Secure Partner Accessのパートナー管理者をセットアップする
早期アクセスリリース
パートナー管理者にSecure Partner Accessポータルの管理権限を付与するには、以下を完了する必要があります。
Okta Admin Consoleへのアクセスを制限する
Okta管理者には、デフォルトでOkta Admin Consoleへのアクセスがあります。しかし、Secure Partner Accessポータル管理者などの一部の管理者には、Admin Consoleへのアクセスが必要ない場合があります。スーパー管理者は、パートナー管理者によるAdmin Consoleへのアクセスを許可または拒否することができます。アクセスが必要ないパートナー管理者からAdmin Consoleアプリを削除しても、そのパートナー管理者が割り当てられているポータルの管理者権限は維持することができます。
Okta Admin Consoleへのアクセスが制限される前にパートナー管理者が作成されていた場合は、Admin Consoleが割り当てられたままになります。そのため、Admin Consoleからパートナー管理者を手動で削除しなければなりません。Admin Consoleへのアクセス制限は、管理者ロール割り当ての構成後に作成された管理者のみに適用されます。
Admin Consoleアクセスを制限するには、「Admin Consoleへのアクセスを制限」の手順に従ってください。
パートナー管理者ロールをカスタマイズする
orgでSecure Partner Accessが有効になっている場合は、Admin Consoleのページにデフォルトの[Partner admin(パートナー管理者)]ロールが表示されます。このロールには、パートナー管理者がポータルを管理するために必要なすべての権限があります。このロールの権限は変更できますが、Oktaではいかなる権限も追加しないことを推奨しています。
このロールに付与される権限については、「ロールの権限」を参照してください。ロールを変更するには、「ロールを編集する」の手順に従ってください。
ユーザーをロールに割り当てる
パートナー管理者に権限を委任するには、以下のタスクを完了する必要があります。
-
リソースセットを作成します。リソースセットの一部である領域を追加します。パートナー管理者がパートナー領域に対する管理権限を持ってしまうため、Oktaは、Secure Partner Accessユーザーをパートナー領域に追加することは推奨しません。
-
[Partner admin(パートナー管理者)]ロールを使用して管理者割り当てを作成します。
パートナー管理者に付与できる権限の詳細については、「Secure Partner Access権限」を参照してください。
属性ベースのアクセス制御の実践を確認する
パートナーの委任管理者はグループルールを表示、作成、編集することはできませんが、パートナーユーザーは他のOktaユーザーと同じように操作するため、これらのルールはパートナーユーザーにも適用されます。ユーザーを編集する権限を持つパートナー管理者は、グループルールで使用される属性に値を割り当てることができます。そのため、パートナーユーザーが属すべきでないグループに配置され、アプリ、グループ、およびエンタイトルメントへの不正アクセスが付与される可能性があります。
このリスクを軽減するには、次の手順を実行します。
-
顧客の管理者ロールで属性条件を使用して、パートナー管理者がグループルールにリンクされた属性を編集したり値を割り当てたりできないようにします。「権限条件」を参照してください。
-
任意で、カスタム属性の[Default values(デフォルト値)]を設定します。この方法により、org内のどの管理者が特定のアクションを実行できるかを正確に制御できます。「Oktaユーザープロファイルにカスタム属性を追加する」をご覧ください。
-
-
パートナーユーザーが除外されるようにグループルールを修正します。「グループルールの編集」を参照してください。