キャンペーンを作成

キャンペーンを作成して、Okta内のアプリケーションとグループへのユーザーのアクセスを定期的に確認します。キャンペーンを事前にスケジュールし、開始前に変更できます。

キャンペーンは開始日にアクティブになり、終了日に終了済みとマークされます。開始日の前にキャンペーンを開始し、スケジュールされた終了日の前にアクティブなキャンペーンを終了できます。キャンペーンの開始後、レビューアイテムを再割り当てしたり、キャンペーンを終了したりできます。キャンペーンの終了後に変更することはできません。

ベストプラクティス

  • わかりやすいキャンペーン名を選択してください。キャンペーン名はレビュアーに表示されます。月と年を含む一意の名前を使用することをお勧めします。
  • キャンペーンの説明には、レビュアーがキャンペーンの目的を理解するのに役立つ情報を含めます。たとえば、ユーザーのSalesforce権限を確認するキャンペーンをセットアップした場合、それをキャンペーンの説明として追加して、レビュアーにコンテキストを提供できます。
  • キャンペーンに関連付けられたリソースがOktaに存在し、非アクティブ化または削除されていないことを確認してください。
  • キャンペーン内のレビュー対象の数は、1~100,000の間である必要があります。大規模なキャンペーンをより適切に管理するには、レビューを複数のキャンペーンに分割することをお勧めします。
  • [Access Certification Reviewer(アクセス認定レビュアー)]グループの名前変更、変更、または削除をしないでください。レビュー対象が割り当てられると、レビュアーは自動的にこのグループに追加されます。このグループに何らかの変更を加えると、レビュアーがキャンペーンにアクセスできなくなり、レビューを完了できなくなる可能性があります。このグループを誤って削除してしまった場合は、Oktaサポートにお問い合わせください。
  • 選択した最終レビュアーがOktaでアクティブになっていることを確認します。
  • 現在、1つのorgに対してアクティブなキャンペーンは500のみです。その制限に達した場合、キャンペーンを作成する前に、いくつかのアクティブなキャンペーンを終了する必要がある場合があります。
  • 繰り返しキャンペーンに関する考慮事項」を参照してください。

このタスクを開始する

次の手順を実行する前に、スーパー管理者またはアクセス認定管理者としてサインインしていることを確認してください。

  1. Okta管理コンソールで、[Identity Governance(IDガバナンス)]>[Access Certifications(アクセス認定)]に移動します。
  2. [+ Create campaign(+キャンペーンを作成)]をクリックします。

    ウィザードで要件を構成します。

一般

  1. 次のフィールドに値を入力します。

    フィールド

    Campaign name(キャンペーン名)キャンペーンの名前を入力します。理想的には、レビュアーにとってわかりやすい名前を入力してください。
    説明キャンペーンの目的を説明します。
    Start date(開始日)キャンペーンの開始日を選択します。

    Start Time(開始時刻)

    キャンペーンの開始時刻とタイムゾーンを選択します。

    Duration(所要時間)

    キャンペーンを実行する期間を選択します。

    キャンペーンは、キャンペーンを設定した管理者のタイムゾーンで開始日の午前12時に開始し、終了日の午後11時59分に終了します。

  2. 特定の間隔でキャンペーンを繰り返す場合は、[Make this recurring(繰り返しにする)]をオンにします。1つのキャンペーンのみをセットアップする場合は、次の2つの手順をスキップしてください。

  3. [Repeats every(繰り返し間隔)]セクションで適切な値を入力または選択して、繰り返しキャンペーンの頻度を構成します。「繰り返しキャンペーンに関する考慮事項」を参照してください。

  4. [Recurrence ends(繰り返し終了)]セクションで、要件に基づいて[Never(なし)]または[On a specific date(特定の日)]のいずれかを選択します。

  5. [Next(次へ)]をクリックします。

リソース

  1. リソースタイプとして[Applications(アプリケーション)]または[Groups(グループ)]を選択します。
  2. キャンペーンに含めるアプリケーションまたはグループを選択します。キャンペーンには最大50個のリソースを追加できます。
  3. [Next(次へ)]をクリックします。

ユーザー

  1. 次のいずれかのオプションを選択します。
    利用可能なオプションアクション説明
    リソースに割り当てられているすべてのユーザー前に選択したリソースに割り当てられているユーザーを含める場合は、このオプションを選択します。該当なし
    ユーザースコープを指定有効なOkta式言語(EL)式を入力して、ユーザースコープを指定します。このオプションは、ユーザースコープを特定のユーザーセットに制限します。式の結果は、ユーザーをキャンペーンに含める場合はtrue、キャンペーンから除外する場合はfalseになります。「ユーザースコープを定義する」を参照してください。
  2. 推奨。[Previewer reviewer(プレビュアーとレビュアー)]フィールドに、キャンペーンに含まれているかどうかを確認するユーザーの名前を入力します。[Preview(プレビュー)]をクリックします。ユーザーがキャンペーンに含まれているかどうかを示すメッセージが表示されます。

    キャンペーンのリソースに割り当てられていないユーザーをプレビューすると、EL式にユーザーが含まれていても、プレビューにはそのユーザーがキャンペーンに含まれていないと示されます。

  3. 特定のユーザーをキャンペーンから除外するには、[Exclude users from the campaign(ユーザーをキャンペーンの対象から除外)]をオンにし、キャンペーンから除外するユーザーの名前を入力します。
  4. [Next(次へ)]をクリックします。

レビュアー

  • ここで選択したレビュアーは、[Access Certification Reviewer(アクセス認定レビュアー)]グループに自動的に追加されます。[Access Certification Reviewer(アクセス認定レビュアー)]グループの名前変更、変更、または削除をしないでください。このグループを誤って削除してしまった場合は、Oktaサポートにお問い合わせください。

  • キャンペーンを開始すると設定した時刻にキャンペーンに含まれるレビュアーが非アクティブ化または削除されている場合、キャンペーンは開始されません。

  1. レビュアーのタイプを選択します。
    レビュアータイプアクションコメント
    固定レビュアー
    1. キャンペーン内のすべてのユーザーのアクセス認定をレビューする必要があるレビュアーの名前を入力します。

    このレビュアーは、すべてのレビューアイテムをレビューする責任を負います。
    動的レビュアー
    1. 有効なOkta EL式を入力して、レビュアーを指定します。
    2. 推奨。[Preview a user’s reviewer(ユーザーのレビュアーをプレビュー)]フィールドに、レビュアーが誰であるかを確認するユーザーの名前を入力します。
    3. [Preview(プレビュー)]をクリックします。
    4. [Fallback reviewer(最終レビュアー)]フィールドに、EL式によってレビュアーが割り当てられていない場合に、レビュアーの役割を果たす必要があるユーザーの名前を入力します。

    式は、レビュアーとして割り当てる必要があるユーザーのOktaユーザーIDまたはユーザー名を返す必要があります。「動的レビュアーを定義する」を参照してください。

    式がレビュアーの値を返さない場合は、最終レビュアーがユーザーのレビュアーとして割り当てられます。

    レビュアーの割り当て拡張機能を有効にした場合は、代わりに次のいずれかのレビュアータイプを選択します。

    これは、Okta Identity Governanceが有効になっている組織向けの早期アクセス機能です。「早期アクセス機能とBeta機能の管理」の説明に従い、早期アクセス機能マネージャーを使用してこの機能を有効にします。

    レビュアータイプアクションコメント
    特定のユーザー
    1. キャンペーン内のすべてのユーザーのアクセス認定をレビューする必要があるレビュアーの名前を入力します。

    このレビュアーは、すべてのレビューアイテムをレビューする責任を負います。
    ユーザーのマネージャー
    1. Oktaのユーザーのプロファイルにリストされているユーザーのマネージャーにレビューアイテムを割り当てます。

    2. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。

    Oktaのユーザーのプロファイルにマネージャーがリストされていない場合は、最終レビュアーがそのユーザーのレビュアーとして割り当てられます。
    グループ
    1. 特定のユーザーグループのすべてのメンバーにレビューアイテムを割り当てます。

    1人のグループメンバーのみがレビューを行い、レビューアイテムに対してアクションを実行する必要があります。そのため、グループメンバーがレビューアイテムへのアクセスを承認するか、取り消した場合、そのレビューアイテムはすべてのレビュアーに対して「完了済み」とマークされます。

    ドロップダウンには、1~10人のメンバーがいるグループのみが表示されます。それよりも多くのメンバーをグループに追加すると、レビューアイテムはグループの最初の10人のメンバーに割り当てられます。

    グループオーナー

    1. Oktaのグループのプロファイルにリストされているグループのオーナーにレビューアイテムを割り当てます。

    2. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。

    3. 推奨。グループのグループオーナーをプレビューできます。[Preview(プレビュー)]セクションで、[Preview group owner(グループオーナーをプレビュー)]ドロップダウンのグループを選択します。[Preview(プレビュー)]をクリックします。

    グループ内のグループオーナーの数が10人より多い場合、レビューアイテムは最初の10人のグループオーナーに割り当てられます。

    [Group Owner(グループオーナー)]オプションは、次の条件に当てはまる場合のみ使用でき、有効であることに注意してください。

    • [Resource(リソース)]ペインで1つ以上のグループをリソースとして選択した。

    • 各グループのグループオーナーが個人またはグループである。どのグループについても、人とグループの組み合わせをグループオーナーにすることはできません。

    Okta式言語を使用して定義
    1. 有効なOkta EL式を入力して、レビュアーを指定します。

    2. 推奨。[Preview a user’s reviewer(ユーザーのレビュアーをプレビュー)]フィールドに、レビュアーが誰であるかを確認するユーザーの名前を入力します。

    3. [Preview(プレビュー)]をクリックします。

    4. [Fallback reviewer(最終レビュアー)]フィールドで、すべてのレビューアイテムをレビューする責任を負うユーザーを指定します。

    式は、レビュアーとして割り当てる必要があるユーザーのOktaユーザーIDまたはユーザー名を返す必要があります。「動的レビュアーを定義する」を参照してください。式がレビュアーの値を返さない場合は、最終レビュアーがユーザーのレビュアーとして割り当てられます。
  2. [Notifications(通知)]セクションで、次のオプションを1つ以上選択します。
    通知オプション説明
    Reviews assigned(レビューの割り当て)

    キャンペーンの開始時にレビューアイテムが割り当てられたとき、およびレビューアイテムが再割り当てされたときに、レビュアーはメール通知を受け取ります。

    管理者は、キャンペーンの開始時にレビュアーが受け取るメールをカスタマイズできます。「メールテンプレートをカスタマイズする」を参照してください。

    Reminder for pending reviews (before a campaign closes)(保留中のレビューのリマインダー(キャンペーン終了前)

    保留中のレビューアイテムがあるレビュアーは、キャンペーンが終了する数日前にメール通知を受け取ります。キャンペーン終了日の何日前にリマインダーを受け取るかを選択できます。

    管理者として自分もキャンペーンの終了予定日の前にリマインダーメールを受け取りたい場合は、このオプションを選択します。

    Campaign ended(キャンペーンの終了)

    キャンペーンが終了するときに、レビュアーはメール通知を受け取ります。

    管理者は、自分が作成したキャンペーンが開始または終了するときのメール通知に自動サブスクライブされています。また、キャンペーンの開始に失敗した場合は、キャンペーンのページへのリンクが記載されたメール通知を受け取ります。

  3. [Next(次へ)]をクリックします。

修復

  1. 次の状況で起こることを選択します。
    • レビュアーが、ユーザーのアクセスを承認または取り消した。
    • レビュアーが対応しない。

    修復プロセスは、レビュアーがユーザーのアクセスを承認または取り消した直後に開始されます。「修復について」を参照してください。

    修復は、Okta Workflowsで拡張可能です。「アクセス認定決定の送信」を参照してください。Okta Workflowsの構成については、「フローの構築」を参照してください。

  2. [Schedule campaign(キャンペーンの日程を設定)]をクリックします。

スケジュールされたキャンペーンは、キャンペーンがアクティブになる前であればいつでも変更できますが、アクティブになった後や終了した後は変更できません。「スケジュールされたキャンペーンを変更する」および「アクティブなキャンペーンを終了する」を参照してください。

管理者は、キャンペーンがアクティブな場合でも、レビューアイテムを別のレビュアーに再割り当てできます。

[Access certification campaigns(アクセス認定キャンペーン)]ページの[Scheduled(スケジュール設定済み)]タブで、作成したばかりのキャンペーンを表示できます。繰り返しキャンペーンは、[Scheduled(スケジュール設定済み)]タブで[Recurring(繰り返し)]ラベルが付き、一連の繰り返しキャンペーンの一部であることが示されます。

[Access certification campaigns(アクセス認定キャンペーン)]ページで、アクティブなキャンペーンと終了済みキャンペーンを表示することもできます。繰り返しキャンペーンは、[Scheduled(スケジュール設定済み)]タブで[Recurring(繰り返し)]ラベルが付き、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。

キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。レビュアーは、ダッシュボードの[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。

スケジュールされたキャンペーンの開始に失敗した場合は、メールで通知されます。エラーを表示するには、次のいずれかの手順を実行できます。

  • メール通知から[View Campaign(キャンペーンを表示)]ボタンをクリックします。
  • [Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブからキャンペーンを開きます。
  • System Logに移動します。

キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、[Overview(概要)]セクションにあるユーザーおよびレビュアーのOkta式言語式を書き留めておくことをお勧めします。[Actions(アクション)]メニューから開始に失敗したキャンペーンを削除できます。

関連項目

Okta式言語の例

修復について

アクティブなキャンペーンの進行状況を表示する

スケジュールされたキャンペーンを変更する

アクティブなキャンペーンを終了する