カスタム・ロールの割り当てを作成するためのベスト・プラクティス

これは早期アクセス機能です。有効にするには、Okta管理コンソールで[設定] > [機能]に移動し、[カスタム管理者ロール]をオンにします。

カスタム管理者ロール機能を使用すると、3つのコンポーネントを組み合わせる際の柔軟性が高まり、管理者に詳細なロールを付与することができますが、管理者の割り当てを作成する前に考慮すべき点がいくつかあります。

  • 管理者、ロール、またはリソース・セットのいずれかを使用してロールの割り当てを作成できますが、リソースを優先する観点からロールの割り当てを検討することを推奨します。管理者がアクセスできるリソースと管理者に付与するロールを検討しておくと便利です。

  • 管理者が、すべてのリソースを表示できるが管理できるのは特定のリソースのみとする場合は、管理者に2つの個別のロールの割り当てを作成します。
    たとえば、すべてのユーザーを表示する必要があるが、編集できるのは一部のグループのユーザーのみとする必要がある管理者のセットがあるとします。この場合、[ユーザーを表示する]ロールと[ユーザーを編集する]ロールの2つを作成します。これらのロールを管理者に割り当てる際は、以下を考慮してください。

    • [ユーザーを表示する]ロールを、すべてのユーザーが含まれるリソース・セットに制限します。

      注

      すべてのユーザーを制限するリソース・セットを作成する必要があります。

    • [ユーザーを編集する]ロールを、管理者が編集するためにアクセスする必要があるユーザーのグループが含まれた、より詳細なリソース・セットに制限します。

  • 異なるリソース・セットに対して異なる権限を制限するには、管理者に複数のロールを割り当てる必要が生じる場合があります。ロールの権限についてを参照してください。
    ロサンゼルスの従業員グループが米国の従業員グループのサブセットであるシナリオについて考えてみましょう。ロサンゼルスのヘルプ・デスク・グループのメンバーで構成されたヘルプ・デスク管理者のグループに、米国の従業員グループのすべてのユーザーを表示させる必要があるとします。ただし、これらの管理者がプロファイルを編集できるのは、ロサンゼルスの従業員グループのメンバーのみにする必要があります。この場合、以下が必要です。

    1. リソース・セット:

      • ヘルプ・デスク管理者が表示する権限を必要とする、すべてのユーザー・グループを含むリソース・セット。この場合は、米国の従業員の管理に使用されるすべての個別グループを含むリソース・セットです。このリソース・セットには、「すべての米国従業員」という名前を付けることができます。

      • 管理者が特定の権限を持つ必要があるグループを含むリソース・セット。この場合は、ロサンゼルスの従業員グループのみを含むリソース・セットです。このリソース・セットには、「ロサンゼルスの従業員」という名前を付けることができます。

    2. ロール:

      • [ユーザーを表示する]権限を持つ新しいロール。このカスタム・ロールは「ヘルプ・デスク閲覧者」として保存できます。

      • [ユーザー・プロファイルを管理する]権限を持つ別のロール。このカスタム・ロールは「ヘルプ・デスクのプロファイル・エディター」として保存できます。

    3. ロサンゼルスのヘルプ・デスク・グループからロールの割り当てを作成するには:

      • [ヘルプ・デスク閲覧者]ロールを[米国の全従業員]リソース・セットに割り当てて制限します。

      • [ヘルプ・デスクのプロファイル・エディター]ロールを[ロサンゼルスの従業員]リソース・セットに割り当てて制限します。

  • カスタム・ロールを一目で簡単に理解するには:

    • カスタム・ロールとリソース・セットには、含まれている権限とリソースがわかりやすい名前を付けます。

    • これらの詳細を説明欄に入力します。

関連項目

カスタマイズされた管理者ロールの割り当ての作成について

ロールの権限について

ロールを作成する

リソース・セットを作成する