Governance Engineを有効にする
Oktaでサードパーティアプリのエンタイトルメントを管理するためにGovernance Engineを有効にします。
はじめに
-
スーパー管理者、アプリ管理者、または次の権限を持つ管理者としてサインインします。
-
Manage applications(アプリケーションを管理する)
-
Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)
-
Edit groups' application assignments(グループのアプリケーション割り当てを編集する)またはEdit users' application assignments(ユーザーのアプリケーション割り当てを編集する)
-
-
自分がOktaエンタイトルメント管理アプリケーションに割り当てられていることを確認します。
-
新しいアプリインスタンスを作成してから、エンタイトルメントポリシーを効果的に使用できるようにGovernance Engineを有効にします。既存のアプリインスタンスのGovernance Engineを有効にすると、既存のユーザーの割り当てが[Custom(カスタム)]とマークされます。既存のアプリインスタンス用に作成したポリシーは、そのアプリに割り当てられる新規ユーザーにのみ適用されます。
-
Box、Google Workspace、NetSuite、Microsoft Office 365、またはSalesforceのエンタイトルメント管理を使用するには、新しいアプリインスタンスを作成します。これらのアプリのプロビジョニングを有効にしないでください。
-
ユーザーのアクセス権が、アクセス期間がセットアップされた条件によって付与された場合、アプリのGovernance Engineを有効化または無効化すると、既存のユーザーのアクセス期限はリセットされ、無期限に設定されます。Governance Engineを有効化/無効化したときは、ユーザーのアクセス期限を手動で更新することを検討してください。
プロビジョニングが有効化されたアプリインスタンスのGovernance Engineを有効にすることはできません。
既存のアプリインスタンスのプロビジョニングを無効にしてGovernance Engineを有効にすると、リレーションシップやルールなどのプロビジョニング関連データがすべて失われる可能性があります。
このタスクを開始する
-
Admin Consoleで に移動します。
-
Governance Engineを有効化するアプリを選択します。
-
[一般]タブに移動します。
-
[IDガバナンス]セクションの[Edit(編集)]をクリックします。
-
[Governance Engine]ドロップダウンメニューで[Enabled(有効)]を選択します。
-
[Save(保存)]をクリックします。ページを更新して、アプリケーションの[ガバナンス]タブを表示します。
-
任意。ユーザーのアクセス期限を更新します。Governance Engineを有効にすると、ユーザーのアクセス権がアクセスリクエスト条件によって付与された場合にOktaはユーザーのアクセス期限をリセットします。アクセス期限は無期限に設定されます。
プロビジョニング対応アプリインスタンスのGovernance Engineを有効化すると、そのアプリインスタンスのプロビジョニングを有効化できるようになります。
エンタイトルメントが正確に割り当てられるように、Governance Engineとプロビジョニングが有効になっているアプリで[Create Users(ユーザーを作成)]と[Update User Attributes(ユーザー属性をアップデート)]を有効にします。アプリインスタンスの[プロビジョニング]タブにある[設定]の[アプリへ]セクションで、これらのオプションを設定します。
Governance Engineを無効にする
Governance Engineを無効にする前に、次の考慮事項に留意してください。
-
プロビジョニング対応アプリでは、Governance Engineを無効にする前にプロビジョニングを無効にする必要があります。
-
アプリのGovernance Engineを無効にすると、既存のすべてのエンタイトルメント、バンドル、ポリシーがOkta orgから削除されます。ダウンストリームアプリのユーザーには影響しません。ただし、後でOktaからエンタイトルメントを管理するときは、Governance Engineを有効にした上でエンタイトルメントを再作成する必要があります。
アプリのGovernance Engineを無効にするには、[Governance Engine]ドロップダウンリストから[Disabled(無効)]を選択します。オプションとして、ユーザーのアクセス期限を更新します。
Governance Engineを有効または無効にすると、System Logにイベントが記録されます。