サービスアカウントを認定する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
[サービスアカウントのアクセス認定]が有効な場合、Okta Access Certificationsリソースキャンペーンを使ってOkta Privileged Access内で管理されているサービスアカウントへのアクセスをレビューして認定できます。
リソースキャンペーンはキャンペーンのリソーススコープの設定に重点を置いているため、サービスアカウントを含め、それらのリソースにアクセスできるすべてのユーザーを確認できます。
キャンペーンを定期的に実行すると、ユーザーがアプリ、アプリに関連するサービスアカウントとエンタイトルメント、およびグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。
リソースキャンペーンには2つのプライマリペルソナが関係します。
- キャンペーン管理者
- 通常は、キャンペーンのセットアップおよび構成、スコープの定義、スケジューリングを担当するスーパー管理者またはアクセス認定管理者です。
- Reviewer(レビュアー)
- ガバナンスの決定を担当するユーザーです。レビュアーは、ユーザーのマネージャー、グループ所有者、リソース所有者、特定のユーザー、またはカスタムのOkta Expression Language (OEL)式が動的に割り当てられたユーザーのいずれかです。レビュアーは、ダッシュボードの[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。
使用の開始
-
キャンペーン設定を更新して、レビュアーのサービスアカウントに固有のコンテキスト情報を含めます。「カスタマイズ可能なレビュアーコンテキスト」を参照してください。
-
「既知の問題と制限事項 」を理解します。
-
「キャンペーン作成のベストプラクティス」をお読みください。
-
「リソースキャンペーンを作成する」に記載されている手順を使用します。
サービスアカウントへのアクセスをレビューするキャンペーンを作成するときは、以下に留意してください。
-
[General(一般)]設定:リソースキャンペーンのスコープにサービスアカウントが含まれる場合、監査レポートパッケージ内の次のレポートは利用できません。
- Resource access - Campaign launch(リソースアクセス - キャンペーンの開始)
- Resource access - Campaign complete(リソースアクセス - キャンペーンの完了)
- Resource access changes - Campaign launch to campaign complete(リソースアクセスの変更 - キャンペーンの開始からキャンペーンの完了まで)
-
[Resource(リソース)]設定:レビュー対象のスコープを定義するページ。キャンペーンを構成するときは、[Service accounts(サービスアカウント)]を選択し、サービスアカウントタイプを[SaaS application service account(SaaSアプリのサービスアカウント)]または[Okta service account(Oktaサービスアカウント)]に設定できます。
-
[Reviewer(レビュアー)]設定:ユーザーとリソースの組み合わせごとに、アクセスを承認、取り消し、または再割り当てするレビュアーを1つ以上のレベルで割り当てるページ。レビュアーが通知とリマインダーを受け取るイベントを指定します。[Owner groups(所有者グループ)]または[Owner users(所有者ユーザー)]の属性が定義されていないか、そのサービスアカウントでは利用できない場合、レビュアータイプとして[Resource Owner(リソース所有者)]を選択すると、レビューは最終レビュアーに割り当てられます。
-
[Remediation(修復)]設定:レビュアーがアクセスを承認または取り消した場合の動作、またはレビューが完了しなかった場合の動作を構成するページ。サービスアカウントへのアクセスを手動で修復する必要があります。キャンペーンのスコープにサービスアカウントのみが含まれる場合、自動修復設定は利用できません。
推奨される修復アクションは、関連するグループまたは Okta Privileged Accessのセキュリティポリシーから、ユーザーを手動で削除することです。
-