制限事項

エンタイトルメント管理を使用する前に以下の制限事項を考慮してください。

  • エンタイトルメント管理では、アプリケーションはリソースとしてのみサポートされます。

  • アプリに対すGovernance Engineの有効化が失敗した場合には、システムログイベントが不正確になる可能性があります。

  • 限定早期アクセスリリースのエンタイトルメント管理では、 Box、Google Workspace、Office 365、NetSuite、Salesforceを除いて、プロビジョニングエンタイトルメントはサポートされません。また、これらのアプリについては、プロビジョニングを有効になっていないアプリインスタンスに対してのみGovernance Engineを有効にできます。

  • Governance Engineとプロビジョニングが有効になっているプロビジョニング対応アプリで[Create Users(ユーザーを作成)][Update User Attributes(ユーザー属性をアップデート)]を有効にします。これらの設定は、エンタイトルメントが正確に割り当てられるようにするためのものです。これらのオプションは、アプリインスタンスの[Provisioning(プロビジョニング)]タブにある[Settings(設定)][To App(アプリへ)]セクションで設定します。

  • 新しいアプリインスタンスを作成してから、エンタイトルメントポリシーを効果的に使用できるようにGovernance Engineを有効にします。既存のアプリインスタンスに対してGovernance Engineを有効にすると、既存のユーザーの割り当てが「Custom(カスタム)」とマークされます。既存のアプリインスタンス用に作成したポリシーは、そのアプリに割り当てられる新規ユーザーにのみ適用されます。

  • ポリシールールによるエンタイトルメントの割り当ては、Oktaソースのグループに対してのみ有効です。非Oktaソースのグループのユーザーのメンバーシップが変更された場合、ポリシーによってそのユーザーに割り当てられたエンタイトルメントはアップデートされません。

  • エンタイトルメントバンドルをAdmin Consoleから直接ユーザーに割り当てることはできません。ユーザーがアクセスリクエストからエンタイトルメントバンドルへのアクセスをリクエストできるように、リクエストタイプを設定する必要があります。代わりに、APIを使用してバンドルをユーザーに割り当てることができます。「Okta Identity Governance API」を参照してください。

  • エンタイトルメント管理では、アクセスリクエストタイマー設定が使用または強制適用されません。

  • エンタイトルメント管理では、必須のエンタイトルメントはサポートされません。

  • アクセスリクエストでは、必須のエンタイトルメントまたは属性があるアプリへのリクエストはサポートされません。

  • エンタイトルメントポリシーを使用してバンドルを割り当てることはできません。

  • アプリでGovernance Engineが有効になっている場合、アプリのプロファイルページの[Self Service(セルフサービス)]セクションは使用できません。

エンタイトル管理のサポート対象アプリケーション

アプリケーションタイプ

サポート対象

テンプレートアプリ

OIDC(Federation Broker Modeなし)

はい

OIDC(Federation Broker Modeあり)

いいえ

SCIM

はい

SAML

はい

ブックマーク

いいえ

SWA

いいえ

OINアプリ

Universal Directory(UD)属性があるプロビジョニング対応アプリ

限定

サポート対象アプリ:Box、Google Workspace、Microsoft Office 365、NetSuite、Salesforce

UD属性がないプロビジョニング対応アプリ

はい

プロビジョニング対応ではないアプリ

はい

SWA

いいえ

APIサービスアプリ

N/A

いいえ

エンタイトルメントの上限

コンポーネント

最大

org内のエンタイトルメント

10,000

org内のエンタイトルメント値

150,000

バンドル内のエンタイトルメント

100

org内のエンタイトルメントバンドル

100

サードパーティアプリケーション向けのエンタイトルメントポリシールールの数

20

関連項目

プロビジョニング対応アプリの制限事項

エンタイトルメント管理を開始する