管理者ロールを確認するキャンペーンを作成する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
ユーザーが適切なレベルでアクセスできるように、事前構成されたリソースまたはユーザーキャンペーンを作成します。管理者ロールを管理するキャンペーンを作成、管理するには、Okta アクセス認定アプリに割り当てられたスーパー管理者である必要があります。アプリでは、Admin Consoleの[アクセス証明書]セクションにアクセスすることができます。
事前構成されたキャンペーン
「事前設定されたキャンペーンの作成 」に記載されている手順を使用して、[Okta administrator review(Okta管理者レビュー)]キャンペーンを作成することができます。
Okta Identity Governanceをサブスクライブしていない場合でも、[Discover inactive users(非アクティブなユーザーを検出する)]キャンペーンは制限された機能でも利用できます。このキャンペーンでは、ユーザーの管理者ロールの割り当ては確認されないことに注意してください。
リソースとユーザーキャンペーン
「リソースキャンペーンを作成する」または「ユーザーキャンペーンを作成する」に記載されている手順を使用しますが、次の点に留意してください。
-
ユーザーキャンペーンは、Okta Identity Governanceをサブスクライブしている場合にのみ、管理者ロールの管理に利用できます。
-
リソースキャンペーンの場合は、[リソース]ページで次の選択を行います。
-
リソースタイプとして[Applications(アプリケーション)]を選択し、アプリとして[Okta Admin Console]を選択します。[Review entitlements(アンタイトルメントを確認する)]チェックボックスはデフォルトでオンになっています。
-
[Specific entitlements and bundles(特定のエンタイトルメントとバンドル)]を選択します。
-
Admin Consoleから直接割り当てられた管理者ロールを認証するには、[Entitlements(エンタイトルメント)]を選択します。または、[Bundles(バンドル)]を選択して、アクセス要求条件を使用して割り当てられた管理者ロールを認証します。
-
-
ユーザーキャンペーンの場合は、[リソース]ページで次の選択を行います。
-
[Resource scope(リソーススコープ)]を[All apps(すべてのアプリ)]または[All apps and groups(すべてのアプリとグループ)]として選択します。
-
ユーザーの管理者ロールの割り当てを含めるには、[Include Okta admin roles(Okta管理者ロールを含める)]を選択します。
-
-
リソースキャンペーンとユーザーキャンペーンの両方において、[Reviewers(レビュアー)]ページで次のチェックボックスがデフォルトで選択されています。選択をクリアすることはできません。
-
[Disable self-review(セルフレビューを無効にする)]:レビュアーは、リソースへの自身のアクセスを承認または取り消すことはできません。
-
[Require business justification(ビジネス上の正当な理由が必要)]:レビュアーは、リソースへのユーザーアクセスの承認または取り消しの決定理由を示す必要があります。
-
[Disable reassigments(再割り当てを無効にする)]:レビュアーは、レビューアイテムを別のユーザーに再割り当てすることはできません。ただし、スーパー管理者として、キャンペーンがアクティブになった後にレビューアイテムを別のレビュアーに再割り当てすることは引き続き可能です。
-
-
自分の管理者の割り当てがキャンペーンでレビューされる場合は、自分がそのキャンペーンのレビュアーではないことを確認してください。これは、キャンペーン開始時のエラーを避けるためです。
-
管理者ロールを管理するキャンペーンのレビュアーを慎重に選択してください。レビュアーは管理者であるかどうかに関係なく、自分に割り当てられたレビューアイテムへのアクセスの承認または取り消すことができます。アクセスをレビューするユーザーが管理者である場合でも、この操作を行うことができます。修復はすぐに行われます。