グループルール

グループルールはグループの管理を簡素化し、アプリケーションへのアクセス、アプリケーションのルール、セキュリティポリシーの管理に役立ちます。

グループは、Oktaのシングルサインオン（SSO）アクセスや、特定のエンタイトルメントを持つアプリにユーザーをプロビジョニングするためによく使われます。属性に基づいてグループに自動入力するルールを使用すると、属性ベースのアクセス制御が有効になります。ルールは、単一または複数の属性、単一または複数のグループ、または属性とグループの組み合わせで作成できます。

グループルールは以下のように使用できます。

複数のActive Directory（AD）グループを1つの Okta グループ（group）にマッピングします。ルールを使用して、OktaのグループをADグループにマッピングすることもできます。
ユーザー属性に基づいてADグループに入力する（Populate AD groups based on user attributes）。ルールは、OktaがユーザーやグループをADにプロビジョニングする「Workday（WD）をソースに使用する」設定で特に有効です。たとえば、WDのコストセンター（cost center）属性を使用して、ADグループのメンバーシップを決定します。
グループの管理を簡素化します。（Simplify the management of groups.）ユーザーをグループに手動で追加する代わりに、必要な属性を持つユーザーを自動的に追加するルールを定義することができます。たとえば、「sales（営業）」という部署（department）プロファイル属性値を持つユーザーは、Sales（営業）グループに自動的に追加されます。ユーザーの部署（department）属性が変更された場合、そのユーザーは自動的にSales（営業）グループから削除されます。
プロビジョニングを自動化します。（Automate provisioning.）ユーザーをアプリに手動でプロビジョニングする代わりに、必要な属性を使用してユーザーを自動的にプロビジョニングするルールを定義できます。たとえば、ユーザーのプロファイル属性が==Xの場合、アプリYをロールZでプロビジョニングします。

次の制限事項に注意してください。

orgは最大2000個のルールを持つことができます。
グループルールを使ってユーザーを管理者グループに割り当てることはできません。
文字列属性は、基本条件グループルールでのみ使用できます。
すでにグループルールのターゲットとなっているグループに、管理者権限を付与することはできません。
ルールを編集できるのはスーパー管理者とorg管理者のみです。
すべてのグループを管理しているグループ管理者のみが、ルールを検索して表示することができます。個々のグループ管理者は、ルールを検索したり表示したりすることはできません。