キャンペーン

キャンペーンは、ユーザーがアプリ(および関連するエンタイトルメント)やグループなどのリソースに適切なレベルでアクセスできるようにするのに役立ちます。

事前構成されたキャンペーン
事前構成されたキャンペーンは、すぐに使用できます。そのため、手動構成なしにキャンペーンを開始できます。アクセス認定の開始をサポートするた、Oktaは2つのキャンペーンの設定を予め設定しています。[Discover inactive users(非アクティブなユーザーを検出する)]を使用すると、orgで非アクティブなユーザーの数が最も多いアプリを確認できます。Admin Consoleへの管理者アクセスをレビューするには、[Okta administrator review(Okta管理者レビュー)]を使用します。
リソースキャンペーン
リソースキャンペーンはキャンペーンのリソーススコープを設定することに重点を置いているため、それらのリソースと管理者ロールにアクセスできるすべてのユーザーを確認することができます。このキャンペーンタイプは、機密リソースへのアクセスをレビューし、エンタイトルメントの割り当ての中から職務分離ルールに矛盾するものを特定し、コンプライアンス要件を満たす上で役立ちます。
ユーザーキャンペーン
ユーザーキャンペーンは、キャンペーンのユーザースコープを定義することに重点を置いているため、そのユーザーに割り当てられたすべてのリソースと管理者ロールの包括的なレビューを実行することができます。このキャンペーンタイプは、部門、ロール、プロジェクトの変更などの特定のイベントが発生した場合に、リソースへのユーザーのアクセスを確認する上で役立ちます。

Okta Identity Governanceをサブスクライブしている場合は、リソースキャンペーンとユーザーキャンペーンの両方を使用して、Okta管理者ロールを管理するためのユーザーの管理者ロールの割り当てを確認することができます。

領域機能を有効にした場合は、Okta Expression Languageを使用して、特定の領域からのユーザーが含まれるようにキャンペーンを制限することもできます。

キャンペーンを事前にスケジュールしたり、特定の間隔で繰り返したり、開始前に変更したりできます。

キャンペーンは開始日にアクティブになり、終了日を迎えるか、キャンペーンのレビュアー全員がレビューを完了するかのいずれか早いときに終了済みとしてマークされます。開始日の前にキャンペーンを開始したり、スケジュールされた終了日の前にアクティブなキャンペーンを終了したりすることができます。ただし、キャンペーンの開始後に実行できるのは、レビューアイテムの再割り当てとキャンペーンの終了のみとなります。終了したキャンペーンを変更することはできません。

アクティブなキャンペーン、予定されたキャンペーン、終了済みキャンペーンは、[アクセス認定キャンペーン]ページで確認できます。[スケジュール設定済み]タブでは、繰り返しキャンペーンに[Recurring(繰り返し)]ラベルが付けられ、一連の繰り返しキャンペーンの一部であることが示されます。終了済みキャンペーンは12か月間保存されます。

キャンペーンをスケジュールすると、スケジュールされた開始日にアクティブになります。

スケジュールされたキャンペーンの開始に失敗した場合は、メール通知が届きます。エラーを表示するには、次のいずれかの手順を実行できます。

  • メール通知から[View Campaign(キャンペーンを表示)]をクリックします。
  • [Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブからキャンペーンを開きます。
  • システムログに移動します。

キャンペーンを再作成する前に、エラーを解決してください。キャンペーンを再作成する前に、[Overview(概要)]セクションにあるユーザーおよびレビュアーのOkta Expression Languageを書き留めておくことをお勧めします。[Actions(アクション)]メニューから開始に失敗したキャンペーンを削除できます。

キャンペーンのレビュアーは、ダッシュボードの[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]アプリタイルから、自分に割り当てられたレビューアイテムにアクセスできます。レビュアーはレビューアイテムを承認、取り消し、または再割り当てできます。

リソースコレクション機能を有効化している場合は、キャンペーン設定をカスタマイズして、アプリとエンタイトルメントを割り当てるリソースコレクションに関する情報を含めます。これにより、レビューアーがユーザーアクセスの承認または取り消しを決定する際に、コンテキスト情報がさらに提供されます。

キャンペーン作成者がキャンペーンにエンタイトルメントを含めた場合、レビュアーは、リソースに関連付けられているエンタイトルメントまたはバンドルと、エンタイトルメントまたはバンドルがレビューアイテムのユーザーにどのように割り当てられたかを確認することもできます。レビュアーは、エンタイトルメントとバンドルへのアクセスを、アプリとグループへのユーザーのアクセスをレビューする場合と同様の方法でレビューできます。レビュアーは、エンタイトルメントまたはバンドルを個別のユニットとして取り消すことはできますが、ユーザーに割り当てられたバンドルの一部である特定のエンタイトルメントを取り消すことはできません。レビュアーは、ポリシールールによってユーザーに割り当てられたエンタイトルメントを手動で修復する必要があります。

アプリのエンタイトルメントをレビューするためのキャンペーンを実行できるのは、アプリのGovernance Engineが有効になっている場合のみです。「Governance Engineを有効にする」と「考慮事項と制限」を参照してください。

管理者ロールのガバナンス

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Okta管理者ロールの管理機能は、Okta Identity Governanceをサブスクライブしている方向けには公開されています。サブスクライブしていない場合、orgの適格性によってはOkta管理者ロールの管理機能を利用できない可能性があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。

この機能を有効にすると、スーパー管理者はリソース、ユーザー、またはOkta管理者のレビューキャンペーンを使ってユーザーの管理者割り当てをレビューできるようになります。アクセス認定は、管理者割り当てをOkta Admin Consoleに関連付けられたエンタイトルメントとして扱います。具体的には、管理者ロールとユーザーの管理者割り当て内のリソースセットは、エンタイトルメントのキー/値ペアとして扱われます。

Okta Identity Governanceをサブスクライブしていない場合、ユーザー キャンペーンは利用できません。「考慮事項」を参照してください。

この機能を有効にしてから、管理者ロールの確認のためにキャンペーンを実行できるようになるまで、数時間待たなければならない場合があります。

関連項目

事前構成されたキャンペーンを作成する

リソースキャンペーンを作成する

ユーザーキャンペーンを作成する

Okta管理者ロールを管理する