Okta Access Certificationsを使ってADグループメンバーシップを管理する
双方向のグループ管理とActive Directory(AD)を併用するには、ADグループを使ってレビューのためのアクセス認定キャンペーンをセットアップします。レビュアーはグループメンバーシップを評価でき、取り消すユーザーを選択できます。その上で、キャンペーンの要約を確認し、指定したADグループから削除されたユーザーをリスト表示できます。
開始する前に
この機能の使用には要件があります。
-
ADをソースとするグループをリソースとして有するアクセス認定キャンペーン。「リソースキャンペーンを作成する」を参照してください。
-
次のようにセットアップされたActive Directory統合:
-
デプロイされ、使用可能なOkta Active Directoryエージェント
-
プロファイルソースとして設定されたActive Directory
-
ジャストインタイム(JIT)プロビジョニングが有効
-
- ADエージェントには、グループメンバーシップの更新に必要な権限が必要です。「 グループプッシュまたは双方向グループ管理」を参照してください。
- ユーザーに対して後続の操作(ADグループへのユーザーの追加や削除など)を実行する前に、増分インポートまたはフルインポートを実行する必要があります。
- グループからユーザーを削除できるのは、ユーザーがそのグループの直接メンバーである場合のみです。ユーザーがADグループを継承した場合、ネストされたグループメンバーシップ構造が原因で削除できない場合があります。
タスクの開始
- ADグループを使ってレビューのためのアクセス認定キャンペーンをセットアップします。指定のADグループ内のユーザーは、アクセス認定キャンペーンに含まれます。
- レビュアーは、グループ内のユーザーのグループメンバーシップをレビューするための保留中のアクションを確認します。レビュアーがユーザーに取り消しのマークを付けると、そのユーザーはオンプレミスのADグループから削除されます。Oktaは、ユーザーのプロファイルとグループメンバーシップを更新します。
- 指定したADグループから削除されたユーザーについては、アクセス認定キャンペーンの要約で確認します。これは、Admin Consoleのの下のグループメンバーシップで検証することもできます。
次の状況では、レビュアーはアクセスを手動で修復しなければならない場合があります。
- ユーザーのグループメンバーシップが、ネストされたグループを通じて付与されている。この場合、レビュアーはネストされた特定のグループからのユーザーのアクセス権を取り消す必要があります。
- Oktaに接続されたエージェントがない。
- ADとの接続がタイムアウトになる。
- ADでのアクセスの取り消しに必要な権限がエージェントにない。