キャンペーンをレビューする

アクセス認定キャンペーンを使用して、ユーザーのリソースへのアクセスを定期的にレビューします。キャンペーン作成者は、キャンペーン中にキャンペーンの一部であるユーザー、リソース、レビュアーを決定します。

キャンペーンで1つ以上のアイテムがレビュアーに割り当てられると、そのレビュアーにはEnd-User DashboardのOkta Access Certifications Reviewsアプリへのアクセス権が付与されます。このアプリでは、ユーザーの現在のアクセスをレビューし、決定を下すことができます。

レビュアーは、Okta Access Certifications Reviewsアプリを使ってユーザーのアクセスを承認または取り消すか、必要に応じてレビューアイテムを別のユーザーに再割り当てします。レビューアイテムに関する決定は最終的なものであり、変更することはできません。

キャンペーンでセルフレビューが無効になっている場合、管理者は、自分自身のレビューアイテムを承認、取り消し、または再割り当てすることはできません。

レビュアーのベストプラクティス

  • レビュアーが管理者ロールへのユーザーアクセスをレビューするときは、代わりに「管理者ロールへのアクセスを確認する」を参照してください。

  • 決定を下す前にそれを確認します。レビュアーがレビューアイテムに関する決定を送信すると、それは最終的なものとなり、変更できません。
  • アクセスを承認するか取り消すかにかかわらず、ビジネス上の正当性を追加して、下した判断に関するコンテキストを提供します。この注記は、決定者本人、キャンペーン作成者、レビュアーに表示されます。正当性も、レビューアイテムを再割り当てされた任意のユーザーに表示されます。
  • 別の人物のほうがユーザーのアクセスをレビューするのにふさわしいと考えられるときはは、レビューアイテムをその人物に再割り当てできます。レビューアイテムを再割り当てしても、キャンペーンの終了日は延長されません。新しいレビュアーは、キャンペーンが終了する前にアクセスを承認または取り消す必要があります。「レビューアイテムを再割り当てする」を参照してください。

  • マルチレベルレビューが設定されたキャンペーンでは、次の事項を考慮してください。

    • 一部のレビューアイテムは、第2レベルのレビュアーに送信されます。

    • 第2レベルのレビュアーが決定を下すことができるのは、第1レベルのレビュアーがレビューアイテムを承認または取り消した後のみです。キャンペーンの進捗を妨害しないためには、第1レベルのレビュアーがレビューを予定どおりに完了することが重要です。

    • 第2レベルのレビュアーは、レビューアイテムに関する第1レベルのレビュアーの決定とその理由を表示できます。

    • 最終レビュアーは、キャンペーンの構成によって異なります。

    • 修復は、最終レビュアーの決定に対してのみ行われます。「セルフレビューの無効化を理解する」を参照してください。

このタスクを開始する

  1. レビュアーは、End-User Dashboardで[Okta Access Certification Reviews(Oktaアクセス認定レビュー)]をクリックします。
  2. [担当のレビュー]ページで[開く]タブに移動し、レビューを開始するアクセス認定キャンペーンを選択します。

  3. 任意。列フィルターをカスタマイズします。たとえば、エンタイトルメントに矛盾のあるユーザーのレビューアイテムを表示するには、[Separation of duty (SoD) rule(職務の分離(SoD)ルール)]または[Has separation of duties conflict(職務の分離と矛盾する)]の列フィルターを選択します。

  4. 任意。レビューアイテムを選択し、レビュー対象のユーザーとリソース、およびユーザーのリソース使用状況に関する詳細情報を表示します。

    [Review details(レビューの詳細)]ペインには次のセクションがあります。カスタマイズ可能なレビュアーコンテキスト機能を有効にすると、レビュアーはこのペインの列をソート、フィルタリング、または非表示にすることができます。

    • [User Details(ユーザーの詳細)]:Okta内のユーザーのプロファイルから直接取得される情報。
    • [リソースの詳細]:このセクションには次の情報が含まれます。
      • レビュー対象のアプリ、グループ、エンタイトルメント、またはリソースコレクション。リソースコレクション情報は、orgに対してリソースコレクションを構成し、コンテキスト設定をカスタマイズした場合にのみ利用できます。
      • ユーザーがアプリに最後にアクセスした日時と、アクセスに関連する過去のレビュー。レビューの完了後、スーパー管理者またはアクセス認定管理者であれば、レビュアーが入力した決定とビジネス上の正当性もレビューできます。
      • アプリまたはグループに対するユーザーアクセスが最後に確認された日時。
      • リソースがユーザーに割り当てられた日時。
      • ユーザーがリソースに対して持っているエンタイトルメント。

    • [SoD conflict details(職務矛盾の詳細)]:このセクションには、矛盾のある職務分離ルールと、矛盾しているエンタイトルメントについての情報が含まれます。

    • [History(履歴)]:このセクションには、最初の割り当てに関する詳細、再割り当てのビジネス上の正当性、割り当てられたレビュアーの詳細、レビュアーの決定などの有用な情報が含まれます。
  5. 任意。レビュアーは、[Reassign(再割り当て)]をクリックしてレビューアイテムを別の人物に再割り当てできます。「レビューアイテムを再割り当てする」というトピックに記載されている手順3~6に従うことができます。キャンペーンの再割り当てを無効にした場合、レビュアーはOkta Access Certifications Reviewsアプリでレビューアイテムを再割り当てできません。ただし、スーパー管理者またはアクセス認定管理者は、Admin Consoleにあるキャンペーンのページでレビューを引き続き再割り当てできます。
  6. レビュアーは、[Approve(承認)]または[Revoke(取り消す)]をクリックします。自分の決定のビジネス上の正当性を入力します。アクセスを承認または取り消すと、直ちに修復プロセスが開始されます。
  7. [Submit(送信)]をクリックします。

キャンペーンの作成者が複数のレビューアイテムの同時選択を許可しているときは、レビュアーは複数のレビューアイテムを選択して、アクセスを承認または取り消したり、選択したアイテムのレビューを再割り当てしたりもできます。一度に実行できるアクションは1つだけです。入力したビジネス上の正当性は、選択したレビューアイテムに適用されます。複数のレビューアイテムを別のユーザーにいつでも再割り当てできますが、再割り当ての理由を入力する必要があります。

レビュアーは、キャンペーンページのカウントを使ってレビュー指標を監視することもできます。さらに、すでにレビューが完了しているアイテムをキャンペーンページの[終了済み]タブで参照できます。[終了済み]タブでは、さまざまなオプションを使ってレビューをフィルタリングしたり、特定のユーザーを検索したりできます。

関連項目

レビューアイテムを再割り当てする

アクセスのレビュー