エンタイトルメントポリシー
エンタイトルメントポリシーを使用すると、ユーザーの最新のプロファイル属性とグループメンバーシップに基づいてユーザーにエンタイトルメントを自動的に割り当てることができます。これにより、orgのセキュリティが向上します。さらに、ユーザーのアプリケーションエンタイトルメントを管理するためにグループを使用する必要がなくなるため、Universal Directoryのセットアップが簡単になります。
各アプリケーションには、アクティブなエンタイトルメントポリシーを1つだけ割り当てることができます。ただし、エンタイトルメントがユーザーに付与される方法を規定する複数のルールをポリシー内に作成できます。ルールを作成するには、ユーザー固有のOkta Expression Language式を使用します。
ポリシーを効果的に使用するために以下の考慮事項に留意してください。
-
複数のルールを作成した場合、エンタイトルメント管理では、最後に作成したポリシールールに最も高い優先順位が与えられます。ルールを[Policy(ポリシー)]タブにドラッグアンドドロップして優先順位を変更することもできます。
-
エンタイトルメントに1つの値しかない場合は、一致する最初のルールによってユーザーのエンタイトルメント値が決まります。エンタイトルメントに複数の値がある場合は、一致するすべてのルールの和集合によってユーザーのエンタイトルメント値が決まります。
-
デフォルトでは、初めてルールを追加すると、ドラフトポリシーが作成されます。ルールを作成したら、ポリシーを適用してアクティブ化する前に、ポリシーがユーザーへのエンタイトルメントの割り当てにどのように影響するかをプレビューできます。
-
ポリシーを編集すると、アクティブポリシーのドラフトコピーが作成されます。このコピーを使用することで、ユーザーに即座に影響を与えずにポリシーを変更できます。ポリシーを適用してアクティブ化する必要があります。
アクティブポリシーを直接編集することはできません。アプリケーションのポリシーを作成し、それを初めて適用したら、アプリは常にアクティブポリシーが設定されている状態になります。