標準的な管理者ロールと権限

これらの表を使用して、Oktaの機能、設定、タスクの標準管理者権限を比較します。

スーパー管理者は、orgのすべての管理タスクを実行し、完全な管理アクセス権を持つことができます。

org全体の設定

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

レポートを表示および実行する
Oktaの設定(テーマ、ロゴ、連絡先情報)を表示する
Oktaサポートにアクセス権を付与する
Profile Editorを管理する ●*
プロファイルマッピングを管理する ●*
機密属性を管理する
Oktaの設定を編集する
管理者を追加、削除、表示する
認証サーバーのスコープ、クレーム、ポリシーを追加、削除、編集する
認証サーバーのスコープ、クレーム、ポリシーを表示する
System Log(システムイベント)を表示する
メールとSMSのテンプレートを編集する
他の管理者のデフォルトのメール設定を編集する
Device Trustの有効化設定を表示する
Device Trustの設定を有効化する
タスクを閉じるまたは再試行する
ユーザーにカスタム通知を送信する
マルチブランドカスタマイゼーションを適用

CAPTCHAイネーブルメント設定を管理(有効化、無効化、更新)
CAPTCHAイネーブルメント設定を表示
ログストリーミングを管理する

*:OIDCアプリにのみ権限が適用されます。

ユーザー管理

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

ユーザーを表示する ●* ●*
ユーザーの作成 ●*
ユーザーを削除する ●*
ユーザーの一時停止 ●° ●*°
ユーザーの非アクティブ化 ●*
ユーザーのアクティブ化 ●° ●*°
ユーザータイプを変更 ●*
ユーザーをサインアウト ●*
ユーザーセッションを削除 ●° ●*° ●*°
ログを表示 ●° ●* ●°
プロファイルを編集する ●* ●^
パスワードのリセット、MFAのリセット ●* ●*
ロックされたユーザーアカウントに関するメール通知を受信しないことを選択する ●*
ユーザーの動作プロファイルをリセットする ●* ●*
ユーザーの動作プロファイルを表示する

ユーザータイプを表示する

*:管理者が管理を許可されているグループにのみ権限が適用されます。

^:プロファイルソースが構成されていないアプリのユーザーインポートにのみ権限が適用されます。

°:管理者はスーパー管理者に対してアクションを実行できます。

グループ管理

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

グループを表示する ●* ●*
グループにユーザーを追加する ●^ ●*
割り当てられた管理者権限でグループにユーザーを追加する
グループからユーザーを削除する ●^ ●*
グループの作成
グループルールの表示

●°

グループルールの追加/編集/削除

グループに管理者権限を割り当てる
グループを削除する

グループの多要素認証Authenticatorを編集する

*:管理者が管理を許可されているグループにのみ権限が適用されます。

^:ユーザーの作成、追加、削除の権限は、グループ管理者が管理するグループにのみ適用されます。グループ管理者は、管理するグループで新しいユーザーを作成したり、管理するグループからユーザーを削除したり、管理するグループ間でユーザーを移動したりできます。

°:権限は、管理者にすべてのユーザーとグループへのアクセス権がある場合にのみ適用されます。

  • 管理者ロールを持つグループを管理できるのは、スーパー管理者だけです。管理者ロールが後から割り当てられたグループへのアクセス権がグループ管理者に割り当てられている場合、そのグループ管理者はこのグループまたはグループメンバーに対して変更を行うことができなくなります。

  • グループプロファイル機能が有効になっているorgの場合、グループメンバーシップ管理者はグループの名前と説明を変更できません。

アプリケーション管理

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

アプリケーションまたはアプリケーションインスタンスを表示する ●^ ●*
アプリケーションを追加および構成する ●^ ●*
アプリケーションへのユーザーアクセスを割り当てる ●^ ●*
アプリのインポートを介して段階的ステータスのユーザーを作成する ●^

*:OIDCアプリにのみ権限が適用されます。

^:アプリ管理者が管理を許可されているアプリケーションにのみ権限が適用されます。

デバイス

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

デバイスを管理する
デバイスとデバイス詳細を表示する
デバイスを一時停止または非アクティブ化する
デバイス保証ポリシーを表示・追加する

デバイス統合を表示する

フック

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

フックを表示する
フックを作成・構成する

ポリシー

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

グローバルセッションポリシーを表示する
グローバルセッションポリシーを追加/更新/削除する
グローバルセッションポリシールールを追加/更新/削除する

認証ポリシーを表示する

●*

認証ポリシーを追加/更新/削除する

●*

認証ポリシーをアプリに割り当てる

●*

認証ポリシーのルールを追加/更新/削除する

●*

プロファイル登録ポリシーを表示する

プロファイル登録ポリシーを追加/更新/削除する

ポリシーをドラッグアンドドロップして優先順位付けする
ポリシーのMFA Authenticatorを編集する

*:認証ポリシーにのみ権限が適用されます。アプリ管理者は、ポリシーに割り当てられたすべてのアプリの管理を許可されている場合にのみ、認証ポリシーを管理できます。

orgのセキュリティ

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

ネットワークゾーンを表示する
ネットワークゾーンの管理
orgの動作プロファイルを表示する
orgの動作プロファイルを管理する
Okta ThreatInsightの構成を表示する
Okta ThreatInsightの構成を管理する

多要素認証

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

Authenticatorを構成する

管理者ダッシュボードのMFAを有効化する
RADIUS Agentを承認する

APIトークン

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

ユーザートークンを作成する ●* ●* ●* ●* ●*
ユーザートークンを表示する ●^ ●* ●*
ユーザートークンを消去する ●* ●* ●* ●^ ●*
ユーザーのソーシャルトークンを表示する
トークンを管理する ●* ●*

*:自分自身にのみ権限が適用されます。

^:自分自身および対象のメンバーにのみ権限が適用されます。

OpenID Connectのエンドツーエンドのシナリオ

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

OIDCアプリを作成および変更する(OAuthクライアントの登録を含む)。
OIDCクライアントアプリに制限できる。
ソーシャルIDPを追加する
APIを介してOAuthクライアントに読み取り専用でアクセスする

Identity Governance

アクセス認定管理者とアクセスリクエスト管理者のロールは、Okta Identity Governanceをサブスクライブしている場合にのみ利用できます。

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

すべてのキャンペーンを表示する
キャンペーンを作成
スケジュールされたキャンペーンを編集/開始する
アクティブなキャンペーンを終了する
アクセスリクエスト内でユーザーアクセスアプリケーションを管理する
アクセスリクエスト内で管理者としての役割を果たす

領域

領域にはOkta Identity Governanceが必要です。詳細については、「Okta Identity Governance」を参照してください。

権限
スーパー管理者
org管理者
グループ管理者
アプリ管理者
読み取り専用管理者
ヘルプデスク管理者
レポート管理者
API Access Managementの管理者
グループメンバーシップ管理者

アクセスリクエスト管理者

アクセス認定管理者

領域を作成する
領域指定を表示する

領域を更新する

領域を削除する
ユーザー領域指定を更新する(ユーザーをある領域から別の領域に移動する)

ユーザーを個別に移動する

領域間でユーザーを一括移動する

領域割り当てを作成する

領域を含むワークフローを設定する

Workflows

Oktaスーパー管理者ロールとWorkflows管理者ロールには、Okta Workflows製品内の完全な管理権限があります。

Workflows管理者ロールには、Okta Admin Consoleでアクションを実行する権限はありません。

Workflows管理者ロールに割り当てられたユーザーまたはグループは、Okta org内の別のユーザーにWorkflows管理者ロールを割り当てることはできません。Okta Admin Consoleを通じてこのロールを割り当てることができるのは、Oktaスーパー管理者のみです。

Workflows管理者ロールを除くすべてのOkta Workflowsロールは、Workflowsコンソールを使ってユーザーおよびグループに割り当てられます。「Workflowロールを管理する」を参照してください。

このロールの権限の完全な概要については、「リソース権限」を参照してください。