認定キャンペーンレビュー
アクセス認定キャンペーンを使用して、リソースへのユーザーアクセスを定期的にレビューします。
キャンペーンは開始予定日にアクティブになります。キャンペーンがアクティブな場合、レビュアーはリソースへのユーザーアクセスを承認または取り消すことができます。レビューアイテムを別のレビュアーに再割り当てすることもできます。ただし、レビューアイテムに関する決定を送信後に変更することはできません。
キャンペーンは、終了予定日、キャンペーンのレビュアー全員がレビューを完了したとき、またはスーパー管理者またはアクセス認定管理者が終了予定日の前にキャンペーンを終了したときに終了済みとしてマークされます。キャンペーンが終了すると、レビュアーは保留中のレビューアイテムを承認または取り消しできなくなります。
マルチレベルのレビューが設定されているキャンペーンでは、第1レベルのレビュアーがレビューした一部のアイテムは、承認のために第2レベルのレビュアーに送信されます。この場合、第2レベルのレビュアーがこれらのレビューアイテムの最終レビュアーとなり、キャンペーンの終了前に決定を下す必要があります。
第2レベルのレビュアーは、第2レベルのレビューの開始後に自分に割り当てられた新規レビューアイテムを目にすることがあります。これは、第1レベルのレビュアーが、保留中のアイテムのレビューを期日終了後に完了した場合に生じます。
管理者ロールをレビューするキャンペーンのレビューアイテムを再割り当てできるのはスーパー管理者だけです。「考慮事項」を参照してください。
キャンペーンを開始する前に、スーパー管理者またはアクセス認定管理者が[Contextual Information(コンテキスト情報)]ページで構成しておけば、レビュアーがユーザーアクセスをレビューするときに職務分離の矛盾の詳細も表示できます。「カスタマイズ可能なレビュアーコンテキスト」を参照してください。
レビュアーは、Okta Access Certification Reviewアプリの[担当のレビュー]ページにある[終了済み]タブで、過去に自分がレビューした終了済みキャンペーンを確認できます。キャンペーン所有者がメール通知をセットアップすると、レビュアーは次のイベントについて通知を受け取ります。
- 管理者またはレビュアーがレビューアイテムを割り当てる。
- レビュアーに保留中のレビューアイテムがあり、キャンペーンがまもなく終了する。
-
レビュアーに保留中のレビューアイテムがある場合の、第1レベルレビュアーの期限切れリマインダー。
- キャンペーンが終了する。
一定期間、レビュアーが対応不可であることが判明している場合は、自身(スーパー管理者)はレビュアーの代理人を割り当てることができます。レビュアーは、[Enable end users to assign their own delegate(エンドユーザーによる代理人の割り当て有効にする)]トグルをオンにした場合にのみ、代理人として別のユーザーを指定したり、割り当てられた代理人に変更を加えたりできます。「ユーザーによる代理人の割り当て有効にする」を参照してください。トグルをオンにしていない場合、ユーザーは代理人割り当て情報の表示だけができます。
キャンペーンに含まれるレビュアーがキャンペーン開始後に代理人を割り当てた場合、レビューアイテムは代理人に割り当てられないことにご注意ください。「Admin Consoleから代理人を割り当てる」および「代理人を管理する」を参照してください。
[Reviewer type(レビュアータイプ)]が[Group(グループ)]または[Group Owner(グループオーナー)]のキャンペーンでは、グループメンバーがグループのメンバーではない代理人を割り当てると、今後のレビューアイテムは既存のグループメンバーに加えて代理人にも割り当てられます。レビューアイテムの[Review details(レビューの詳細)]パネルには、どのユーザーが代理人であるかも表示されます。
スマートレビュー
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
スマートレビューは、Okta Access Certifications Reviewアプリでレビューアーがキャンペーンのアクセス権をレビューし認定するための代替手段です。キャンペーンテーブルで各レビューアイテムのアクセス権を1つずつ認定する代わりに、この機能ではユーザー、リソース、推奨事項別にレビューアイテムをグループ化します。これにより、レビュアーはより計画的かつ正確なアクセス判断を下し、レビューアイテム数の多いキャンペーンでも効率的にアクセス権を認定できます。
レビュアーは次のいずれかのモードを使用して、アクセスの認定を開始できます。
- [By Resource(リソース別)]:レビューアイテムはリソースごとにグループ化されます。レビュアーは、キャンペーン内のリソースにアクセスできる全ユーザーのアクセス権を一度にレビューして認定できます。このモードは、管理責任のあるリソースへのアクセス権を持つユーザーを、リソース所有者が認定するのに最適です。
- [By User(ユーザー別)]:レビューアイテムはユーザーごとにグループ化されます。レビュアーは、ユーザーがアクセスできるキャンペーン内の全リソースへのアクセス権を一度にレビューして認定できます。このモードは、直属の部下のアクセス権を認定するマネージャーに最適です。
モードに応じて、レビューアイテムはユーザーまたはリソースごとにグループ化されて、複数のステップに分けられます。ステップとは、リソース、ユーザー、推奨事項などの共通要素を持つ2つ以上のレビューアイテムのセットです。
たとえば、すべてのアプリとグループを対象としたキャンペーンを開始し、ユーザーのマネージャーにレビュータスクを割り当てたとします。
[By Resource(リソース別)]レビューモードの各ステップでは、1つのリソースに対してユーザーが持つアクセス権が表示されます。ステップ1は、ユーザーがアプリAに割り当てられているレビューアイテムのセット。ステップ2は、すべてのユーザーがグループBに割り当てられているレビューアイテムのセット、というように続きます。
[By User(ユーザー別)]レビューモードの各ステップでは、ユーザーがアクセスできるリソースのリストが含まれます。ステップ1には、ユーザー1に関連付けられたすべてのレビューアイテム(さまざまなアプリやグループへのユーザーのアクセス権のリスト)が含まれ、ステップ2には、ユーザー2に関連付けられたすべてのレビューアイテムが含まれる、というように続きます。
どちらのモードでも、レビュアーは [All reviews(すべてのレビュー)]を選択すると、現在のモードの全ステップの概要を確認できます。
スマートレビューモードに関係なく、追加の[Wrap up(ラップアップ)] ステップが存在する場合があります。このステップには、共通属性がないレビューアイテムが含まれます。
レビュアーはオプションメニューを使用して、進行中のスマートレビューを終了したり、アクティブなOktaセッションの期間中すべてのキャンペーンでスマートレビュー機能を無効にしたりできます。
保留中のレビューアイテムがある場合、スマートレビューの最後に「すべて確認しました」というメッセージが表示されます。レビュアーは、前のステップに戻るか、スマートレビューを完了することができます。
[Smart Review(スマートレビュー)]オプションは、次の条件を満たす場合に、アクティブなキャンペーンのレビューアーのみが利用できます。
- レビュアーに割り当てられたレビューアイテムの総数が10,000未満である。
- 適用可能なスマートレビューモードが1つ以上ある。
- ステップ数が2つ以上([Wrap up(ラップアップ)]ステップを除く)存在し、最大100ステップである。