ロールの権限について
ユーザー権限
|
権限 |
説明 |
|---|---|
| ユーザーの管理 | 代理管理者に、ユーザーのすべてのプロファイルと認証情報の表示・作成・編集・削除を実行できる権限を付与します。 |
| ユーザーの作成 | 代理管理者に、ユーザーの作成権限を付与します。 |
| ユーザーのプロファイル属性を編集 |
代理管理者に、ユーザーのプロファイル属性の値のみを編集できる権限を付与します。
ただし、この権限では、代理管理者がディレクトリの[Profiles(プロファイル)]ページからカスタム属性を作成または編集したり、プロファイルマッピングを管理したりすることはできません。 |
| ユーザーのライフサイクルの状態を編集 | 代理管理者に、ユーザーのライフサイクル操作(ユーザーのアクティブ化、非アクティブ化、再アクティブ化、一時停止など)を管理する権限を付与します。 |
| ユーザーのアクティブ化 | 代理管理者に、ユーザーアカウントをアクティブ化する権限を付与します。 |
| ユーザーの非アクティブ化 | 代理管理者に、ユーザーアカウントを非アクティブ化する権限を付与します。 |
| ユーザーの一時停止 | 代理管理者に、ユーザーによるOktaへのアクセスを一時停止する権限を付与します。ユーザーからのアクセスが一時停止されると、そのユーザーセッションもクリアされます。 |
| ユーザーの一時停止解除 | 代理管理者に、ユーザーによるOktaへのアクセスを復元する権限を付与します。 |
| ユーザーの削除 | 代理管理者に、ユーザーアカウントを完全に削除する権限を付与します。 |
| ユーザーのロック解除 | 代理管理者に、Oktaからロックアウトされたユーザーのロックを解除する権限を付与します。 |
| ユーザーセッションの消去 | 代理管理者に、エンドユーザーのすべてのアクティブなOktaセッションとOAuthトークンをクリアする権限を付与します。 |
| ユーザーのオーセンティケーター操作を編集 | 代理管理者に、ユーザーの認証操作(パスワードのリセットや、YubiKeyの登録を含む多要素認証(MFA)など)を管理する権限を付与します。 |
| ユーザーのオーセンティケーターをリセット | 代理管理者に、ユーザーのMFA認証をリセットする権限を付与します。 |
| ユーザーのパスワードをリセット | 代理管理者に、ユーザーのパスワードをリセットする権限を付与します。 |
| ユーザーの一時パスワードを設定 | 代理管理者に、ユーザーのパスワードを期限切れにし、新しい一時パスワードを設定する権限を付与します。 |
| ユーザーとその詳細情報を表示 | 代理管理者に、ユーザーのプロファイルおよび認証情報を読み取る権限を付与します。 |
| ユーザーのグループメンバーシップを編集 |
代理管理者に、ユーザーのグループメンバーシップを管理する権限を付与します。代理管理者にユーザーをグループに追加する権限を付与する場合は、この権限を選択します。
また、代理管理者には、ユーザーを追加できるグループに対して[Group permissions(グループ権限)]セクションにある[Manage group membership(グループメンバーシップを管理する)]権限も必要となります。 |
| ユーザーのアプリケーションの割り当てを編集 | 代理管理者に、ユーザーのアプリケーションの割り当てを管理する権限を付与します。 また、代理管理者がユーザーに追加できるアプリケーションを表示・選択するには、[Application permissions(アプリケーション権限)]セクションの[Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)]権限も必要です。 |
Oktaソースのグループ・ADソースのグループ・LDAPソースのグループをリソースとして使用できます。ただし、次の権限はADソースのグループおよびLDAPソースのグループに対しては適用されません。
- ユーザーの作成
- ユーザーのオーセンティケーター操作を管理
- ユーザーのプロファイル属性を編集
- グループメンバーシップの管理
グループ権限
|
権限 |
説明 |
|---|---|
| グループを管理する | 代理管理者に、Okta organizationのグループを表示・作成・編集・削除する権限を付与します。 |
| グループの作成 | 管理者ロールの割り当てがorg全体に制限されている場合、代理管理者にグループを作成する権限を付与します。 |
| グループの表示 | 代理管理者に、グループと、Okta organizationでそのグループに割り当てられているユーザーおよびアプリケーションのみを表示する権限を付与します。 |
| グループメンバーシップの管理 |
代理管理者に、Okta organizationのグループ内のユーザーメンバーシップを表示、編集、および削除する権限を付与します。
また、代理管理者がグループに追加できるユーザーを表示・選択するには、[User permissions(ユーザー権限)]セクションの[Edit users' group membership permission(ユーザーのグループメンバーシップを編集する)]権限も必要です。 |
| グループのアプリケーションの割り当てを編集 |
代理管理者に、グループのアプリケーションの割り当てを管理する権限を付与します。
また、代理管理者がグループに追加できるアプリケーションを表示・選択するには、[Application permissions(アプリケーション権限)]セクションの[Edit application's user assignments(アプリケーションのユーザー割り当てを編集する)]権限も必要です。 |
アプリケーション権限
|
権限 |
説明 |
|---|---|
| アプリケーションの管理 | 代理管理者に、Okta organizationのアプリケーションを表示・作成・編集・削除する権限を付与します。 |
| アプリケーションとその詳細情報を表示 | 代理管理者に、Okta organizationに割り当てられたアプリケーションのみを表示する権限を付与します。 |
|
プロビジョニングエラータスクを表示 |
代理管理者に、次のプロビジョニングエラータスクを表示する権限を付与します。
「タスクを監視する」を参照してください。 |
| アプリケーションのユーザー割り当てを編集 |
代理管理者に、アプリケーションに割り当てられたユーザーを管理する権限を付与します。
また、代理管理者がアプリケーションに追加できるユーザーまたはユーザーグループを表示・選択するには、[Group permissions(グループ権限)]セクションの[Edit groups' application assignments(グループのアプリケーションの割り当てを編集する)]権限、または[User permissions(ユーザー権限)]セクションの[Edit users' application assignments(ユーザーのアプリケーションの割り当てを編集する)]権限も必要です。 |
プロファイルソース権限
|
権限 |
説明 |
|---|---|
| インポートの実行 | HRaaS、AD/LDAPアプリなどのアプリにプロファイルソースのインポートを実行する権限を付与します。この権限を持つ管理者は、インポートを通じてユーザーを作成できます。
代理管理者がインポートに含まれる既存のユーザーを変更するには、[User permissions(ユーザー権限)]セクションから[Edit users' profile attributes(ユーザーのプロファイル属性を編集する)]権限が必要です。 |
ワークフロー権限
|
権限 |
説明 |
|---|---|
| 委任されたフローを実行 | フローをOkta管理コンソールから実行する権限を委任管理者に付与します。 |
| 委任されたフローを表示 |
代理管理者に、Okta管理コンソールでフローを表示する権限のみを付与します。
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。 |
Authorization Server権限
|
権限 |
説明 |
|---|---|
| Authorization Serverの管理 | 代理管理者に、Okta organizationの認可サーバーを表示・作成・編集・削除する権限を付与します。 |
| Authorization Serverの表示 | 代理管理者に、Okta organizationの認可サーバーの表示のみを実行する権限を付与します。 |
カスタマイズ権限
|
権限 |
説明 |
|---|---|
| カスタマイズの管理 | 代理管理者に、Okta organizationのブランディングのカスタマイズを表示、作成、編集、および削除する権限を付与します。 |
| カスタマイズの表示 | 代理管理者に、Okta組織のブランディングのカスタマイズの表示のみを実行する権限を付与します。 |
ディレクトリ権限
|
権限 |
説明 |
|---|---|
| ディレクトリを管理 | 代理管理者に、Okta組織のディレクトリ統合アプリケーションを表示、作成、編集、削除する権限を付与します。 アプリケーションのユーザー割り当てを管理し、そのようなアプリケーションのインポートを行うには、ユーザーとグループに追加の権限が必要になる場合があります。 |
| ディレクトリを表示 | 代理管理者に、ディレクトリ統合アプリケーションとその詳細の表示のみを実行する権限を付与します。 |
IDプロバイダー権限
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
|
権限 |
説明 |
|---|---|
| IDプロバイダーの管理 | 代理管理者に、IdPの構成を表示、作成。編集、削除する権限を付与します。 |
| IDプロバイダーの表示 | 代理管理者に、IdP構成の表示のみを実行する権限を付与します。 |
デバイス権限
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
|
権限 |
説明 |
|---|---|
| デバイスを管理 | 代理管理者に、Okta組織のデバイスを表示、一時停止、停止解除、アクティブ化、非アクティブ化、削除する権限を付与します。 |
| デバイスの表示 | 代理管理者に、Okta組織のデバイスを表示する権限を付与します。 |
| デバイスをアクティブ化 | 代理管理者に、Okta組織のデバイスを表示およびアクティブ化する権限を付与します。 |
| デバイスを非アクティブ化 | 代理管理者に、Okta組織のデバイスを表示および非アクティブ化する権限を付与します。 代理管理者がデバイスを非アクティブ化すると、登録済み要素が非アクティブ化され、アクティブ化されたとにユーザーは要素をデバイスに再登録する必要があります。デバイスのアクティブ化/非アクティブ化の詳細については、「デバイスライフサイクル」を参照してください。 |
| デバイスを一時停止 | 代理管理者に、Okta組織のデバイスを表示および一時停止する権限を付与します。 |
| デバイスを停止解除 | 代理管理者に、Okta組織のデバイスを表示および停止解除する権限を付与します。 |
| デバイスを削除 | 代理管理者に、Okta組織のデバイスを表示および削除する権限を付与します。 |