標準的な管理者ロールと権限

これらの表を使用して、Oktaの機能、設定、タスクの標準管理者権限を比較します。

org全体の設定
ユーザー管理
グループ管理
サービスアカウント管理
アプリケーション管理
デバイス
フック
ポリシー
orgのセキュリティ
多要素認証
APIトークン
OpenID Connectのエンドツーエンドのシナリオ
Okta Identity Governance
領域
Workflows

スーパー管理者は、orgのすべての管理タスクを実行し、完全な管理アクセス権を持つことができます。

org全体の設定

権限	スーパー管理者	org管理者	アプリ管理者	読み取り専用管理者	レポート管理者	APIアクセス管理の管理者
レポートを表示および実行する	●	●		●	●
Oktaの設定（テーマ、ロゴ、連絡先情報）を表示する	●	●		●
Oktaサポートにアクセス権を付与する	●
Profile Editorを管理する	●	●	●			●*
プロファイルマッピングを管理する	●		●			●*
機密属性を管理する	●
Oktaの設定を編集する	●	●
管理者を追加、削除、表示する	●
認可サーバーのスコープ/クレーム/ポリシーを追加/削除/編集する	●					●
認可サーバーのスコープ/クレーム/ポリシーを表示する	●	●		●		●
システムログ（システムイベント）を表示する	●	●	●	●	●	●
メールとSMSのテンプレートを編集する	●	●
他の管理者のデフォルトのメール設定を編集する	●
Device Trustの有効化設定を表示する	●	●		●
Device Trustの設定を有効化する	●	●
タスクを閉じるまたは再試行する	●		●
ユーザーにカスタム通知を送信する	●	●
マルチブランドのカスタマイズを適用する	●	●
CAPTCHA有効化設定を管理（有効化、無効化、更新）する	●	●
CAPTCHAの有効化設定を表示する	●	●		●
ログストリーミングを管理する	●
インポートモニタリングを表示する	●

*：OIDCアプリにのみ権限が適用されます。

ユーザー管理

権限	スーパー管理者	org管理者	グループ管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者	APIアクセス管理の管理者	グループメンバーシップ管理者	アクセスリクエスト管理者	アクセス認定管理者
ユーザーを表示する	●	●	●*	●	●	●*	●	●	●	●
ユーザーを作成する	●	●	●*
ユーザーを削除する	●	●	●*
ユーザーを一時停止する	●	●°	●*°
ユーザーを非アクティブ化する	●	●	●*
ユーザーをアクティブ化する	●	●°	●*°
ユーザータイプを変更する	●	●	●*
ユーザーをサインアウトする	●	●	●*
ユーザーセッションを削除する	●	●°	●*°			●*°
ログを表示する	●	●°	●*		●°
プロファイルを編集する	●	●	●*	●^
パスワードのリセット、MFAのリセット	●	●	●*			●*
ロックされたユーザーアカウントに関するメール通知を受信しないことを選択する	●	●	●*	●			●
ユーザーの動作プロファイルをリセットする	●	●°	●*			●*
ユーザーの動作プロファイルを表示する	●	●			●
ユーザータイプを表示する	●			●	●		●

*：管理者が管理を許可されているグループにのみ権限が適用されます。

^：プロファイルソースが構成されていないアプリのユーザーインポートにのみ権限が適用されます。

°：管理者はスーパー管理者に対してアクションを実行できます。

グループ管理

権限	スーパー管理者	org管理者	グループ管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者	APIアクセス管理の管理者	グループメンバーシップ管理者	アクセスリクエスト管理者	アクセス認定管理者
グループを表示する	●	●	●*	●	●	●*	●	●	●	●
グループにユーザーを追加する	●	●°	●^°					●*°
割り当てられた管理者権限でグループにユーザーを追加する	●
グループからユーザーを削除する	●	●°	●^°					●*°
グループを作成する	●	●
グループルールを表示する	●	●	●×		●
グループルールを追加/編集/削除する	●	●
グループに管理者権限を割り当てる	●
グループを削除する	●	●
グループの多要素認証Authenticatorを編集する	●	●

*：管理者が管理を許可されているグループにのみ権限が適用されます。

^：ユーザーの作成、追加、削除の権限は、グループ管理者が管理するグループにのみ適用されます。グループ管理者は、管理するグループで新しいユーザーを作成したり、管理するグループからユーザーを削除したり、管理するグループ間でユーザーを移動したりできます。

×：管理者がすべてのユーザーとグループにアクセスできる場合にのみ、権限が適用されます。

° — 管理者はスーパー管理者に対してアクションを実行できます。

管理者ロールを持つグループを管理できるのは、スーパー管理者だけです。グループ管理者に、後で管理者ロールが割り当てられたグループへのアクセス権が割り当てられた場合、グループ管理者はグループまたはグループメンバーに対して変更を行うことができなくなります。
グループプロファイル機能が有効になっているorgの場合、グループメンバーシップ管理者はグループの名前と説明を変更できません。

サービスアカウント管理

早期アクセスリリース。有効にするには、Oktaサポートまで連絡してください。

権限	スーパー管理者	org管理者	グループ管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者	レポート管理者	APIアクセス管理の管理者	グループメンバーシップ管理者	アクセスリクエスト管理者	アクセス認定管理者
サービスアカウントの作成、編集、削除	●

アプリケーション管理

権限	スーパー管理者	アプリ管理者	読み取り専用管理者	APIアクセス管理の管理者	アクセスリクエスト管理者	アクセス認定管理者
アプリケーションまたはアプリケーションインスタンスを表示する	●	●^	●	●*	●	●
アプリケーションを追加および構成する	●	●^		●*
アプリケーションへのユーザーアクセスを割り当てる	●	●^		●*
アプリのインポートを介して段階的ステータスのユーザーを作成する	●	●^

* — OIDCアプリにのみ権限が適用されます。

^ — アプリ管理者が管理を許可されているアプリにのみ権限が適用されます。

デバイス

権限	スーパー管理者	org管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者
デバイスを管理する	●	●
デバイスとデバイス詳細を表示する	●	●	●	●	●
デバイスを一時停止または非アクティブ化する	●	●
デバイス保証ポリシーの表示や追加を行う	●	●
デバイス統合を表示する	●	●		●

フック

権限	スーパー管理者	org管理者	グループ管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者	レポート管理者	APIアクセス管理の管理者	グループメンバーシップ管理者	アクセスリクエスト管理者	アクセス認定管理者
フックを表示する	●				●
フックを作成/構成する	●

ポリシー

権限	スーパー管理者	org管理者	アプリ管理者	読み取り専用管理者
グローバルセッションポリシーを表示する	●	●
グローバルセッションポリシーを追加/更新/削除する	●	●
グローバルセッションポリシールールを追加/更新/削除する	●	●
認証ポリシーを表示する	●	●	●*	●
認証ポリシーを追加/更新/削除する	●		●*
認証ポリシーをアプリに割り当てる	●		●*
認証ポリシーのルールを追加/更新/削除する	●		●*
ユーザープロファイルポリシーを表示する	●			●
ユーザープロファイルポリシーを追加/更新/削除する	●
ポリシーをドラッグアンドドロップして優先順位付けする	●
ポリシーのMFA Authenticatorを編集する	●

*：認証ポリシーにのみ権限が適用されます。アプリ管理者は、ポリシーに割り当てられたすべてのアプリの管理を許可されている場合にのみ、認証ポリシーを管理できます。

orgのセキュリティ

権限	スーパー管理者	org管理者	読み取り専用管理者
ネットワークゾーンを表示する	●	●	●
ネットワークゾーンを管理する	●	●
orgの動作プロファイルを表示する	●	●	●
orgの動作プロファイルを管理する	●	●
Okta ThreatInsightの構成を表示する	●	●	●
Okta ThreatInsightの構成を管理する	●	●

多要素認証

権限	スーパー管理者	org管理者	アプリ管理者	読み取り専用管理者
Authenticatorを構成する	●	●
管理者ダッシュボードのMFAを有効化する	●
RADIUS Agentを認可する	●		●	●

APIトークン

権限	スーパー管理者	org管理者	グループ管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者	グループメンバーシップ管理者
ユーザートークンを作成する	●*	●*	●*		●*		●*
ユーザートークンを表示する	●	●	●^		●*		●*
ユーザートークンを消去する	●	●*	●*		●*	●^	●*
ユーザーのソーシャルトークンを表示する	●	●	●	●
トークンを管理する	●	●	●		●*		●*

* — 管理者は自分自身に対してのみアクションを実行できます。

^：自分自身および対象のメンバーにのみ権限が適用されます。

OpenID Connectのエンドツーエンドのシナリオ

権限	スーパー管理者	org管理者	アプリ管理者	読み取り専用管理者	APIアクセス管理の管理者
OIDCアプリを作成および変更する（OAuthクライアントの登録を含む）。 OIDCクライアントアプリに制限できる。	●		●		●
ソーシャルIDPを追加する	●	●
APIを介してOAuthクライアントに読み取り専用でアクセスする	●	●	●	●	●

Identity Governance

アクセス認定管理者とアクセスリクエスト管理者のロールは、Okta Identity Governanceをサブスクライブしている場合にのみ利用できます。

権限	スーパー管理者	アクセスリクエスト管理者	アクセス認定管理者
すべてのキャンペーンを表示する	●		●
キャンペーンを作成する	●		●
スケジュールされたキャンペーンを編集/開始する	●		●
アクティブなキャンペーンを終了する	●		●
アクセスリクエスト内でユーザーアクセスアプリケーションを管理する	●	●
アクセスリクエスト内で管理者としての役割を果たす	●	●

領域

領域にはOkta Identity Governanceが必要です。詳細については、「Okta Identity Governance」を参照してください。

権限	スーパー管理者	org管理者	グループ管理者	アプリ管理者	読み取り専用管理者	ヘルプデスク管理者	APIアクセス管理の管理者	グループメンバーシップ管理者
領域を作成する	●	●
領域指定を表示する	●	●	●	●	●	●	●	●
領域を更新する	●	●
領域を削除する	●	●
ユーザー領域指定を更新する（ユーザーをある領域から別の領域に移動する）	●	●
ユーザーを個別に移動する	●	●
領域間でユーザーを一括移動する	●
領域割り当てを作成する	●
領域を含むワークフローを設定する	●	●			●

Workflows

Oktaスーパー管理者ロールとWorkflows管理者ロールには、Okta Workflows製品内の完全な管理権限があります。

Workflows管理者ロールには、Okta Admin Consoleでアクションを実行する権限はありません。

Workflows管理者ロールに割り当てられたユーザーまたはグループは、Okta org内の別のユーザーにWorkflows管理者ロールを割り当てることはできません。Okta Admin Consoleを通じてこのロールを割り当てることができるのは、Oktaスーパー管理者のみです。

Workflows管理者ロールを除くすべてのOkta Workflowsロールは、Workflowsコンソールを使ってユーザーおよびグループに割り当てられます。「Workflowロールを管理する」を参照してください。

このロールの権限の完全な要約については、「リソース権限」を参照してください。