Okta Identity Governanceを備えた領域
早期アクセスリリース
Okta Identity Governance製品、アクセス認定、エンタイトルメント管理を備えた領域を使用し、Okta Expression Languageを使用してユーザースコープを1つの領域に制限できます。
アクセス認定を使用して領域のユーザーを認定する
アクセス認定キャンペーンを使用して、領域ユーザーのリソースへのアクセスを定期的にレビューして認定します。
同様に、領域管理者を含むユーザーをレビュアーとして割り当ててから、Okta Expression Languageを使用して、各レビュアーが管理対象の領域のユーザーからの承認リクエストのみを受け取るようにすることができます。
ユーザーキャンペーンを作成してユーザーとレビュアーのスコープを領域内の人々に制限するには、以下のオプションを選択します。
-
[ユーザー]ページで、[Custom (Okta Expression Language)(カスタム(Okta Expression Language))]を選択します。
-
[レビュアー]ページで、レビュアータイプに[Custom(カスタム)]を選択します。
次のサンプル式を使用できます。
| スコープ | ユースケース |
式のサンプル |
|---|---|---|
| ユーザー | 特定の領域に属するユーザーのみをキャンペーンに含めます。 | user.realmId == "o4cbj6ybZl1QShj0g7"、またはuser.realmId == "guo4c8usniIlFgluO0g7"、またはuser.realmId == "guo4c7skrkbxDgJ140g7" |
| レビュアー | 特定の領域に属するレビュアーを指定します。 | user.realmId == "guo4c8usniIlFgluO0g7" ? "jane@gmail.com":(user.realmId == "guo4c8usniIlFgluO0g7" ? "joe@gmail.com":"joea@gmail.com") |
詳細については、「Okta Expression Languageの例」を参照してください。
エンタイトルメント管理を使用してアプリケーションエンタイトルメントを構成する
エンタイトルメント管理を使用して、user.realmIdなどのユーザーのプロファイル属性に基づいてアプリエンタイトルメントポリシーを作成できます
ポリシーを作成するには、アプリのGovernance Engineを有効にする必要があります。
次のサンプル式を使用して、特定の領域に属するユーザーをポリシーールールに含めることができます。
user.realmId == "o4cbj6ybZl1QShj0g7"、またはuser.realmId == "guo4c8usniIlFgluO0g7"、またはuser.realmId == "guo4c7skrkbxDgJ140g7"
詳細については、「Okta Expression Languageの例」を参照してください。