キャンペーン

キャンペーンは、ユーザーがアプリ(および関連するエンタイトルメント)やグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。

さらに、レルム機能を有効にした場合、Okta Expression Languageを使って特定レルムからのユーザーが含まれるようにキャンペーンを制限できます。

  • リソースキャンペーン

    このキャンペーンタイプには、リソースにアクセスできるすべてのユーザーが表示されます。

    アプリまたはグループなどのリソースを選択し、そのリソースと関連するエンタイトルメントおよびバンドルにアクセス可能なユーザーを確認します。リソースに割り当てられたすべてのユーザーを選択するか、Okta Expression Languageを使用して特定のユーザーを定義できます。キャンペーンから特定のユーザーを除外することもできます。定期的にリソースキャンペーンを実施し、機密リソースへのアクセスを制限するようにします。

    アクセス認定機能を使って[Govern Okta admin roles(Okta管理者ロールを管理する)]を有効にしたときは、このキャンペーンタイプを使ってユーザーの管理者ロール割り当てを確認します。

    リソースキャンペーンは、監査要件やコンプライアンス要件を満たす上で役立ちます。

  • ユーザーキャンペーン

    このキャンペーンタイプには、ユーザーがアクセスできるすべてのリソースが表示されます。

    特定のユーザーまたはユーザーグループを選択し、割り当てられたリソースを確認できます。最も特権のあるアクセスは、ユーザーによってリクエストされるか、ユーザーに個別に割り当てられます。ほとんどの場合、レビュー担当者は、グループメンバーシップやグループルールを介して付与されたリソースへのアクセスをレビューする必要はありません。ユーザーキャンペーンを使用すると、レビュー担当者がユーザーに個別に割り当てられたリソースとエンタイトルメントへのアクセスのみをレビューするだけでよいキャンペーンを設定できます。

    ユーザーキャンペーンでは、特にロール、部門、プロジェクトの変更などによってユーザーと組織の関係が変化した場合に、ユーザーのリソースへのアクセスを効率的に管理できます。

    ユーザーキャンペーンを頻繁に実行して、ユーザーのアクセス権限が最小限に抑えられるようにします。

    ユーザーの管理者ロール割り当ては、確認のためにユーザーキャンペーンには含まれません。

キャンペーンを事前にスケジュールしたり、特定の間隔で繰り返したり、開始前に変更したりできます。

キャンペーンは開始日にアクティブになり、終了日を迎えるか、キャンペーンのレビュアー全員がレビューを完了するかのいずれか早いときに終了済みとしてマークされます。開始日の前にキャンペーンを開始したり、スケジュールされた終了日の前にアクティブなキャンペーンを終了したりすることができます。ただし、キャンペーンの開始後は、レビューアイテムの再割り当てとキャンペーンの終了のみ可能です。キャンペーンの終了後に変更することはできません。

[Access certification campaigns(アクセス認定キャンペーン)]ページで、アクティブなキャンペーン、予定されたキャンペーン、終了済みキャンペーンを表示できます。[Scheduled(スケジュール設定済み)]タブでは、繰り返しキャンペーンに[Recurring(繰り返し)]ラベルが付けられ、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。

キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。

スケジュールされたキャンペーンの開始に失敗した場合は、メール通知が届きます。エラーを表示するには、次のいずれかの手順を実行できます。

  • メール通知から[View Campaign(キャンペーンを表示)]をクリックします。
  • [Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブからキャンペーンを開きます。
  • System Logに移動します。

キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、[Overview(概要)]セクションにあるユーザーおよびレビュアーのOkta Expression Languageを書き留めておくことをお勧めします。[Actions(アクション)]メニューから開始に失敗したキャンペーンを削除できます。

キャンペーンのレビュアーは、ダッシュボードの[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。

キャンペーン作成者がキャンペーンにエンタイトルメントを含めた場合、レビュアーは、リソースに関連付けられているエンタイトルメントまたはバンドルと、エンタイトルメントまたはバンドルがレビューアイテムのユーザーにどのように割り当てられたかを確認することもできます。レビュアーは、エンタイトルメントとバンドルへのアクセスを、アプリとグループへのユーザーのアクセスをレビューする場合と同様の方法でレビューできます。レビュアーは、エンタイトルメントまたはバンドルを個別のユニットとして取り消すことはできますが、ユーザーに割り当てられたバンドルの一部である特定のエンタイトルメントを取り消すことはできません。ユーザーに割り当てられたエンタイトルメントは、ポリシールールを使用して手動で修復する必要があります。

アプリのエンタイトルメントをレビューするためのキャンペーンを実行できるのは、Governance Engineがアプリに対して有効になっている場合のみです。「Governance Engineを有効にする」と「制限事項」を参照してください。

管理者ロールのガバナンス

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

アクセス認定機能を使って[Govern Okta admin roles(Okta管理者ロールを管理する)]を有効にすると、リソースキャンペーンを使ってユーザーの管理者割り当てを確認できるようになります。アクセス認定は管理者割り当てを、Okta Admin Consoleを使って関連付けられたエンタイトルメントとして扱います。具体的には、管理者ロールとユーザーの管理者割り当て内のリソースセットは、エンタイトルメントのキー/値ペアとして扱われます。

管理者ロールを管理できるのは、スーパー管理者のみです。この機能を有効にしてから、管理者ロールの確認のためにリソースキャンペーンを実行できるようになるまで、数時間待たなければならない場合があります。

関連項目

キャンペーンを作成

Okta管理者ロールを管理する