はじめに
今回はグループのルールについて記載していきます。
Rules
ユーザーの属性値やグループの所属に応じて特定のグループに追加することができます。
Oktaではグループのメンバーにグループを追加することができませんが、Rulesを使用することで疑似的に再現することが可能です。
作成
- RulesタブのAdd Ruleから作成することができます。
ルール作成時に選択可能な条件
作成時には以下の設定が可能です。
Use basic Condition
- User attribute
- ユーザープロファイルの属性値を条件に指定します。
- 条件に指定することができる属性値はOkta標準の属性値と、ProfileEditorで追加したString型の属性値のみです。
- String型として扱われるデータ型は 先日の記事でも記載しましたが、以下の3つです。
- string
- country code
- language code
- String型以外の属性値を使用したい場合はOkta Expression Languageを記載する必要があります。
- String型として扱われるデータ型は 先日の記事でも記載しましたが、以下の3つです。
- また、条件に指定できる演算子は以下の3つです。
- Equals
- Starts with
- Contains
- Group membership
- 特定のグループに所属しているユーザーをまとめて追加したい場合に指定します。
- 複数のグループを指定することも可能です。
- 特定のグループに所属しているユーザーをまとめて追加したい場合に指定します。
Use Okta Expression Language
- Okta Expression Languageを使用して自由に検索条件を記載することができます。
- Expression Languageの仕様については以下をご参照ください。
作成後の注意
ルールは作成した直後はInactiveになっているため、Activateする必要があります。
- ActiveteはActionsから実施可能です。
編集
- ルールの設定を編集したい場合、Actions > Editからできます。
- ただし、Activeなルールは一度Deactivateしてからでないと編集できないため注意してください。
- Deactivateしてもルールでグループにアサインされたユーザーがグループから削除されることはないので安心してください。
- ルールの編集後に再度Activateすることを忘れないように注意してください。
削除
- Actions > Deleteから削除できます。
- ルールの状態がInactiveである必要があることに留意してください。
- Deleteを押すと以下のメッセージが表示されます。
- チェックを入れてルール削除すると、ルールを使用してグループにアサインされたユーザーが対象グループから削除されるので注意してください。
対象ユーザーがグループの条件にマッチするか確認したい。
- ルール設定の一番下、Preview欄にユーザーを入力すると条件にマッチしてグループにアサインされるかどうかを確認することができます。
- 確認結果はそれぞれ以下のように表示されます。
- 条件にマッチせずグループにアサインされない場合
- 条件にマッチしてグループにアサインされる場合
- 条件にマッチせずグループにアサインされない場合
特定のユーザーをルールから除外したい
特定ユーザー
- 特定のユーザーのみを除外したい場合は Except The following usersに対象ユーザーを指定すればOKです。
特定のグループに所属するユーザー
- 特定のグループに所属するユーザーを除外したい場合はExpression Languageを使う必要があります。
- こんな感じ
- この例では「sourceGroup1に所属している」かつ「excludeGroupに所属していない」ことを条件に記載しています。
- よく見ると2つ目のisMemberOfGroupNameの前に「!」がついていることがわかると思います。
- これが「所属していない」の否定の部分に相当します。
- Expression Languageは使えるようになると結構便利です。
さいごに
ルールを使うことでグループのメンバー管理運用が楽にできるものもあると思います。
Expression Languageも是非使ってみてください。
以上で今回はおしまいです。ありがとうございました。