標準的な管理者ロールと権限
これらの表を使用して、Oktaの機能、設定、タスクの標準管理者権限を比較します。
| •org全体の設定 | •orgのセキュリティ |
| •ユーザー管理 | •多要素認証 |
| •グループ管理 | •APIトークン |
| •アプリケーション管理 | •OpenID Connectのエンドツーエンドのシナリオ |
| •モバイルポリシー | •Okta Identity Governance |
| •モバイルデバイス | |
| •フック | |
| •ポリシー |
org全体の設定
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| レポートを表示および実行する | ● | ● | ● | ● | ● | |||||
| Oktaの設定(テーマ、ロゴ、連絡先情報)を表示する | ● | ● | ● | ● | ||||||
| Oktaサポートにアクセス権を付与する | ● | |||||||||
| プロファイルエディタを管理する | ● | ● | ● | ●* | ||||||
| プロファイルマッピングを管理する | ● | ● | ●* | |||||||
| 機密属性を管理する | ● | |||||||||
| Oktaの設定を編集する | ● | ● | ||||||||
| 管理者を追加、削除、表示する | ● | |||||||||
| 認可サーバーのスコープ、クレーム、ポリシーを追加、削除、編集する | ● | ● | ||||||||
| 認可サーバーのスコープ、クレーム、ポリシーを表示する | ● | ● | ● | ● | ||||||
| System Log(システムイベント)を表示する | ● | ● | ● | ● | ● | ● | ● | |||
| メールとSMSのテンプレートを編集する | ● | ● | ||||||||
| 他の管理者のデフォルトのメール設定を編集する | ● | |||||||||
| Device Trustの有効化設定を表示する | ● | ● | ● | |||||||
| Device Trustの設定を有効化する | ● | ● | ||||||||
| タスクを閉じるまたは再試行する | ● | ● | ||||||||
| ユーザーにカスタム通知を送信する | ● | ● | ||||||||
| ログストリーミングを管理する | ● |
*:OIDCアプリにのみ権限が適用されます。
ユーザー管理
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| ユーザーを表示する | ● | ● | ●* | ● | ● | ● | ●* | ● | ● | |
| ユーザーのライフサイクル状態を管理する (ユーザーをアクティブ化、非アクティブ化、再アクティブ化、一時停止、一時停止解除する) |
● | ● | ●* | |||||||
| プロファイルを編集する | ● | ● | ●* | ●^ | ||||||
| パスワードのリセット、MFAのリセット | ● | ● | ●* | ●* | ||||||
| ユーザーの作成 | ● | ● | ●* | |||||||
| ユーザーを削除する | ● | ● | ●* | |||||||
| ユーザーセッションを消去する | ● | ● | ●* | ●* | ||||||
| ロックされたユーザーアカウントに関するメール通知を受信しないことを選択する | ● | ● | ●* | ● | ● | ● | ||||
| ユーザーの挙動プロファイルをリセットする | ● | ● | ●* | ●* | ||||||
| ユーザーの挙動プロファイルを表示する | ● | ● | ● |
*:管理者が管理を許可されているグループにのみ権限が適用されます。
^:プロファイルソースが構成されていないアプリのユーザーインポートにのみ権限が適用されます。
グループ管理
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| グループを表示する | ● | ● | ●* | ● | ● | ● | ●* | ● | ● | |
| グループにユーザーを追加する | ● | ● | ●^ | ●* | ||||||
| 管理者権限が割り当てられたグループにユーザーを追加する | ● | |||||||||
| グループからユーザーを削除する | ● | ● | ●^ | ●* | ||||||
| グループの作成 | ● | ● | ||||||||
| グループに管理者権限を割り当てる | ● | |||||||||
| グループを削除する | ● | ● | ||||||||
|
グループの多要素認証オーセンティケーターを編集する |
● | ● | ● |
*:管理者が管理を許可されているグループにのみ権限が適用されます。
^:ユーザーの作成、追加、削除の権限は、グループ管理者が管理するグループにのみ適用されます。グループ管理者は、管理するグループで新しいユーザーを作成したり、管理するグループからユーザーを削除したり、管理するグループ間でユーザーを移動したりできます。
注
-
管理者ロールを持つグループを管理できるのは、スーパー管理者だけです。グループ管理者に、後で管理者ロールが割り当てられたグループへのアクセス権が割り当てられている場合、グループ管理者はこのグループまたはグループメンバーに対して変更を行うことができなくなります。
-
グループプロファイル機能が有効になっているorgの場合、グループメンバーシップ管理者はグループの名前と説明を変更できません。
アプリケーション管理
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| アプリケーションまたはアプリケーションインスタンスを表示する | ● | ●^ | ● | ● | ●* | |||||
| アプリケーションを追加および構成する | ● | ●^ | ●* | |||||||
| アプリケーションへのユーザーアクセスを割り当てる | ● | ●^ | ●* | |||||||
| アプリのインポートを介して段階的ステータスのユーザーを作成する | ● | ●^ |
*:OIDCアプリにのみ権限が適用されます。
^:アプリ管理者が管理を許可されているアプリケーションにのみ権限が適用されます。アプリ管理者は、VPNが必須のアプリのVPN通知設定を編集できません。
モバイルポリシー
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| デバイスを表示および管理する | ● | ● | ● | |||||||
| Oktaモバイルマネージャーを構成する | ● | ● | ● | |||||||
| ポリシーを表示する(モバイル) | ● | ● | ● | ● | ||||||
| APNSを設定する | ● | ● | ● | |||||||
| ポリシーを追加/更新/削除する | ● | ● | ● | |||||||
| ルールを追加/更新/削除する | ● | ● | ● | |||||||
| ポリシーをドラッグアンドドロップして優先順位付けする | ● | ● | ● |
モバイルデバイス
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| ユーザーセクションで[Mobile(モバイル)]タブを表示する | ● | ● | ● | ● | ||||||
| デバイスの詳細を表示する | ● | ● | ● | ● | ||||||
| デプロビジョニングする/PCを消去する/リモートロックする/リセットする | ● | ● | ● | |||||||
| [Mobile(モバイル)]タブからデプロビジョニング/リセットする | ● | ● | ● |
フック
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| フックを表示する | ● | |||||||||
| フックを作成および構成する | ● |
ポリシー
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| グローバルセッションポリシーを表示する | ● | |||||||||
| グローバルセッションポリシーを追加/更新/削除する | ● | |||||||||
| グローバルセッションポリシーのルールを追加/更新/削除する | ● | |||||||||
|
認証ポリシーを表示する |
● | ● |
|
●* | ● | ● |
|
|
|
|
|
認証ポリシーを追加/更新/削除する |
● |
|
|
●* |
|
|
|
|
|
|
|
認証ポリシーをアプリに割り当てる |
● |
|
|
●* |
|
|
|
|
|
|
|
認証ポリシーのルールを追加/更新/削除する |
● |
|
|
●* |
|
|
|
|
|
|
|
プロファイル登録ポリシーを表示する |
● |
|
|
|
|
|
|
|
|
|
|
プロファイル登録ポリシーを追加/更新/削除する |
● |
|
|
|
|
|
|
|
|
|
| ポリシーをドラッグアンドドロップして優先順位付けする | ● | |||||||||
| ポリシーのMFAオーセンティケーターを編集する | ● |
*:認証ポリシーにのみ権限が適用されます。アプリ管理者は、ポリシーに割り当てられたすべてのアプリの管理を許可されている場合にのみ、認証ポリシーを管理できます。
orgのセキュリティ
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| ネットワークゾーンを表示する | ● | ● | ● | ● | ||||||
| ネットワークゾーンの管理 | ● | ● | ||||||||
| orgの挙動プロファイルを表示する | ● | ● | ● | |||||||
| orgの挙動プロファイルを管理する | ● | ● | ||||||||
| ユーザーの挙動プロファイルを表示する | ● | ● | ● | |||||||
| Okta ThreatInsightの構成を表示する | ● | ● | ● | |||||||
| Okta ThreatInsightの構成を管理する | ● | ● |
多要素認証
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
|
オーセンティケーターを構成する |
● | ● | ||||||||
| 管理ダッシュボードのMFAを有効化する | ● | |||||||||
| RADIUSエージェントを承認する | ● | ● | ● | ● |
APIトークン
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| ユーザートークンを作成する | ●* | ●* | ●* | ●* | ●* | |||||
| ユーザートークンを表示する | ● | ● | ●^ | ●* | ● | ●* | ||||
| ユーザートークンを消去する | ● | ●* | ●* | ●* | ●^ | ●* | ||||
| ユーザーのソーシャルトークンを表示する | ● | ● | ● | ● | ||||||
| トークンを管理する | ● | ● | ●* | ●* |
*:自分自身にのみ権限が適用されます。
^:自分自身および対象のメンバーにのみ権限が適用されます。
OpenID Connectのエンドツーエンドのシナリオ
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
|---|---|---|---|---|---|---|---|---|---|---|
| OIDCアプリを作成および変更する(OAuthクライアントの登録を含む)。 OIDCクライアントアプリに制限できる。 |
● | ● | ● | |||||||
| ソーシャルIDPを追加する | ● | ● | ||||||||
| APIを介してOAuthクライアントに読み取り専用でアクセスする | ● | ● | ● |
Okta Identity Governance
Okta Identity Governanceは、サブスクリプションベースで一般利用可能です。詳細については、担当のアカウントエグゼクティブまたはカスタマーサクセスマネージャーにお問い合わせください。
|
権限
|
スーパー管理者
|
org管理者
|
グループ管理者
|
アプリ管理者
|
読み取り専用管理者
|
モバイル管理者
|
ヘルプデスク管理者
|
レポート管理者
|
API Access Managementの管理者
|
グループメンバーシップ管理者
|
Access Requests管理者 |
アクセス認定管理者 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| すべてのキャンペーンを表示する | ● | ● | ||||||||||
| キャンペーンを作成 | ● | ● | ||||||||||
| スケジュールされたキャンペーンを編集/開始する | ● | ● | ||||||||||
| アクティブなキャンペーンを終了する | ● | ● | ||||||||||
| Access Requests内でユーザーアクセスアプリケーションを管理する | ● | ● | ||||||||||
| Access Requests内で管理者としての役割を果たす | ● | ● |