管理者ロールへのアクセスを確認する

アクセス認定キャンペーンを使用して、管理者ロールアクセスをレビューする必要があるユーザー、アクセスをレビューするユーザー、およびレビュアーがアクセスを承認または拒否したときに行われる修復アクションを決定します。

キャンペーンで1つ以上のレビューアイテムが割り当てられているユーザーには、ダッシュボードのOktaアクセス認定レビューアプリへのアクセス権が付与されます。レビュアーはこのアプリを使用し、キャンペーンでレビュアーの決定を必要とするレビューアイテムを表示してから、ユーザーのアクセスを承認または取り消すことができます。

管理者ロールを管理するキャンペーンでは、セルフレビューはデフォルトでは制限されています。つまり、管理者は自分のレビューアイテムの承認、取り消し、または再割り当てを行うことができません。ただし、 Okta管理者ロールのセルフレビュー(Self-review for Okta admin roles)を有効にした場合には、管理者が必要に応じて自分自身の管理者ロールアクセスをレビューおよび認証できるようにすることができます。セルフレビューの無効化を理解するを参照してください。

ベストプラクティス

  • レビュアーは自分の決定を下す前にその決定を確認する必要があります。レビュアーがレビューアイテムに関する決定を送信すると、それは最終的なものとなり、変更できません。

  • レビュアーがビジネス上の正当性を追加して自分の決定に関するコンテキストを提供すると、ノートがレビュアー自身、スーパー管理者、キャンペーンの作成者に表示されます。

  • マルチレベルレビューが設定されたキャンペーンでは、次の事項を考慮してください。

    • 一部のレビューアイテムは、第2レベルのレビュアーに送信されます。

    • 第2レベルのレビュアーが決定を下すことができるのは、第1レベルのレビュアーがレビューアイテムを承認または取り消した後のみです。キャンペーンの進捗を妨害しないためには、第1レベルのレビュアーがレビューを予定どおりに完了することが重要です。

    • 第2レベルのレビュアーは、レビューアイテムに関する第1レベルのレビュアーの決定とその理由を表示できます。

    • 最終レビュアーは、キャンペーンの構成によって異なります。

    • 修復は、最終レビュアーの決定に対してのみ行われます。マルチレベルレビューが設定されたキャンペーンを修復するを参照してください。

  • レビューアイテムを再割り当てする際の考慮事項を以下に示します。

    • 管理者ロールへのユーザーのアクセスをレビューするキャンペーンのレビューアイテムを再割り当てできるのはスーパー管理者だけです。

    • レビューアイテムを再割り当てしても、キャンペーンの終了日は延長されません。新しいレビュアーは、キャンペーンが終了する前にアクセスを承認または取り消す必要があります。

    • スーパー管理者がレビューアイテムを再割り当てしたレビュアーは、スーパー管理者が提供した、レビューアイテムを再割り当てする正当な理由を表示できます。

  • orgでAccess Governance - 代理人が有効になっている場合、レビュアーは別のユーザーを代理人に指定して、その代理でGovernanceタスクを完了することもできます。代理人を管理するを参照してください。

このタスクを開始する

  1. レビュアーは、End-User DashboardでOktaアクセス認定レビュー(Okta Access Certification Reviews)をクリックします。

  2. 担当のレビュー(My reviews)ページで開く(Open)タブに移動し、レビューを開始するアクセス認定キャンペーンを選択します。

  3. レビューアイテムを選択し、ユーザーとリソース、およびユーザーのリソース使用状況に関する詳細情報を表示します。

    レビューの詳細(Review details)ペインには次のセクションがあります。

    • ユーザーの詳細(User Details):ユーザーのOkta内のプロファイルから直接取得された情報。

    • リソースの詳細(Resource Details):このセクションには次の情報が含まれます。

      • レビューされているアプリケーション。

      • ユーザーが最後にアプリケーションにアクセスした日時と、アクセスに関連する以前のレビュー。レビュアーがレビューを完了したら、スーパー管理者はそのレビュアーの決定とビジネス上の正当性、および行った修復を確認することもできます。

      • アプリケーションに対するユーザーのアクセスが最後にレビューされた日時。

      • アプリケーションがユーザーに割り当てられた時。

      • ユーザーがリソースに対して持っているエンタイトルメント。

    • Governance Analyzer:このセクションでは、データ主導のインサイトと承認または取り消しに関する推奨事項がレビュアーに提供されます。このセクションは、Governance Analyzerを有効にしてインサイトまたは推奨事項を共有するように構成した場合にのみ利用できます。Governance Analyzerを参照してください。Governance Analyzerは、Okta Identity Governanceをサブスクライブしている場合にのみ利用できます。

    • 履歴(History):このセクションには、最初のレビュアーと代理人の割り当てに関する詳細、再割り当てのビジネス上の正当性、割り当てられたレビュアーの詳細、レビュアーの決定などの有用な情報が含まれます。

  4. 承認(Approve)または取り消し(Revoke)をクリックし、自分の決定のビジネス上の正当性を入力します。アクセスを承認または取り消すと、直ちに修復プロセスが開始されます。

    レビュアー(スーパー管理者ではない)はレビューアイテムを別のユーザーに再割り当てできません。

  5. 送信(Submit)をクリックします。

レビュアーは、キャンペーンページのカウントを使ってレビュー指標を監視できます。さらに、すでにレビューが完了しているアイテムをキャンペーンページの終了済み(Closed)タブで参照できます。終了済み(Closed)タブでは、リソース(Resource)および決定(Decision)でフィルタリングし、特定のユーザーで検索できます。