修復について
管理者は、レビュアーがユーザーのリソースへのアクセスを承認または取り消した場合の処理、またレビュアーがレビューを完了しなかった場合の処理を決定できます。Okta Workflowsを使用して修復をカスタマイズすることもできます。グループルールまたはグループメンバーシップによってアプリまたはグループがユーザーに割り当てられた場合は、手動で修復する必要がある場合があることに注意してください。
- [Remediation(修復)]ペインでレビュアーのアクションを選択する
- 修復をカスタマイズする
- 修復を手動で処理する
[Remediation(修復)]ペインでレビュアーのアクションを選択する
キャンペーンの作成または変更中に、[Remediation(修復)]ペインで、レビュアーのアクションに対して次の修復オプションのいずれかを選択できます。
レビュアーのアクション | 利用可能なオプション |
---|---|
アクセスを承認する | デフォルトの修復は[Don’t take any action(アクションをとらない)]に設定されています。 |
アクセス権を取り消す |
|
対応しない |
|
Okta Workflowsを使用して修復をカスタマイズする
Okta Workflowsを使用すると、次のような手動の修復タスクを自動化できます。
-
ServiceNowなどのITSMへのチケットをトリガーして、アプリケーションからアカウントを手動でデプロビジョニングします。
-
特定の日数の間、またはキャンペーンが終了するまで、修復イベントを遅らせます。
-
アクセス権が削除されたユーザーにカスタム通知を送信して、ユーザーがそれを認識し、アクセス権を復元する必要があると考える場合は再度アクセス権を要求できるようにします。
すべてのアクセス認定決定をイベントとして使用して、カスタムワークフローを構築できます。Oktaコネクタの「アクセス認定決定の送信」を参照してください。
Okta Workflowsの構成の詳細については、「フローの構築」を参照してください。
修復を手動で処理する
[Remove user from the resource(リソースからユーザーを削除)]を修復オプションとして設定すると、次の場合に修復ステータスが[Manual Remediation Required(手動修復が必要)]と表示されることがあります。ユーザーがグループを通じてアプリケーションに割り当てられた。
ユーザーがグループルールによってグループに追加された。
ユーザーがアプリソースのグループのメンバーである。
手動修復に関する考慮事項
グループからユーザーを削除する前に、ユーザーがグループから取得する割り当てを確認してください。アプリ、管理者ロール、サインオンポリシー、およびその他の権限は、多くの場合、グループを通じて割り当てられます。グループからユーザーを削除すると、そのユーザーがそのグループを通じて取得したすべての割り当てが取り消されます。
ユーザーがアプリケーションに割り当てることができる複数のグループメンバーシップを持っているかどうかを確認します。アクセスを削除するには、ユーザーがアプリケーションへのアクセスに使用するすべてのグループからユーザーを削除する必要があります。
意図しない結果が生じないように、グループを削除する前に、ソースアプリケーションでアプリから構成されたグループがどのように使用されているかを確認してください。
次の推奨アクションを実行して、アクセスを修復します。
リソース | 割り当て元 | 推奨アクション |
---|---|---|
アプリケーション | Oktaソースのグループメンバーシップ | Okta Workflowsを使用して、Oktaソースのグループからユーザーを削除します。 |
アプリケーション | アプリソースのグループメンバーシップ(ADグループなど) | アプリソースのグループからユーザーを削除します。たとえば、ADでグループからユーザーを削除します。 |
Oktaソースのグループ | グループルール | グループからユーザーを削除し、ユーザーをグループルールの例外として追加します。 |
アプリソースのグループ | インポート | アプリソースのグループからユーザーを削除します。たとえば、ADでグループからユーザーを削除します。 |