Access Requestsアプリのポリシーを構成する
Access Requestsには、次のOktaアプリが含まれています。
-
Okta Access Requests:このアプリは、自動的にスーパー管理者に割り当てられます。これは、リクエストに割り当てられるスーパー管理者を制御します。承認者にタスクを割り当てるときは承認者に割り当てでき、エンドユーザーにアクセスを要求(Request Access)ボタンを表示するときはエンドユーザーに割り当てることができます。これは、Okta Dashboardに表示される唯一のアプリです。
注:管理者にOktaAccess Requestsアプリが割り当てられていることを確認してください。アプリが自動的に割り当てられていないか、ユーザーが未割り当ての場合には、エラーを避けるために、ユーザーにアプリを割り当てる必要があります。
-
Okta Access Requests OAuth:このアプリは、自動的にスーパー管理者に割り当てられます。これは、リクエスト内のワークフローの実行のみに使用されます。これをユーザーに割り当てる必要はありません。
-
Okta Access Requests Admin:このアプリは、自動的にスーパー管理者に割り当てられます。アクセスリクエスト条件を管理する必要がある管理者に割り当てることができます。
-
Okta Identity Governance:このアプリは、自動的にすべてのユーザーに割り当てられます。デフォルトでは何も利用できず、アプリの管理は一切必要ありません。
この機能を有効にすると、既存のスーパー管理者はこれらのアプリを自動的に取得します。後からスーパー管理者を追加するときは、このアプリを手動で割り当てる必要があります。
アプリのポリシーを構成する
Okta Access Requests Adminアプリ
-
以下のシステムログクエリを使用して、Okta Access Requests AdminアプリのアプリサインインポリシーがOkta Admin Consoleアプリのポリシーに一致するかどうか確認します。
target.displayName eq "Okta Access Requests Admin" and outcome.result eq "DENY" -
Govern Okta管理者ロール機能の使用時にポリシーのイベントが拒否された場合は、Okta Admin Consoleアプリのアプリサインインポリシーを複製します。
-
複製したポリシーのOktaグローバルセッションが存在しない場合(When an Okta global session doesn't exist)(Prompt for authentication)に認証のプロンプト(Prompt for authentication)(When an Okta global session doesn't exist)条件を設定します。
-
複製したポリシーをOkta Access Requests Adminアプリに割り当てます。このアプリへのアクセスでMFAを必須にすることもできます。Admin ConsoleのMFAを有効にするを参照してください。
Okta Identity Governanceアプリ
- Okta Dashboardアプリのアプリサインインポリシーを複製します。
-
複製したポリシーのOktaグローバルセッションが存在しない場合(When an Okta global session doesn't exist)(Prompt for authentication)に認証のプロンプト(Prompt for authentication)(When an Okta global session doesn't exist)条件を設定します。
-
複製したポリシーをOkta Identity Governanceアプリに割り当てます。
関連項目