パートナー管理者をセットアップする

パートナー管理者にパートナー管理者ポータルの管理権限を付与するには、以下の手順を完了する必要があります。

• へのアクセスを制限するOkta Admin Console

• パートナー管理者ロールをカスタマイズする

• ユーザーをロールに割り当てる

• 属性ベースのアクセス制御の実践を確認する

Okta Admin Consoleへのアクセスを制限する

Okta管理者にはデフォルトでOkta Admin Consoleへのアクセス権があります。しかし、パートナー管理者ポータル管理者などの一部の管理者にはAdmin Consoleへのアクセス権が必要ない場合があります。スーパー管理者は、パートナー管理者によるAdmin Consoleへのアクセスを許可または拒否することができます。アクセス権が必要ないパートナー管理者からAdmin Consoleアプリを削除しても、そのパートナー管理者が割り当てられているポータルの管理者権限は維持することができます。

Okta Admin Consoleへのアクセスが制限される前にパートナー管理者が作成されていた場合は、Admin Consoleが割り当てられたままになります。そのため、Admin Consoleからパートナー管理者を手動で削除しなければなりません。Admin Consoleへのアクセス制限は、管理者ロール割り当ての構成後に作成された管理者にのみ適用されます。

Admin Consoleのアクセスを制限するには、Admin Consoleへのアクセスを制限するの手順に従ってください。

パートナー管理者ロールをカスタマイズする

orgでパートナー管理者ポータルが有効になっている場合は、Admin Consoleの管理者（Administrators） > ロール（Roles）ページにデフォルトのパートナー管理者（Partner admin）ロールが表示されます。このロールには、パートナー管理者がポータルを管理するために必要なすべての権限があります。このロールの権限は変更できますが、Oktaではいかなる権限も追加しないことを推奨しています。

このロールに付与される権限については、 パートナー管理者ポータル権限を参照してください。ロールを変更するには、ロールを編集するの手順に従ってください。

ユーザーをロールに割り当てる

パートナー管理者に権限を委任するには、以下のタスクを完了する必要があります。

• リソースセットを作成（Create a resource set）します。リソースセットの一部であるレルムを追加します。パートナー管理者がパートナーレルムに対する管理権限を持ってしまうため、Oktaは、パートナー管理者ポータル管理者をパートナーレルムに追加することは推奨しません。

• パートナー管理者（Partner admin）ロールを使用して管理者割り当てを作成します。

  • リソースセットを使用して管理者の割り当てを作成する

  • 管理者を使用して管理者ロールの割り当てを作成する

  • ロールを使用して管理者の割り当てを作成する

パートナー管理者に付与できる権限の詳細については、 パートナー管理者ポータル権限を参照してください。

属性ベースのアクセス制御の実践を確認する

パートナーの委任管理者はグループルールを表示、作成、編集することはできませんが、パートナーユーザーは他のOktaユーザーと同じように操作するため、これらのルールはパートナーユーザーにも適用されます。ユーザーを編集する権限を持つパートナー管理者は、グループルールで使用される属性に値を割り当てることができます。そのため、パートナーユーザーが属すべきでないグループに配置され、アプリ、グループ、およびエンタイトルメントへの不正アクセスが付与される可能性があります。

このリスクを軽減するには、次の手順を実行します。

1. 顧客の管理者ロールで属性条件を使用して、パートナー管理者がグループルールにリンクされた属性を編集したり値を割り当てたりできないようにします。権限条件を参照してください。

   任意で、カスタム属性のデフォルト値（Default values）を設定します。この方法により、org内のどの管理者が特定のアクションを実行できるかを正確に制御できます。Oktaユーザープロファイルにカスタム属性を追加するを参照してください。

2. パートナーユーザーが除外されるようにグループルールを修正します。グループルールの編集を参照してください。

関連項目

外部ユーザーを管理する