はじめに
今回はOktaの管理者権限については記載します。
標準ロール
Oktaには標準のロールと自分で作成できるカスタムロールの2つがあります。
各標準ロールでできることは以下のドキュメントをご参照ください。
Standard administrator roles and permissions
カスタムロール
Okta ではある程度自由に権限を編集したロールを作成することができます。
Security > Administrators > Roles > Create new Role から作成できます。
2023/12時点で選択することができる権限は以下の通りです。
赤枠部分については Early Access の機能となっており、それぞれ以下を有効にすることで選択可能となります。
-
Manage application general settings
- App settings permissions for custom admin roles
-
Identity Provider
- Enable Custom Admin Roles for Identity Providers
-
Device
- Enable custom admin roles for device permissions
リソースセット
Oktaではグループやアプリなどをリソースセットとして定義することができます。
このリソースセットは管理者権限を付与する際に選択でき、リソースセットとして定義した対象のみの管理権限を付与できます。
Resources > Create new resource set から作成できます。
リソースセットとして定義可能なリソースは以下の8種類です。
管理者権限の付与
Admins > Add administrator から権限を付与することができます。
Select admin で権限の付与対象(ユーザーもしくはグループ)を選択します。
基本的には個人ではなくグループで管理する方が、あとあと管理者追加するときに楽になります。
が、ここではとりあえず適当なユーザーを指定しています。
Roleでは付与するロールを選択します。
今回はApplication Administratorを指定しています。
Applications の Edit から権限を付与する対象のアプリを選択します。
Constrain this role to the entire organization にチェックを入れると、すべてのアプリに対する管理権限を付与することができます。
Search by apps から特定のアプリを Add することで、特定アプリのみの管理権限を付与できます。
ただし、All Google Workspcaes apps のように、All ~ のアプリ指定した場合、Okta Integration NetworkでGoogle Workspace のアプリカタログから作成したすべてのアプリの管理権限が付与されることに注意してください。
また、権限付与する対象の選択時には、自分で作成したリソースセットも選択可能です。
アプリの作成権限について
カスタムロールで選択可能な権限の中には Create Users や Create Groups という項目はありましたが、Create Applications という項目がありませんでした。
2023/12時点でOktaではアプリの作成権限のみを付与することはできません。
例えば、OINのアプリカタログから Google Workspace のアプリを作成できるような権限を付与したい場合、All Google Workspaces apps の権限を付与する必要があります。
ただその場合、先ほど記載したようにすべての Google Workspace アプリに対する権限も付与されてしまいます。
これは、Google Workspace だけではなく、OINに登録されているすべてのアプリに共通しています。
アプリの管理権限を分散したいなーと思っても、作成部分を切り出すことができないので少し不便な箇所かなと思います。
今後に期待ですね。
さいごに
今回は管理者権限について記載しました。
リソースセットとロールの組み合わせで権限を付与することができます。
ただ、リソースは常に追加されるもののため、すべてをGUIから操作するのは結構大変です。
次回はグループを作成しリソースセットに追加するスクリプトを書いてみたいと思います。
今回はここまで。ありがとうございました。