アクセスリクエスト条件を作成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

アクセスリクエスト条件を使用すると、管理者ロールバンドルへのアクセスを求めるプロセスを合理化できます。

開始する前に

  • スーパー管理者、またはアクセスリクエスト管理者とアプリ管理者の両方のロールが割り当てられたユーザーとしてAdmin Consoleにサインインします。

  • アクセスリクエスト条件およびリソースカタログ機能を有効にします。

  • エンタイトルメントバンドルを使ってアクセスレベルを定義するには、アプリのGovernance Engineを有効化し、エンタイトルメントとバンドルを作成します。

  • 管理者ロールのアクセスリクエストの合理化については、代わりに「Okta管理者ロールを管理する」と「アクセスリクエスト管理者ロール」を参照してください。

  • 承認者として使用する任意のグループ所有者を構成します。グループ所有者が別のグループであるときは、そのグループをアクセスリクエストにプッシュします。

  • 要求者のマネージャーを承認者として使用するときは、managerIdユーザー属性をOktaユーザー名またはメールアドレスに設定します。

このタスクを開始する

  1. Admin Console[Security(セキュリティ)] [Administrators(管理者)][Governance(ガバナンス)]に移動します。

  2. [Access request(アクセスリクエスト)]をクリックします。
  3. [+ Create condition(+条件を作成)]をクリックします。
  4. [要求者のスコープ]セクションで、グループを選択して管理者ロールへのアクセスをリクエストできるユーザーを定義します。
  5. [アクセスレベル]セクションで、ユーザーがリクエストできる管理者ロールバンドルを選択します。
  6. [アクセス期間]セクションで、ユーザーのアクセスリクエストが承認された後でアクセスが期限切れになる日時を入力します。
  7. [承認シーケンス]セクションで[Select sequence(シーケンスを選択)]をクリックします。
  8. 既存のシーケンスを選択するには、目的のシーケンスを選択し、[Refresh(更新)]をクリックして最新の変更を取得します。[Select sequence(シーケンスを選択)]をクリックします。
  9. シーケンスを作成するには、[+ Create sequence(+シーケンスを作成)]をクリックします。
    1. タイトルバーの[Edit(編集)]をクリックし、シーケンスの名前と説明を入力します。
    2. 要求者が答える質問を作成するには、[Trigger(トリガー)]カードの後の任意のノードをクリックし、[Questions for Requester(要求者への質問)]を選択します。プロンプトに従い、必要に応じて情報を入力します。
    3. 承認者にステップを割り当てるには、[Trigger(トリガー)]カードの後の任意のノードをクリックし、[Approval(承認)]カードを選択します。[Assign to(割り当て先)]ドロップダウンメニューから承認者を選択します。管理者ロールを管理するアクセスリクエスト条件ごとに2人の承認者を定義する必要があります。
    4. シーケンスに別のステップを追加するには、カードの後のノードをクリックし、[Approval(承認)][Question(質問)][Custom(カスタム)]タスクなどのステップタイプを選択します。
    5. [Save(保存)]をクリックし、[アクセスリクエスト条件]ページに戻ります。
  10. [Create(作成)]をクリックします。作成したアクセスリクエスト条件はデフォルトで非アクティブ状態になります。
  11. 任意。条件のドラッグアンドドロップを使用して条件を移動し、他の条件に対するその条件の優先度を定義します。Oktaでは、条件を有効化した後での条件の優先順位のみが考慮されます。
  12. 任意。条件を有効化して使用できるようにします。

条件で参照しているアイテム(グループやバンドルなど)がアクティブまたは使用可能な状態になっていることを確認します。これらのアイテムのいずれかが非アクティブになっているか、削除されている場合は、条件を有効にしたとき、または要求者がリクエストを送信したときに条件が無効になります。

要求者が複数の条件の基準を満たしている場合は、最も優先度の高い条件によってリクエストの承認に使用される承認シーケンスが決定されます。要求者のグループメンバーシップが変更され、要求者が条件を満たさなくなった場合、その要求者はそれらの条件で管理されている管理者ロールバンドルをリクエストできなくなります。既存の管理者ロールの割り当ては影響を受けません。

Oktaは、条件が有効化されたときに条件で定義されている要求者にOkta Access Requestsアプリを自動的に割り当てます。ただし、Okta Access Requestsアプリを承認者に割り当てて、承認者がリクエストを承認または拒否できるようにする必要があります。「グループへの単一アプリの割り当て」または「アプリケーションをユーザーに割り当てる」を参照してください。

要求者と承認者のエクスペリエンスを理解するには、「管理者ロールの割り当てをリクエストする」、「リクエストを管理する」、および「タスクを管理する」を参照してください。

関連項目

アクセスリクエスト条件を管理する

キャンペーンを作成する