カスタム管理者ロール
カスタム管理者ロール機能を使用すると、ロール内で詳細な権限を構成できます。この機能で提供される内容は、次のとおりです。
-
セルフサービスの方法でロールの作成をより細かく制御できます。特定のユースケースに基づいて、カスタムロールの割り当てを作成できます。
-
orgのセキュリティが向上します。管理者にタスクの実行に必要な権限のみを付与するように、きめ細かく権限を割り当てることができます。これにより、スーパー管理者やOrg管理者のロールをユーザーに割り当てる必要がなくなります。
-
管理者による監査とコンプライアンスのレビューが簡素化され、詳細な管理者権限がよりわかりやすくなります。
管理者ロールの割り当ては、次の3つのコンポーネントで構成されます。
-
管理者:管理者権限を付与する必要があるユーザーまたはユーザーグループ。
-
ロール:管理者を制限する権限のセット。ロールには、標準とカスタムの2種類があります。orgには最大100個のロールを作成できます。現在、権限はユーザー、グループ、およびアプリのアクティビティの管理と、プロファイルソースのインポートのみに制限されています。
-
リソースセット:リソースのコレクション。最大10,000個のリソースセットを作成し、各リソースセットには最大1,000個のリソースを割り当てることができます。現在は、org内のユーザーグループとアプリのみがリソースと見なされています。
- リソースセットは、カスタム管理者ロールでのみ使用できます。
- 同じロールとリソースセットの組み合わせを持つ管理者を1,000人のみに制限できます。
カスタム管理者ロールの割り当てを作成するための開始点として、これらのコンポーネントのいずれかを柔軟に作成または選択できます。管理者ロールの割り当てを作成する前に、「カスタムロールの割り当てを作成するためのベストプラクティス」を確認することをお勧めします。
標準ロールへの影響
-
既存のロール(スーパー管理者、org管理者、グループ管理者、アプリ管理者、読み取り専用管理者、モバイル管理者、ヘルプデスク管理者、レポート管理者、API Access Management管理者、およびグループメンバーシップ管理者)は、標準ロールと呼ばれます。
-
標準ロールの機能は以前と同じですが、UIが異なります。「標準ロールを使用する」を参照してください。
-
既存のロールは引き続き使用できます。また、既存の割り当ても変わりありません。
-
標準ロールが割り当てられているユーザーにカスタムロールを割り当てることもできます。
制限事項
-
AD/LDAPグループのグループおよびユーザーリソースには、グループのオリジンは含まれません。複数のグループに同じ名前が付いている場合、UIでそれらを区別する方法はありません。
-
カスタム管理者ロールのみが割り当てられた管理者は、スーパー管理者が割り当てられたユーザーを管理できません。
-
管理者レポートは、Okta Admin Consoleの[Admin role assignment reports(管理者ロールの割り当てレポート)]ページからのみ取得できます。現在、APIを使用したレポートの取得はサポートされていません。