職務分離を開始する
職務分離(SOD)を使用すると、利益相反の可能性を回避するために、アプリに対する特定のエンタイトルメントの組み合わせを許可またはブロックするルールを定義できます。
セットアップと構成のタスク
スーパー管理者またはSODリスクルールを管理しアプリを表示する権限を持つユーザーは、次の一連のタスクに従ってアプリを構成し、アプリでSODルールを使用します。
|
管理者タスク |
説明 |
|---|---|
| Governance Engineを有効にする | アプリを作成しGovernance Engineを有効にして、Oktaでアプリのエンタイトルメントを管理・統制したり、ユーザーがアクセスリクエストを使用してエンタイトルメントバンドルをリクエストできるようにしたりします。 |
| エンタイトルメントを作成する | ダウンストリームアプリで利用できるエンタイトルメントを作成、構成します。 |
| 職務分離ルールを作成する | Governance Engineが有効になっているアプリのSODルールを作成します。 |
| アクセスリクエスト条件 | SDOルール間の競合など、リソースに関連付けられているすべてのアクセスリクエストに適用される設定を構成します。 |
| リソースキャンペーンを作成する | リソース キャンペーンを作成して実行し、SODへの相反が発生しているユーザーを確認します。「 職務分離への相反を理解する」と「修復を理解する」を参照してください。 |
ユーザーエクスペリエンス
ユーザーが実行するタスクについて学びます。
|
ユーザータスク |
説明 |
|---|---|
| リクエストの作成 | SODルールがアプリに設定された後、リクエスト提出者がダッシュボードから直接アプリへのアクセスをリクエストする方法を理解します。 |
| リクエストを管理する | リクエスト担当者が、SODルールを使用するアプリへのアクセスリクエストを管理する方法を理解します。 |
| タスクを管理する | リクエスト承認者がリクエストを承認または拒否する方法を理解します。 |
| キャンペーンをレビューする | レビュアーが自分に割り当てられたアイテムをレビューする方法を理解します。 |
制限
SODルールを使用する場合は、次の制限に留意してください。
| 制限 | 最大 |
|---|---|
| リスト内の権限の数。各SODルールはAND演算子で区切られた2つのリストで構成されます。 | 50 |
| アプリあたりのSODルールの数 | 25 |
| アプリあたりのSODルールの数 | 100 |