カスタム管理者ロール

カスタム管理者ロールは、ロール内の詳細な権限を構成する機能を提供します。この機能で提供される内容は、次のとおりです。

  • セルフサービスの方法でロールの作成をより細かく制御できます。特定のユースケースに基づいて、カスタムロールの割り当てを作成できます。

  • orgのセキュリティが向上します。管理者とアプリにタスクの実行に必要な権限のみが付与されるように、権限をきめ細かく割り当てることができます。これにより、スーパー管理者やorg管理者のロールをユーザーに割り当てる必要がなくなります。

  • 管理者による監査とコンプライアンスのレビューが簡素化され、詳細な管理者権限がよりわかりやすくなります。

管理者ロールの割り当ては、次の3つのコンポーネントで構成されます。

  1. 管理者:管理者権限を付与する必要があるユーザー、ユーザーグループ、またはアプリ。

  2. ロール:管理者を制限する権限のセット。ロールには、標準とカスタムの2種類があります。1つのOrgに対して、最大100個のロールを作成できます。現在、権限はユーザー、グループ、アプリのアクティビティの管理と、プロファイルソースのインポートのみに制限されています。

  3. リソースセット:リソースのコレクション。最大10,000個のリソースセットを作成し、各リソースセットには最大1,000個のリソースを割り当てることができます。現在は、org内のユーザーグループとアプリのみがリソースと見なされています。

注
  • リソースセットは、カスタム管理者ロールでのみ使用できます。
  • 同じロールとリソースセットの組み合わせを持つ管理者を1,000人のみに制限できます。

カスタム管理者ロールの割り当てを作成するための開始点として、これらのコンポーネントのいずれかを柔軟に作成または選択できます。管理者ロールの割り当てを作成する前に、「カスタムロールの割り当てを作成するためのベストプラクティス」を確認することをお勧めします。

動画チュートリアルについては、「Oktaカスタム管理者ロールによる代理管理のデモ」をご覧ください。

標準ロールへの影響

  • 標準ロールを使用するために、既存のロール(スーパー管理者、org管理者、グループ管理者、アプリ管理者、読み取り専用管理者、モバイル管理者、ヘルプデスク管理者、レポート管理者、API Access Management管理者、およびグループメンバーシップ管理者)が参照されます。

  • 既存のロールは引き続き使用可能であり、既存の割り当ても維持されます

  • 標準ロールが割り当てられているユーザーにカスタムロールを割り当てることもできます。

制限事項

  • AD/LDAPグループのグループおよびユーザーリソースには、グループのオリジンは含まれません。複数のグループの名前が同じ場合、UIそれをで区別することはできません。

  • カスタム管理者ロールのみが割り当てられた管理者は、スーパー管理者が割り当てられたユーザーを管理できません。

  • 管理者レポートは、管理コンソールの[Admin role assignment reports(管理者ロールの割り当てレポート)]ページからのみ取得できます。現時点では、APIを使ったレポートの取得はサポートされません。

関連項目

カスタム管理者ロールの使用

カスタムロールの割り当てを作成するためのベストプラクティス

Administrators(管理者)ページについて