管理者ロールのアクセス認定
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Okta管理者ロールの管理機能は、Okta Identity Governanceをサブスクライブしている方向けには公開されています。サブスクライブしていない場合、orgの適格性によってはOkta管理者ロールの管理機能を利用できない可能性があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。
重要なリソースにアクセスできるユーザー(管理者など)を定期的に特定してレビューすることがOrganizationにとって重要です。昇格または特権アクセスの蓄積を回避するため、アクセス認定を使用して、ユーザーの管理者ロールの割り当てを定期的にレビューするキャンペーンを作成します。
Okta Identity Governanceサブスクライブしていない場合、自身(スーパー管理者)は、リソースキャンペーンまたはOkta管理者レビュー(事前設定されたキャンペーン)を実行して管理者ロールを管理することしかできません。これら2つのキャンペーンに加えて、機能が制限された「非アクティブのユーザーを検出する」(事前設定されたキャンペーン)も利用できます。
- リソースキャンペーン
- リソースキャンペーンには、リソースにアクセスできるすべてのユーザーが表示されます。リソース、ユーザー、レビューアー、修復設定を定義して、リソースキャンペーンを要件に合わせてカスタマイズできます。たとえば、Okta Admin Consoleなどのリソースを選択できます。次に、そのリソースに割り当てられるすべてのユーザーを選択するか、Okta Expression Languageを使用して特定のユーザーセットを定義します。キャンペーンから特定のユーザーを除外することもできます。その後、ユーザーの管理者ロールの割り当てをレビューするキャンペーンレビュアー、およびキャンペーンで承認を複数ラウンドする必要があるかを指定します。最後に、レビュアーがユーザーのアクセスを承認または拒否したときに実行される修復アクションを定義します。「キャンペーンを作成」を参照してください。
- 事前構成されたキャンペーン
- 事前構成されたキャンペーンは、すぐに使用できます。そのため、手動構成なしにキャンペーンを開始できます。アクセス認定の開始をサポートするた、Oktaは2つのキャンペーンの設定を予め設定しています。[Discover inactive users(非アクティブなユーザーを検出する)]を使用すると、orgで非アクティブなユーザーの数が最も多い1つのアプリを確認できます。Admin Consoleへの管理者アクセスをレビューするには、[Okta administrator review(Okta管理者レビュー)]を使用します。
管理者ロールバンドルとその有効期限は管理者ロールの割り当てレポートで確認できます。また、過去のキャンペーンの詳細レポートと過去のキャンペーンの概要レポートを使用して、開始されたキャンペーンや、リソースへのユーザーアクセスが保持されたか取り消されたかを確認することもできます。Okta Identity Governanceをサブスクライブしている場合、ユーザーエンタイトルメントレポートも利用できます。
アクセス認定の詳細については、「アクセス認定」と「キャンペーン」を参照してください。