グループ

グループを使用すると、ユーザー管理を簡素化できます。ユーザーをアプリに個別に割り当てる代わりに、ユーザーをグループに割り当ててから、グループに対するリソースへのアクセスを許可または拒否することができます。グループのアクセス権が変更されると、それらの変更はそのグループのすべてのメンバーに自動的に適用されます。

ユーザーグループが属する部門やプロジェクトチームのメンバーなど、共通また共有の特性に基づいてユーザーをグループ化できます。たとえば、Salesという名前のグループを作成し、それらのユーザーにSales Documentationなどの共有フォルダへのアクセスを付与できます。

グループは、ID管理システムの重要なツールであり、グループデータは通常、ディレクトリに格納されています。大部分のアプリは、アプリレベルで、またはアプリ内で特定のリソースに対するグループをサポートしています。

[Directory(ディレクトリ)][Groups(グループ)][Groups(グループ)]ページで、グループの完全名または部分的な名前でグループを検索することができます。Oktaは検索フィールドに入力した内容に一致するグループの名前を表示し、プレフィックスに一致するグループのみを返します。たとえば、Group 1という名前のグループがある場合、部分検索語として1を入力しても、検索結果は返されません。部分検索語としてGroupを入力した場合、OktaはGroupで始まるすべのグループを返します。

アプリサインオンポリシーとルール

アプリサインオンポリシーでアプリへのアクセスを制限できます。指定したグループへのアクセスを許可または拒否し、多要素認証(MFA)の使用を強制適用できます。リモート、派遣社員、または契約社員がいる場合、カテゴリーごとにグループを作成し、グループごとに異なるルールを設定できます。

アプリとディレクトリのグループ

Oktaでは、1つのディレクトリでグループメンバーシップを定義し、接続された複数のシステムでグループを使用することができます。オンプレミスのシステムでは、アプリは一元管理のディレクトリに接続し、グループのクエリを実行できます。クラウドアプリでは、共通のActive Directory(AD)リソースがないことが多いものの、Oktaの「グループをプッシュ」機能を使うと、このようなタイプのアプリでもグループを使用することができます。

Okta管理者

Oktaでは、orgのすべての管理者は自動的にOkta Administratorsというグループに追加されます。Okta Administrators機能を利用することで、orgのすべての管理者に自動的に適用される新しいサインオンポリシーを作成できます。

Okta Administratorsグループは、アプリではなくサインオンポリシーにのみ割り当てることができます。すべての管理者がこのグループを表示できますが、グローバルポリシーを設定するスーパー管理者のみがこのグループを使用できます。セキュリティ上の理由により、このグループのメンバー数は表示されません。

SAML JITグループプロビジョニング

SAMLサインオンプロセス中にグループのプロビジョニングを実行できます。これは、以下のような場合に推奨されます。

  • 既存のグループへのユーザーの追加
  • 新しいグループの作成
  • グループメンバーシップの管理
    プロビジョニングの設定はありません。グループ情報は、ユーザーがターゲットアプリにサインインする際にSAMLアサーションで送信されます。この場合、正規表現を使用して必要なグループをフィルタリングする必要があるグループプッシュよりも柔軟性が低くなります。この方法の利点は、SAMLテンプレートの一部として利用できることです。ターゲットアプリがSAMLによるグループ情報を受け入れると、グループプッシュを実装するためのエンジニアリング作業を必要とせずにテンプレートを構成できます。

ユースケース

これらのユースケースは、Oktaがどのようにしてグループを管理するかを示しています。

ターゲットアプリでのユーザーのプロビジョニング

プロビジョニングをサポートするアプリは、グループメンバーシップを使用して、どのユーザーアカウントが作成、更新、削除、または非アクティブ化されるかを決めることができます。プロビジョニングを設定してからアプリにグループを割り当てます。グループのメンバーはターゲットアプリで自動的に作成されます。

サービスによっては、新しく作成したユーザーに割り当て可能な他のデータがあります。たとえば、プロビジョニングを有効にしたSalesforceアプリにグループを割り当てた場合、グループ内のユーザーに割り当てるSalesforceのロールとプロファイルを選択できます。

ADグループのBoxフォルダへのマッピング

ファイルへのアクセス制御にADグループを使用している企業が、ファイル共有のためにBoxに移行しています。Boxには、オンプレミスのファイルサーバーと同じ、または類似した階層を反映したフォルダが作成されています。グループはOktaにインポートされ、さらにグループプッシュを使ってBoxに送られ、そこでコラボレーションフォルダに割り当てられます。