アクセス認定
Okta Identity Governanceは、サブスクリプションベースで一般利用可能です。詳細については、担当のアカウントエグゼクティブまたはカスタマーサクセスマネージャーにお問い合わせください。
Organizationとして、重要なリソースにアクセスできるユーザーを定期的に特定してレビューすることが重要です。これにより、リソースを必要とするユーザーのみがアクセスできるようになり、リソースへの昇格されたアクセスまたは特権アクセスが蓄積されるのを回避できます。
アクセス認定を使用して監査キャンペーンを作成し、ユーザーのリソースへのアクセスを定期的にレビューし、必要に応じてアクセスを自動的に承認または取り消します。各キャンペーンで、次を指定できます。
- キャンペーンの開始日と期間。
- レビューに含めるリソース(アプリまたはグループ)。
- キャンペーンに含めるユーザーまたはチーム。
- 各ユーザーおよびリソースのアクセスをレビューする必要があるレビュアー。
また、以前に終了したキャンペーンを表示し、レポートを生成することもできます。
アクセス認定プロセスは、会社が次の要件を満たせるようサポートします。
- 重要なリソースへの不適切なアクセスのリスクを軽減することにより、これらのリソースを保護します。
- アクセスを確認し、適切なユーザーのみが適切なリソースにアクセスできるという証拠を監査者に提供できるため、業界の監査に合格します。
- 一時的なプロジェクトやユーザーによる組織内でのチームの変更に起因するライセンスの肥大化に関連するライセンスコストを削減します。
- 既存のOkta構成とアプリ統合を使用して、サードパーティアプリでのキャンペーンの作成を容易にし、削除を自動化します。
既知の問題と制限事項
-
[Access Certification Reviewer(アクセス認定レビュアー)]グループを変更、削除したり、グループ名を変更したりしないでください。管理者からレビュー対象が割り当てられると、レビュアーは自動的にこのグループに追加されます。このグループを何らかの方法で変更すると、レビュアーがキャンペーンにアクセスできなくなり、レビューを完了できなくなります。このグループを誤って削除してしまった場合は、Oktaサポートにお問い合わせください。
-
キャンペーンに含まれるリソースまたはレビュアーがキャンペーンの開始時点で非アクティブ化または削除されている場合、キャンペーンの開始に失敗します。キャンペーンの開始に失敗すると、エラーのリストを含むメール通知が届きます。エラーの詳細については、[Access certification campaigns(アクセス認定キャンペーン)]ページの[Closed(終了済み)]タブ、またはSystem Logの[Events(イベント)]テーブルを確認することもできます。
- 自動アクセス取り消しは、ユーザーに個別に割り当てられたリソース(グループまたはアプリケーション)に限定されます。グループメンバーシップまたはグループルールを通じてユーザーがリソースへのアクセス権を割り当てられている何らかの状況では、手動で修復する必要があります。これらのケースの特定と手動で解決する方法の詳細については、「修復設定」を参照してください。
orgには次の制限事項が適用されます。
制限の種類 |
制限 | 最大 |
---|---|---|
一般
|
1 orgあたりのアクティブなキャンペーン | 500 |
キャンペーンのレビューアイテム |
1~100,000 大規模なキャンペーンをより適切に管理できるように、レビューを複数のキャンペーンに分割します。 |
|
リソースキャンペーン |
キャンペーンに含まれるリソース | 50 |
ユーザーキャンペーン
|
個々のユーザー | 100 |
ユーザーグループ | 5 | |
除外されるリソース |
50 最大50のアプリ、グループ、またはその組み合わせを除外できます。 |