考慮事項と制限
エンタイトルメント管理機能を使用するときは、事前に次のガイダンスに留意してください。
-
エンタイトルメント管理では、アプリケーションはリソースとしてのみサポートされます。
-
アプリ向けのGovernance Engineの有効化が失敗すると、システムログイベントが不正確になる可能性があります。
-
プロビジョニング対応アプリでは、プロビジョニングを有効にしていない場合にGovernance Engineを有効にできるのは、アプリインスタンスに対してのみです。
-
Governance Engineとプロビジョニングが有効なプロビジョニング対応アプリで[Create Users(ユーザーを作成)]と[Update User Attributes(ユーザー属性をアップデート)]を有効にします。これらの設定は、エンタイトルメントが正確に割り当てられるようにするためのものです。これらのオプションは、アプリインスタンスの[Provisioning(プロビジョニング)]タブにある[Settings(設定)]の[To App(アプリへ)]セクションで設定します。
-
新しいアプリインスタンスを作成してから、エンタイトルメントポリシーを効果的に使用できるようにGovernance Engineを有効にします。既存のアプリインスタンスに対してGovernance Engineを有効にすると、既存のユーザーの割り当てが「Custom(カスタム)」とマークされます。既存のアプリインスタンス用に作成したポリシーは、そのアプリに割り当てられる新規ユーザーにのみ適用されます。
-
ポリシールールによるエンタイトルメントの割り当ては、Oktaソースのグループに対してのみ有効です。非Oktaソースのグループのユーザーのメンバーシップが変更された場合、ポリシーによってそのユーザーに割り当てられたエンタイトルメントはアップデートされません。
-
エンタイトルメントバンドルをAdmin Consoleから直接ユーザーに割り当てることはできません。ユーザーがアクセスリクエストからエンタイトルメントバンドルへのアクセスをリクエストできるように、リクエストタイプを設定する必要があります。代わりに、APIを使用してバンドルをユーザーに割り当てることができます。「Okta Identity Governance API」を参照してください。
-
エンタイトルメント管理では、アクセスリクエストでTimer(タイマー)設定が使用または強制適用されません。
-
エンタイトルメント管理では、必須のエンタイトルメントはサポートされません。
-
アクセスリクエストでは、必須のエンタイトルメントまたは属性があるアプリへのリクエストはサポートされません。
-
エンタイトルメントポリシーを使用してバンドルを割り当てることはできません。
-
アプリでGovernance Engineが有効になっている場合、アプリのプロファイルページの[Self Service(セルフサービス)]セクションは使用できません。
エンタイトル管理のサポート対象アプリケーション
|
アプリケーションタイプ
|
サポート対象 |
|
|---|---|---|
| テンプレートアプリ |
OIDC(Federation Broker Modeなし) |
はい |
|
OIDC(Federation Broker Modeあり) |
いいえ |
|
|
SCIM |
はい |
|
|
SAML |
はい |
|
|
ブックマーク |
いいえ |
|
|
SWA |
いいえ |
|
|
OINアプリ
|
||
|
Universal Directory(UD)属性があるプロビジョニング対応アプリ |
限定 「エンタイトルメント対応アプリ」を参照してください。 |
|
|
UD属性がないプロビジョニング対応アプリ |
はい |
|
|
プロビジョニング対応ではないアプリ |
はい |
|
|
SWA |
いいえ |
|
|
APIサービスアプリ |
N/A |
いいえ |
エンタイトルメントの上限
|
コンポーネント |
最大 |
|---|---|
|
org内のエンタイトルメント |
10,000 |
|
org内のエンタイトルメント値 |
150,000 |
|
バンドル内のエンタイトルメント |
100 |
|
org内のエンタイトルメントバンドル |
1,000 |
|
サードパーティアプリケーション向けのエンタイトルメントポリシールールの数 |
100 |