アクセスリクエスト条件を作成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

このページでは、アクセスリクエスト条件を作成するプロセスについて説明します。アクセスリクエスト条件を使用すると、管理者ロールバンドルへのアクセスをリクエストするプロセスを合理化できます。

はじめに

  • Admin Consoleにスーパー管理者としてサインインしていることを確認してください。
  • 必要な管理者ロールバンドルがあることを確認してください。「管理者ロールバンドルを作成する」を参照してください。
  • 考慮事項」をお読みください。
  • 要求者のマネージャーを承認者として使用するには、OktamanagerIdユーザー属性がユーザーのマネージャーのOktaユーザー名またはメールアドレスに設定されていることを確認します。設定されていない場合、リクエストの割り当て先がリクエストの承認者を手動で指定する必要があります。
  • リクエストの承認者としてグループまたはグループオーナーを使用するには、次の事項を考慮します。
    • Oktaのグループのオーナーが別のOktaグループである場合、承認者として使用されるようにするには、このグループをアクセスリクエストにプッシュする必要があります。
    • 承認シーケンスの承認者としてグループオーナーを割り当てる場合は、Oktaでグループオーナーが構成されていることを確認します。「グループ所有権」を参照してください。
    • 複数のグループまたはグループオーナーが存在する場合、ただ1人のグループメンバーがリクエストをレビューし、対応する必要があります。グループメンバーがリクエストへのアクセスを承認するか、取り消した場合、そのリクエストはすべてのオーナーに対して「完了済み」とマークされます。
    • 10個以上のグループまたはグループ内のグループオーナーを承認者として割り当てた場合、リクエストはそれら10個のグループまたはグループオーナーに承認のために割り当てられます。

このタスクを開始する

  1. Admin Consoleで、[Security(セキュリティ)] [Administrators(管理者)][Governance(ガバナンス)]に移動します。

  2. [Access request(アクセスリクエスト)]をクリックします。
  3. [+ Create condition(+条件を作成)]をクリックします。
  4. [要求者のスコープ]セクションで、グループを選択して管理者ロールへのアクセスをリクエストできるユーザーを定義します。
  5. [アクセスレベル]セクションで、ユーザーがリクエストできる管理者ロールバンドルを選択します。
  6. [アクセス期間]セクションで、ユーザーのアクセスリクエストが承認された後でアクセスが期限切れになる日時を入力します。
  7. [承認シーケンス]セクションで[Select sequence(シーケンスを選択)]をクリックします。
  8. [承認シーケンス]ページでは、以下の手順のいずれかを実行できます。
    • シーケンスを作成する
    • 既存のシーケンスを選択する

    シーケンスを作成するには、以下の手順を実行します。

    1. [+ Create sequence(+シーケンスを作成)]をクリックします。
    2. タイトルバーの[Edit(編集)]をクリックし、シーケンスの名前と説明を入力します。できる限りわかりやすく再利用可能な名前を入力してください。承認シーケンスは複数のアクセスリクエスト条件に関連付けられる場合があるからです。
    3. 要求者に回答してもらう質問を作成するには、以下の手順を実行します。
      1. [Triggers(トリガー)]カードの後にある任意のノードをクリックして、ステップを追加します。
      2. [Questions for Requester(要求者への質問)]を選択します。
      3. プロンプトに従い、必要に応じて情報を入力します。
      4. 任意。[Add question(質問を追加)]をクリックして、さらに質問を追加します。

      要求者への質問は、別のカードの後に作成した場合でも、必ず[トリガー]カードの後に表示されます。

    4. 承認者にリクエストを割り当てるには、[Approval(承認)]カードを選択し、[Assign to(次に割り当てる:)]ドロップダウンメニューから承認者を選択します。

      管理者ロールを管理するアクセスリクエスト条件ごとに2人の承認者を定義する必要があります。

    5. 任意。シーケンスに別のステップを追加するには、カードの後のノードをクリックし、[Approval(承認)][Question(質問)][Custom(カスタム)]タスクなどのステップタイプを選択します。
    6. [Save(保存)]をクリックし、[アクセスリクエスト条件]ページに戻ります。

    既存のシーケンスを選択するには、以下の手順を実行します。

    1. シーケンスをクリックして選択します。
    2. 任意。[Refresh(更新)]をクリックし、承認シーケンスに加えられた最新の変更を取得します。
    3. [Select sequence(シーケンスを選択)]をクリックします。

      承認シーケンスを編集することはできますが、削除することはできません。

  9. [Create(作成)]をクリックします。作成したアクセスリクエスト条件はデフォルトで非アクティブ状態になります。
  10. 任意。条件のドラッグアンドドロップを使用して条件を移動し、他の条件に対するその条件の優先度を定義します。Oktaでは、条件を有効化した後での条件の優先順位のみが考慮されます。
  11. 任意。条件を有効化して使用できるようにします。

条件で参照しているアイテム(グループやバンドルなど)がアクティブまたは使用可能な状態になっていることを確認します。これらのアイテムのいずれかが非アクティブになっているか、削除されている場合は、条件を有効または無効にしたとき、または要求者がリクエストを送信したときに条件が無効になります。

要求者が複数の条件の基準を満たしている場合は、最も優先度の高い条件によってリクエストの承認に使用される承認シーケンスが決定されます。要求者のグループメンバーシップが変更され、要求者が条件を満たさなくなった場合、その要求者はそれらの条件で管理されている管理者ロールバンドルをリクエストできなくなります。既存の管理者ロールの割り当ては影響を受けません。

Oktaは、条件が有効化されたときに条件で定義されている要求者にOkta Access Requestsアプリを自動的に割り当てます。ただし、Okta Access Requestsアプリを承認者に割り当てて、承認者がリクエストを承認または拒否できるようにする必要があります。「グループへの単一アプリの割り当て」または「アプリケーションをユーザーに割り当てる」を参照してください。

要求者と承認者のエクスペリエンスを理解するには、「管理者ロールの割り当てをリクエストする」、「リクエストを管理する」、および「タスクを管理する」を参照してください。

関連項目

アクセスリクエスト条件を管理する

キャンペーンを作成する