通常、IdP と SP(情報システムなど)でシングルサインオンを有効・運用するには両方に対して管理者権限が必要です。
初回設定時や SCIM 非対応でのユーザー管理において IdP と SP の両方を操作する必要があります。
しかしながら、IdP と SP の管理者が一緒のケースもあれば管轄部署が異なるケースもあります。
ユーザー管理の都度2者間で調整するのか、SP の管理者に IdP の権限を移譲させるべきなのか、その与えた権限は過剰になっていないかなどを考慮して運用設計しなければなりません。
ここでは Okta における管理権限の移譲について工夫できることをお話させていただこうと思います。