリシーの編集を続行)]をクリックします。これにより、アクティブポリシーのコピーがドラフトモードで作成されます。
-
[Add Rule(ルールを追加)]をクリックします。以前に追加したルールがない場合、ルールを追加すると自動的にドラフトポリシーが作成されます。
-
ポリシーを編集するときは、[Add rule(ルールを追加)]をクリックする前に[Edit policy(ポリシーを編集)]または[Continue editing policy(ポリシーの編集を続行)]をクリックします。[Edit policy(ポリシーを編集)]をクリックすると、アクティブポリシーのコピーがドラフトモードで作成されます。
-
[Rule name(ルール名)]フィールドに、一意のわかりやすい名前を入力します。
-
基本条件またはOkta Expression Languageを使ってユーザースコープを定義します。
方式 タスク 基本条件 Okta Expression Languageを使用せずにユーザースコープを定義するには、この方式で行います。
-
任意。[Use basic conditions(基本条件を使用)]を選択します。
-
属性タイプとして[User attribute(ユーザー属性)]または[Group membership(グループメンバーシップ)]をドロップダウンメニューから選択します。
-
[User attribute(ユーザー属性)]:属性、演算子、値を選択します。
-
[Group membership(グループメンバーシップ)]:ユーザーがメンバーである必要があるグループを選択します。
Okta Expression Language Okta Expression Languageを使ってよりカスタマイズされた方法でユーザースコープを定義するには、この方式で行います。
レルム機能を有効にしたときは、この方式を使ってポリシールールを特定のレルムに属するユーザーに制限します。
-
[Use Okta Expression Language (advanced)(Okta Expression Languageを使用(上級))]を選択します。
-
[Users(ユーザー)]フィールドに、ユーザースコープを定義するユーザー固有のOkta Expression Language式を入力します。「Okta Expression Languageの例」と「Okta Expression Language」を参照してください。
-
-
任意。[Preview User(ユーザーをプレビュー)]フィールドにユーザーの名前またはメールを入力して、[Preview(プレビュー)]をクリックします。これにより、ルールの式にユーザーが含まれていることを確認できます。
-
エンタイトルメントとそれに対応する値をそれぞれ[Entitlement(エンタイトルメント)]および[Value(値)]ドロップダウンメニューから検索して選択します。
-
任意。さらにエンタイトルメントを追加するには、[+ Add entitlements(+エンタイトルメントを追加)]をクリックして前の手順を繰り返します。
-
[Add rule(ルールを追加)]をクリックして変更を保存し、ルールをポリシーに追加します。
複数のルールを作成した場合、エンタイトルメント管理では、最後に作成したポリシールールに最も高い優先順位が与えられます。ルールを[Policy(ポリシー)]タブにドラッグアンドドロップして優先順位を変更することもできます。
エンタイトルメントに1つの値しかない場合は、一致する最初のルールによってユーザーのエンタイトルメント値が決まります。エンタイトルメントに複数の値がある場合は、一致するすべてのルールの和集合によってユーザーのエンタイトルメント値が決まります。
エンタイトルメントは、設定したポリシールールに基づいてユーザーに割り当てられます。
Oktaソースのグループでは、エンタイトルメントはユーザーがポリシールールの条件を満たす場合にのみ付与されます。ユーザーが複数のポリシーの条件を満たす場合は、その組み合わせによってユーザーのエンタイトルメントが決定されます。ユーザーのプロファイル属性またはグループメンバーシップが変更され、ユーザーが条件を満たさなくなった場合、エンタイトルメントは取り消されます。
アクティブポリシーのルールは[Policy(ポリシー)]タブに表示されます。ドラフトポリシーのルールを表示するには、[Policy(ポリシー)]タブの[Edit policy(ポリシーを編集)]または[Continue editing policy(ポリシーの編集を続行)]をクリックします。ルールに関連するドロップダウンを展開して詳細を表示します。