アクセス認定
組織として、重要なリソースにアクセスできるユーザーを定期的に特定してレビューすることが重要です。これにより、リソースを必要とするユーザーのみがアクセスできるようになり、リソースへの昇格されたアクセスまたは特権アクセスが蓄積されるのを回避できます。
アクセス認定を使用して監査キャンペーンを作成し、ユーザーのリソースへのアクセスを定期的にレビューし、必要に応じてアクセスを自動的に承認または取り消します。各キャンペーンで、次を指定できます。
- キャンペーンの開始日と期間。
- レビューに含めるリソース(アプリまたはグループ)。
- キャンペーンに含めるユーザーまたはチーム。
- 各ユーザーおよびリソースのアクセスをレビューする必要があるレビュアー。
また、以前に終了したキャンペーンを表示し、レポートを生成することもできます。
アクセス認定プロセスは、会社が次の要件を満たせるようサポートします。
- 重要なリソースへの不適切なアクセスのリスクを軽減することにより、これらのリソースを保護します。
- アクセスを確認し、適切なユーザーのみが適切なリソースにアクセスできるという証拠を監査者に提供できるため、業界の監査に合格します。
- 一時的なプロジェクトやユーザーによる組織内でのチームの変更に起因するライセンスの肥大化に関連するライセンスコストを削減します。
- 既存のOkta構成とアプリ統合を使用して、サードパーティアプリでのキャンペーンの作成を容易にし、削除を自動化します。
既知の問題と制限事項
-
キャンペーンに含まれるリソースまたはレビュアーがキャンペーンの開始時点で非アクティブ化または削除されている場合、キャンペーンの開始に失敗します。キャンペーンの開始に失敗すると、エラーのリストを含むメール通知が届きます。エラーの詳細については、[アクセス認定キャンペーン]ページの[終了済み]タブ、またはSystem Logの[イベント]テーブルを確認することもできます。
- 自動アクセス取り消しは、ユーザーに個別に割り当てられたリソース(グループまたはアプリケーション)に限定されます。グループメンバーシップまたはグループルールを通じてユーザーがリソースへのアクセス権を割り当てられている何らかの状況では、手動で修復する必要があります。これらのケースの特定と手動で解決する方法については、「修復を理解する」を参照してください。
orgには次の制限事項が適用されます。
制限の種類 |
制限 | 最大 |
---|---|---|
一般
|
1 orgあたりのアクティブなキャンペーン | 500 |
キャンペーンのレビューアイテム |
1~100,000 大規模なキャンペーンをより適切に管理できるように、レビューを複数のキャンペーンに分割します。 |
|
リソースキャンペーン
|
キャンペーンに含まれるリソース | 50 |
アプリレビューエンタイトルメント | 10 | |
ユーザーキャンペーン
|
個々のユーザー | 100 |
ユーザーグループ | 5 | |
除外されるリソース |
50 最大50のアプリ、グループ、またはその組み合わせを除外できます。 |