管理者ロールのアクセス認定
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Okta管理者ロールの管理機能は、Okta Identity Governanceをサブスクライブしている方向けには公開されています。サブスクライブしていない場合、orgの適格性によってはOkta管理者ロールの管理機能を利用できない可能性があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。
重要なリソースにアクセスできるユーザー(管理者など)を定期的に特定してレビューすることが組織にとって重要です。アクセス認定を使用して、ユーザーの管理者ロールの割り当てを定期的にレビューするキャンペーンを作成します。キャンペーンを頻繁に実行すると、昇格または特権アクセスの蓄積を回避することができます。
- 事前構成されたキャンペーン
- 事前構成されたキャンペーンは、すぐに使用できます。そのため、手動構成なしにキャンペーンを開始できます。アクセス認定を始めるにあたり、Oktaでは2つのキャンペーンの設定を予め設定しています。 [Okta administrator review(Okta管理者レビュー)]キャンペーンを実行し、管理者ロールを管理します。[Discover inactive users(非アクティブなユーザーを検出する)]キャンペーンも使用できる機能は限られていますが、これによって、組織で非アクティブなユーザーの数が最も多い1つのアプリをレビューできます。
- リソースキャンペーン
- リソースキャンペーンには、リソースにアクセスできるすべてのユーザーが表示されます。リソース、ユーザー、レビューアー、修復設定を定義して、リソースキャンペーンを要件に合わせてカスタマイズできます。たとえば[Okta Admin Console]などのリソースを選択することができます。次に、そのリソースに割り当てられるすべてのユーザーを選択するか、Okta Expression Languageを使用して特定のユーザーセットを定義します。キャンペーンから特定のユーザーを除外することもできます。その後、ユーザーの管理者ロールの割り当てをレビューするキャンペーンレビュアー、およびキャンペーンで承認を複数ラウンドする必要があるかを指定します。最後に、レビュアーがユーザーのアクセスを承認または拒否したときに実行される修復アクションを定義します。
- ユーザーキャンペーン
- ユーザーキャンペーンには、ユーザーがアクセスできるすべてのリソースが表示されます。このキャンペーンタイプは、部門、ロール、プロジェクトの変更などの特定のイベントが発生した場合に、リソースへのユーザーのアクセスを確認する上で役立ちます。ユーザー、リソース、レビュアー、修復設定を定義して、ユーザーキャンペーンを要件に合わせてカスタマイズすることができます。たとえば、ユーザーを指定した後、リソーススコープを[All apps(すべてのアプリ)]または[All apps and groups(すべてのアプリとグループ)]に設定し、 [Include Okta admin roles(Okta管理者ロールを含める)]チェックボックスをオンにします。その後、ユーザーの管理者ロールの割り当てをレビューするキャンペーンレビュアー、およびキャンペーンで承認を複数ラウンドにする必要があるかを指定します。最後に、レビュアーがユーザーのアクセスを承認または拒否したときに実行される修復アクションを定義します。
-
ユーザーキャンペーンは、Okta Identity Governanceをサブスクライブしている場合にのみ、管理者ロールの管理に利用できます。
管理者ロールバンドルとその有効期限は管理者ロールの割り当てレポートで確認することができます。また、過去のキャンペーンの詳細レポートと過去のキャンペーンの要約レポートを使用して、開始されたキャンペーンや、リソースへのユーザーアクセスが保持されたか取り消されたかを確認することもできます。Okta Identity Governanceをサブスクライブしている場合、ユーザーエンタイトルメントレポートも利用できます。
アクセス認定の詳細については、「アクセス認定」と「キャンペーン」を参照してください。
Okta Identity Governanceをサブスクライブしている場合は、Okta Identity Governance APIも使用できます。