管理者ロールへのアクセスリクエスト
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Okta管理者ロールの管理機能は、Okta Identity Governanceをサブスクライブしている方向けには公開されています。サブスクライブしていない場合、orgの適格性によってはOkta管理者ロールの管理機能を利用できない可能性があります。詳細については、アカウントエグゼクティブまたはカスタマーサクセスマネージャーまでお問い合わせください。
Okta Access Requestsを使用して、管理者ロールバンドルへのアクセスをリクエストするプロセスを合理化します。このアプリは、ユーザーリクエストを1人以上の承認者に自動的にルーティングしてアクションを求める簡素化されたスムーズなアプローチを提供します。
アクセスリクエストを使用すると、従来のワークフローに共通する以下のような課題を排除できます。
-
要求者のエクスペリエンスが悪い
-
ヒューマンエラーのリスク
-
ITの生産性の低下
-
複雑で厳格なワークフロー
-
監査とコンプライアンスの不備
-
特権アクセスの蓄積
ペルソナ
ペルソナ | 説明 |
---|---|
スーパー管理者 | 標準のスーパー管理者ロールが割り当てられているユーザー |
要求者 | アクセスをリクエストするorg内の任意のユーザー |
承認者 | 承認タスクが割り当てられているorg内の任意のユーザー |
リクエスト割り当て先 | 割り当て解除されたタスクや承認者の再割り当てなど、リクエストの管理的側面を管理するために割り当てられるスーパー管理者。 |
リクエストの設定
スーパー管理者によるアクセスリクエストの合理化は、次の3つのステップからなるプロセスです。
-
管理者ロールとリソースセットを組み合わせて管理者ロールバンドルを作成します。
- アクセスリクエスト条件を構成します。
アクセスをリクエストできるユーザーを定義し、それらのユーザーがリクエストできる管理者ロールバンドルとアクセスを付与する時間を指定します。アクセスリクエストの期限が切れると、ユーザーのアクセス権は自動的に取り消されます。
要求者または承認者に提供が求められる情報を管理する承認シーケンスをセットアップし、アクセスリクエストを承認または拒否するユーザーを定義します。
承認シーケンスは、順番に行われる一連のステップ(質問、承認タスク、カスタムタスク)で、各ステップは次のステップを開始する前に完了する必要があります。要求者がアクセス権を取得するには、すべてのタスクがすべての承認者の承認を得て正常に完了する必要があります。
- 条件を有効にします。
条件を有効にしたら、適格な要求者はダッシュボードから管理者アクセスをリクエストできます。利用可能な管理者ロールバンドルから選択し、必要な情報を入力して、リクエストを送信できます。リクエストを送信すると、承認シーケンスがトリガーされて承認者が割り当てられ、承認者のアクションを必要とするタスクがあることが承認者に通知されます。承認者がタスクを完了すると、承認者の決定に基づいてユーザーに自動的にアクセス権が付与される、または拒否されます。
リクエストのタスクが割り当て解除された場合、そのリクエストの割り当て先(スーパー管理者)はOkta Access Requests Webアプリからリクエストを管理できます。
考慮事項
-
管理者ロールバンドルを付与するために使用される承認シーケンスはすべて、2人の異なる承認者を必要とします。
-
管理者ロールには多数の権限が付属します。管理者ロールへのアクセスを制限するため、管理者ロールをリクエストできるユーザーとグループの数を制限することをお勧めします。
-
グループ:管理者ロールへのアクセスのリクエストをメンバー数が100人以下のグループに制限します。
-
ユーザー:Okta Access Requestsに割り当てられるユーザー(潜在的な要求者または承認者)の数を100,000に制限します。
-
-
Identity Governanceをすでにサブスクライブしている場合、管理者ロールバンドルへのアクセスリクエストは、アプリやグループなどのその他のリソースへのアクセスリクエストよりも制限が厳しいことに注意してください。管理者ロールバンドルへのアクセスリクエストの相違点を以下に示します。
-
スーパー管理者は、管理者ロールバンドルへのアクセスリクエストを管理するアクセスリクエスト条件およびシーケンスを使用する必要があります。Okta Access Requestsコンソールのリクエストタイプは、管理者ロールバンドルへのアクセスリクエストをサポートしていません。
-
管理者ロールバンドルへのアクセスリクエストはデフォルトでプライベートに設定され、変更できません。
-
リクエストは、Access RequestsパブリックAPIを使用して表示または編集できません。
-
要求者のエクスペリエンス:
-
要求者に対する質問と要求者の回答を、要求者が回答した後に更新することはできません。
-
承認者またはその他のタスクの割り当て先がリクエストに対するアクションをまだ実行していない場合、要求者はそのリクエストをキャンセルできます。
-
管理者ロールバンドルへのアクセスリクエストでは、ファイルのアップロードは許可されません。
-
-
リクエストの割り当て先のエクスペリエンス:
-
タスクと質問を別のユーザーに再割り当てすることができるのは、スーパー管理者権限を持つリクエストの割り当て先だけです。
-
管理者ロールバンドルへのアクセスリクエストを管理できるのはスーパー管理者だけです。アクセスリクエストの管理者は、要求者、承認者、またはタスクの割り当て先でない限り、管理者ロールバンドルへのアクセスリクエストを表示または管理できません。
-
[リクエストの詳細]ビューに[Team(チーム)]や[Request Type(リクエストタイプ)]などのリクエスト属性が表示されません。
-
-
承認者のエクスペリエンス:
承認者とタスクの割り当て先は、Access Requests Webアプリ、メール、Slack、またはMicrosoft Teamsで管理者ロールバンドルへのリクエストの通知を受け取ります。ただし、管理者ロールバンドルへのアクセスリクエストの承認は、Access Requests Webアプリからしか行うことができません。メール、Slack、またはMicrosoft Teamsを使用したこれらのリクエストの承認はサポートされていません。
-