Identity Threat Protection with Okta AIに対応したカスタム管理者ロール機能をリリース

このブログはこちらの英語ブログ（2025年7月10日公開）の機械翻訳です。

Identity Threat Protection with Okta AI（ITP）の設定管理に、もっと細かい制御が欲しいとお考えですか？セキュリティはチーム全体で取り組むものであり、管理者ごとに責任の範囲が異なることを私たちは理解しています。そうした異なる責任に応じてアクセス権を適切に割り当て、最小権限の原則を守るために、Oktaは新たにITPに対してカスタム管理者ロールを拡張できる機能をリリースしました。これにより、新しい権限とリソースタイプへの対応が可能になります。

Identity Threat Protection with Okta AIとは？

この機能は、Okta Workforce Identity内で動作する製品であり、管理モデルに従って、ユーザーやグループが管理者ロールに割り当てられます。

以前、Oktaは管理者ロール機能を拡張し、カスタム管理者ロールの作成を可能にしました。この拡張には、以下の2つの要素が含まれています：

• ロール権限の公開
  標準の管理者ロールに組み込まれていた権限を外部に公開し、「ユーザーの管理」、「ユーザーの作成」、「ライフサイクル状態の編集」など、操作可能な対象（オブジェクト）に対する権限をカスタム定義できるようにしました。
   

• リソースセットの導入
  特定のデータセットに対してのみロールを適用できるよう、リソースとそれをまとめたリソースセット」を導入しました。 例えば、ある部署のユーザーグループアプリのみを対象とした管理者ロールを設定可能です。

ロールと権限

新しいロール自体の追加はありませんが、以下のような新しい操作権限が利用可能になっています：

• ユーザーリスクの表示と管理
   
• Shared Signals Framework（SSF）レシーバーストリームの表示と管理
   
• ポリシーの表示と管理
   
• レポートの閲覧
   
• ログアウトの設定
   
• ワークフローの作成
   

ロールを定義する際には、以下の権限も検討対象となるでしょう：

• ユーザーの表示・編集
   
• ユーザーセッションのクリア
   
• グループの表示（リスクポリシーやセッションポリシーの確認に必要）
   
• アプリケーションの管理（Universal Logoutの設定に必要）
   
• 委任フローの実行・表示
   
• セッション後のポリシー管理（カスタマイズ操作）
   

これらの新しい権限を活用すれば、たとえばユーザー管理者にはリスクの表示と昇格だけを許可し、ポリシーやSSF統合の設定は別ロールに委ねるなど、より細かな権限分離が実現できます。

さまざまな管理者ロールとその権限の比較については、製品ドキュメントをご覧ください。

リソースセット

リソースセットとは、特定の管理対象データ（リソース）をまとめ、管理者ロールに割り当てることで、管理権限の範囲を制御する仕組みです。

• ロールは「何を操作できるか（操作内容）」を定義
   
• リソースセットは「何に対して操作できるか（対象データ）」を定義
   

今回の機能拡張により、以下の新しいリソースタイプが追加されました：

• Shared Signals Framework（SSF）レシーバー
   
• ポリシー（例：エンティティリスクポリシー、セッション保護ポリシー）
   

これらは、ユーザー、アプリケーション、グループ、ワークフローなどの既存のリソースタイプと組み合わせて、委任型の管理モデルを実現できます。

カスタム管理者ロールの例

ITP管理者向けに、Oktaのスーパー管理者ほどの権限は持たせず、ITP関連のすべての操作に対応するロールを設定した例を見てみましょう。

このロールでは、以下の権限が含まれています：

• ユーザー：無効化、停止、セッションのクリア、リスクの管理
   
• グループ：表示と詳細の閲覧
   
• アプリケーション：表示と詳細の閲覧
   
• ワークフロー：委任フローの表示・実行
   
• SSFレシーバー：SSFストリームの管理
   
• ポリシー：管理
   

この構成により、ユーザーのアプリやグループの情報は閲覧可能でも、プロファイルやデバイス情報にはアクセスできないなど、限定的なアクセス権を与えることができます。

OktaのITPにおけるカスタム管理者ロールの拡張により、管理者権限をより細かく制御できるようになりました。新たな権限とリソースタイプの追加により、スーパー管理者に依存することなく、ITP専用のロールを柔軟に作成できるようになります。これにより、セキュリティの強化とリスクの軽減が可能となり、より安全なOkta運用環境の構築につながります。

図：ITP管理画面の例（セッションクリア、リスク昇格、ユーザーの停止・無効化

このアップデートでは、グループ／アプリ／セキュリティポリシーの管理や、SSFレシーバーの操作も可能になります。ただし、アプリへのUniversal Logoutの設定はこのロールではできません。

リソースセットにより、アプリケーション、ユーザー（グループ単位）、ワークフロー、ポリシー、グループごとにロールをスコープ指定できます。既存および新しい権限と組み合わせることで、適切な権限を持つ管理者を設計し、スーパー管理者の必要性を排除することができ、Okta運用におけるリスクを低減できます。

もっと詳しく知りたい方は、ナレッジベースのドキュメントをご覧ください。

以上の内容は、原文（英語）の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。