カスタム管理者ロール
カスタム管理者ロールは、ロール内の詳細な権限を構成する機能を提供します。この機能で提供される内容は、次のとおりです。
-
セルフサービスの方法でロールの作成をより細かく制御できます。特定のユースケースに基づいて、カスタムロールの割り当てを作成できます。
-
orgのセキュリティが向上します。管理者とアプリにタスクの実行に必要な権限のみが付与されるように、権限をきめ細かく割り当てることができます。これにより、スーパー管理者やorg管理者のロールをユーザーに割り当てる必要がなくなります。
-
管理者による監査とコンプライアンスのレビューが簡素化され、詳細な管理者権限がよりわかりやすくなります。
管理者ロールの割り当ては、次の3つのコンポーネントで構成されます。
-
管理者:管理者権限を付与する必要があるユーザー、ユーザーグループ、またはアプリ。
-
ロール:管理者を制限する権限のセット。ロールには、標準とカスタムの2種類があります。1つのOrgに対して、最大100個のロールを作成できます。現在、権限はユーザー、グループ、アプリのアクティビティの管理と、プロファイルソースのインポートのみに制限されています。
-
リソースセット:リソースのコレクション。最大10,000個のリソースセットを作成し、各リソースセットには最大1,000個のリソースを割り当てることができます。現在は、org内のユーザーグループとアプリのみがリソースと見なされています。
-
リソースセットは、カスタム管理者ロールでのみ使用できます。
-
同じロールとリソースセットの組み合わせを持つ管理者を1,000人のみに制限できます。
カスタム管理者ロールの割り当てを作成するための開始点として、これらのコンポーネントのいずれかを柔軟に作成または選択できます。管理者ロールの割り当てを作成する前に、「カスタムロールの割り当てを作成するためのベストプラクティス」を確認することをお勧めします。
動画チュートリアルについては、「Oktaカスタム管理者ロールによる代理管理のデモ」をご覧ください。
標準ロールへの影響
-
既存のロール(スーパー管理者、org管理者、グループ管理者、アプリ管理者、読み取り専用管理者、モバイル管理者、ヘルプデスク管理者、レポート管理者、API Access Management管理者、およびグループメンバーシップ管理者)は、標準ロールと呼ばれます。
-
既存のロールは引き続き使用できます。また、既存の割り当ても変わりありません。
-
標準ロールが割り当てられているユーザーにカスタムロールを割り当てることもできます。
制限事項
-
Active DirectoryまたはLDAPグループのグループおよびユーザーリソースには、グループのオリジンは含まれません。複数のグループの名前が同じ場合、UIそれをで区別することはできません。
-
カスタム管理者ロールのみが割り当てられた管理者は、スーパー管理者が割り当てられたユーザーを管理できません。
-
管理者レポートは、Okta Admin Consoleの[管理者ロールの割り当てレポート]ページからのみ取得できます。現時点では、APIを使ったレポートの取得はサポートされません。
-
カスタム管理者ロールを使ってOkta Workflowsを管理することはできません。
-
Okta Workflowsのロールベースのアクセス制御(RBAC)機能は、Okta Workflowsに固有のリソースセットを追加します。ただし、このリソースを変更したり、カスタム管理者ロールに割り当てたりすることはできません。