監査人(読み取り専用)モード
監査者(読み取り専用)モードでは、スーパー管理者が管理者の割り当てに読み取り専用の制限を適用できます。
早期アクセスリリース
監査者(読み取り専用)モード(Auditor (Read-only)mode)では、管理者にロール構成に対する読み取り専用アクセス権が付与されます。これにより、監査人はシステムを明確に可視化できる一方で、セキュリティの透明性を維持し、運用負荷を軽減することができます。
Standardの管理者ロール(読み取り専用の管理者ロールなど)とは異なり、監査人(読み取り専用)モードは管理者ロールに対する修飾子として機能します。この設定は、Standardの管理者ロールまたはカスタム管理者ロールが割り当てられている任意のユーザーまたはグループに適用できます。管理者を使用して管理者ロールの割り当てを作成するを参照してください。
アクティブなスーパー管理者が含まれるグループに対して、監査人(読み取り専用)モード(Auditor (Read-Only) mode)を有効にしないでください。これを実行すると、org全体に対する変更権限が直ちに取り消されます。
仕組み
管理者割り当てに対して監査人(読み取り専用)モード(Auditor (Read-Only) mode) を有効にすると、 Oktaは次の動作を適用します。
- 管理者を読み取り専用アクセスに制限します。
- 作成、構成変更、削除をブロックします。
この制限は、特定のOktaファーストパーティーアプリを除き、 Admin ConsoleおよびOkta APIエンドポイントの全体に適用されます。Oktaファーストパーティアプリへの影響を参照してください。
割り当て方法
監査人(読み取り専用)モード(Auditor (Read-Only) mode)は、次の2つの方法で適用できます。
- 直接割り当て:
- 個々の管理者の割り当てに直接この設定を適用します。
- グループの割り当て:
- Oktaグループに設定を適用します。グループのすべてのメンバーは、それぞれの管理者ロールに対して読み取り専用の制限を継承します。
管理者を使用して管理者ロールの割り当てを作成するを参照してください。
運用ルール
この設定を有効にする前に、次の構造ルールを確認してください。
- 前提条件
- この設定は、対象のユーザーまたはグループに少なくとも1つのStandard管理者ロールまたはカスタム管理者ロールが割り当てられた後にのみ有効になります。ユーザーまたはグループにアクティブな管理者ロールがない場合、この設定は非アクティブのままになります。
- スコープ
- この設定は、管理者のロールに含まれるすべてのリソースおよび定義された権限に適用されます。特定のリソースまたは権限に対して選択的に適用することはできません。
Oktaファーストパーティアプリへの影響
Oktaのファーストパーティアプリとは、 Oktaによって作成されたプラットフォームアプリです( Access Requests や Okta Workflowsなど)。ほとんどのOktaアプリは、読み取り専用の監査人動作をサポートしていません。
個々のファーストパーティーアプリはそれぞれ異なるアプリアーキテクチャを使用しており、すべてが読み取り専用の動作をサポートするとは限らないため、 監査人(読み取り専用)モード(Auditor (Read-Only) mode)では、セキュリティギャップを防ぐために標準的なアプリ割り当てライフサイクルを変更します。
- 自動割り当て解除
- 監査人(読み取り専用)モード(Auditor (Read-Only) mode)を有効にすると、 OktaはAdmin Consoleを除くすべてのOktaファーストパーティアプリの割り当てを自動的に管理者から解除します。
- 手動再割り当て
- 監査で可視性が必要な場合、スーパー管理者はOktaファーストパーティアプリをその管理者に手動で再割り当てすることができます。
- 自動復元
- 監査人(読み取り専用)モード(Auditor (Read-Only) mode)を無効にすると、 Oktaは管理者の基礎となる権限に基づいて、該当するすべてのファーストパーティアプリを自動的に再割り当てします。この操作は、状態変更前に行われた手動の割り当て解除を上書きします。
主要なUIインジケーター
監査人(読み取り専用)モード(Auditor (Read-Only) mode) がアクティブになっている場合、運用上の混乱を防ぐために次の視覚的なキューが表示されます。
- セッションバナー
- 監査人がサインインすると、 Admin Consoleの上部に永続的なバナーが表示され、読み取り専用モードであることが明示されます。
- ステータスラベル
- ユーザープロファイルの 管理者ロール(Admin Roles)タブとページに、監査人ラベルが表示されます。
ベストプラクティスとセキュリティに関する推奨事項
- 監査人(読み取り専用)モード(Auditor (Read-Only) mode)は、個人に対して直接有効に設定するか、 Oktaグループに対して設定するかのいずれか一方の方法でのみ有効にしてください。
- ユーザーまたはグループの 監査人(読み取り専用)モード(Auditor (Read-Only) mode) を有効にした後は、グループ割り当てを通じて基礎となる管理者ロールを変更しないでください。