グループについて

メール、ファイル・サーバー、ビジネス・アプリケーションなどのネットワーク・ベースのサービスにアクセスするには、すべてのユーザーを認証する必要があります。ユーザー・アクセスを個別に管理するのは時間がかかり、非効率的です。グループのアクセス権に対する変更はグループのすべてのメンバーに自動的に適用されるため、グループを使用するとユーザー管理を簡素化できます。

共通の特性や共有されている特性に基づいてユーザーをグループ化できます。たとえば、営業担当チームが共有の営業ドキュメントに簡単にアクセスできるようにするには、営業担当という名前のグループを作成し、グループのメンバーに組織のファイル・サーバー上にある営業ドキュメントフォルダーへのアクセス権を付与します。

グループはID管理システムにとって重要なツールであり、グループのデータは通常、ディレクトリーに存在します。ほとんどのアプリケーションは、アプリケーション・レベルまたはアプリケーション内で特定のリソースに対してグループをサポートします。

管理コンソールの[グループ]ページ([ディレクトリー] > [グループ])でグループを検索する場合、完全または部分的なグループ名でグループを検索することができます。部分的なグループ名を検索すると、プレフィックスに一致するグループのみが返されます。たとえば、グループ1という名前のグループがあり、部分検索条件として1と入力した場合、結果は返されません。部分検索条件としてグループと入力した場合、グループで始まるすべてのグループが返されます。

アプリケーション・ポリシー

アプリのサインオン・ルールを使用して、アプリへのアクセスを特定のネットワーク上の場所に制限したり、多要素認証(MFA)の使用を強制したりできます。アプリ・サインオン・ルールのスコープをグループに制限できます。リモート、臨時、または契約社員に対してMFAを実装するようにポリシーを構成できます。

この機能を使用してグループを除外することもできます。この機能により、ユーザーのグループはどこからでもアプリにアクセスできますが、ユーザーは会社のネットワークに接続することをお勧めします。「アプリケーション・レベルの多要素認証」をご覧ください。

アプリケーションおよびディレクトリー内のグループ

Oktaを使用すると、1つのディレクトリーでグループのメンバーシップを定義し、接続された複数のシステムでグループを使用できます。オンプレミスのシステムでは、アプリケーションは中央ディレクトリーに接続してグループのクエリを実行できます。クラウド・アプリケーションには多くの場合一般的なActive Directoryがありませんが、Oktaのプッシュ・グループ機能を使用すると、これらのタイプのアプリケーションでもグループを使用できます。

SAML JITグループのプロビジョニング

SAMLサインオン・プロセス中にグループをプロビジョニングできます。これは、以下を実行する場合にお勧めします。

  • 既存のグループにユーザーを追加する
  • 新しいグループを作成する
  • グループ・メンバーシップを管理する
    プロビジョニング設定はありません。グループ情報は、ユーザーがターゲット・アプリにサインインしたときにSAMLアサーションで送信されます。これはグループ・プッシュよりも柔軟性が低く、必要なグループをフィルタリングするために正規表現を使用する必要があります。この方法の利点は、SAMLテンプレートの一部として使用できることです。ターゲット・アプリケーションがSAMLによるグループ情報を受け入れる場合、グループ・プッシュを実装するためのエンジニアリング上の労力を必要とせずにテンプレートを構成できます。

ユース・ケース

これらのユース・ケースは、Oktaがグループの管理にどのように役立つかを示します。

ターゲット・アプリケーションでユーザーをプロビジョニングする

プロビジョニングをサポートするアプリケーションは、グループ・メンバーシップを使用して、作成、更新、削除、または無効化されるユーザー・アカウントを決定できます。プロビジョニングを構成したら、アプリケーションにグループを割り当てます。グループのメンバーは、ターゲット・アプリケーションで自動的に作成されます。

一部のサービスには、新しく作成したユーザーに割り当てることができる追加データがあります。たとえば、プロビジョニングを有効にしたSalesforceアプリケーションにグループを割り当てる場合、グループ内のユーザーに割り当てるSalesforceのロールおよびプロファイルを選択できます。

ADグループをBoxフォルダーにマッピングする

ADグループを使用してファイルへのアクセスを制御している会社が、ファイル共有のためにBoxに移行しています。オンプレミスのファイル・サーバーと同じまたは類似の階層を反映するフォルダーがBoxに作成されます。グループはOktaにインポートされ、グループ・プッシュを使用してグループがBoxに送信され、そこでコラボレーション・フォルダーに割り当てられます。