グループ管理者ロール割り当てのベストプラクティス
1人の管理者に多数の管理者グループを割り当てると、セキュリティリスクが高まり、管理が複雑になります。このような方法では、過剰な権限を持つアカウントが作成されて、orgの管理者ロールの監査と管理が困難になる可能性があります。さらに、グループメンバーシップが多すぎるとサインインエクスペリエンスに影響し、 Admin Consoleへのアクセス遅延や特権操作のレイテンシー増加を引き起こしかねません。
推奨
Admin Consoleの最適なパフォーマンスと応答性を維持するために、 Okta では、各管理者への管理者ロールを含むグループ割り当てを最大500個までに制限することを推奨しています。
管理者がAdmin Consoleにサインインすると、 Okta は割り当てられた管理者ロール(直接割り当て、またはグループを介して間接的に割り当て)に基づいて権限を決定します。この推奨制限によって、Admin Consoleへのアクセスがタイムアウトしたり遅延したりする可能性が低くなります。
管理者がサインイン時のレイテンシーの増加やAdmin ConsoleでのUI読み込み時間の遅延を経験している場合、 Oktaでは、管理者グループの割り当てを見直して管理者グループが推奨範囲内であることを確認するようお勧めします。
複雑な管理者構造の回避策
orgで複雑な管理者構造を管理している場合、または異なる職責に複数のロールを割り当てる必要がある場合には、次のアプローチを検討してください。
- 管理者グループ数を減らす:可能な限りグループを統合します。
- 必要に応じてロールを直接割り当てる:固有の権限セットを必要とする管理者には、グループ経由ではなくユーザーに直接ロールを割り当てます。そうすることで、Oktaが権限を評価する際に必要なグループ検索の総数を削減できます。
- 非アクティブまたは冗長なグループを確認する:管理者グループを定期的に監査して、冗長なグループ、非アクティブなグループ、古いグループを見つけて削除します。
- 期限付きの管理者割り当てを使用する:アクセスリクエスト条件を設定し、ユーザーが期限付きの管理者者アクセスをリクエストできるようにします。
レポートとメンテナンス
レポートを使用して管理者ロールの割り当てを確認し、これらのベストプラクティスに準拠していることを確認してください。管理者レポートは、Admin Consoleの[Reports(レポート)]ページと[Administrators(管理者)]ページから実行できます。
[Reports(レポート)]ページからの手順は以下のとおりです。
-
Admin Consoleでに移動します。
- [Admin role assignments(管理者ロールの割り当てレポート)]を選択します。
- レポートパラメーターを選択します。
- [Request Report(レポートを要求)]をクリックします。
[Administrators(管理者)]ページからの手順は以下のとおりです。
-
Admin Consoleで、に移動します。
- [Overview(概要)]タブで、[Create Report(レポートを作成)]をクリックします。
- レポートパラメーターを選択します。
- [Request Report(レポートを要求)]をクリックします。