考慮事項と制限

エンタイトルメント管理機能を使用するときは、事前に次のガイダンスに留意してください。

  • エンタイトルメント管理では、アプリケーションはリソースとしてのみサポートされます。

  • アプリ向けのGovernance Engineの有効化が失敗すると、システムログイベントが不正確になる可能性があります。

  • プロビジョニング対応アプリでは、プロビジョニングを有効にしていない場合にGovernance Engineを有効にできるのは、アプリインスタンスに対してのみです。

  • Governance Engineとプロビジョニングが有効なプロビジョニング対応アプリで[Create Users(ユーザーを作成)][Update User Attributes(ユーザー属性をアップデート)]を有効にします。これらの設定は、エンタイトルメントが正確に割り当てられるようにするためのものです。これらのオプションは、アプリインスタンスの[プロビジョニング]タブにある[設定][アプリへ]セクションで設定します。

  • 新しいアプリインスタンスを作成してから、エンタイトルメントポリシーを効果的に使用できるようにGovernance Engineを有効にします。既存のアプリインスタンスに対してGovernance Engineを有効にすると、既存のユーザーの割り当てが「Custom(カスタム)」とマークされます。既存のアプリインスタンス用に作成したポリシーは、そのアプリに割り当てられる新規ユーザーにのみ適用されます。

  • ポリシールールによるエンタイトルメントの割り当ては、Oktaソースのグループに対してのみ有効です。非Oktaソースのグループのユーザーメンバーシップが変更された場合、ポリシーによってそのユーザーに割り当てられたエンタイトルメントはアップデートされません。

  • エンタイトルメントバンドルをAdmin Consoleから直接ユーザーに割り当てることはできません。ユーザーがアクセスリクエストからエンタイトルメントバンドルへのアクセスをリクエストできるように、リクエストタイプを設定する必要があります。代わりに、APIを使用してバンドルをユーザーに割り当てることができます。「Okta Identity Governance API」を参照してください。

  • エンタイトルメント管理では、アクセスリクエストTimer(タイマー)設定が使用または強制適用されません。

  • エンタイトルメント管理では、必須のエンタイトルメントはサポートされません。

  • アクセスリクエストでは、必須のエンタイトルメントまたは属性があるアプリへのリクエストはサポートされません。

  • エンタイトルメントポリシーを使用してバンドルを割り当てることはできません。

  • アプリでGovernance Engineが有効になっている場合、アプリのプロファイルページの[セルフサービス]セクションは使用できません。

エンタイトル管理のサポート対象アプリケーション

アプリケーションタイプ

サポート対象

テンプレートアプリ

OIDC(Federation Broker Modeなし)

はい

OIDC(Federation Broker Modeあり)

いいえ

SCIM

はい

SAML

はい

ブックマーク

いいえ

SWA

いいえ

OINアプリ

Universal Directory(UD)属性があるプロビジョニング対応アプリ

限定

エンタイトルメント対応アプリ」を参照してください。

UD属性がないプロビジョニング対応アプリ

はい

プロビジョニング対応ではないアプリ

はい

SWA

いいえ

APIサービスアプリ

N/A

いいえ

エンタイトルメントの上限

コンポーネント

最大

org内のエンタイトルメント

10,000

org内のエンタイトルメント値

150,000

バンドル内のエンタイトルメント

100

org内のエンタイトルメントバンドル

1,000

サードパーティアプリケーション向けのエンタイトルメントポリシールールの数

100

関連項目

プロビジョニング対応アプリの制限事項

エンタイトルメント管理を開始する