アドバンストサーバーアクセスのコンポーネント

アドバンストサーバーアクセスの展開には、次のコンポーネントの組合せが含まれています。

コンポーネント

説明

Teams (チーム)

すべてのアドバンストサーバーアクセスの展開の最初のステップはチームの作成です。チームは、特定の展開のすべてのリソースを含んでいる最上位レベルのコンテナであると見なすことができます。

Groups (グループ)

グループは、関連付けられた一連の権限を持つユーザーの集合です。各展開ごとに、2種類のデフォルトグループ、全員および所有者が作成されます。グループには、1つまたは複数のチームの役割を割り当てることができます。グループのメンバーは、グループのすべての役割と権限を継承します。

Projects (プロジェクト)

プロジェクトは、アクティブディレクトリのドメインに類似する権限承認の範囲です。各プロジェクトは、リソースの集合(ユーザーとサーバーを含む)を、役割ベースのアクセス制御(RBAC)とアクセスポリシーを含む一連の構成に関連付けます。

Users (ユーザー)

ユーザーは、チームに所属する個人です。アドバンストサーバーアクセスにおけるユーザーの権限は、グループのメンバーシップによって決定されます。ユーザーは、クライアントインベントリへのクライアントの追加を承認し、クライアントが認証情報を受信できるようにします。

Service user (サービスユーザー)

アドバンストサーバーアクセスは、信頼できるサービスにインフラストラクチャへのアクセスを許可するなど、アドバンストサーバーアクセスプラットフォームの特定の操作にアクセスする権限が付与された、サービスユーザーを作成することで自動化をサポートしています。サービスユーザーは、それ以外のユーザー(非サービスユーザー)と同様の手順でグループに追加できます。ただし、サービスユーザーは、認証目的でAPI キーを使用する点で非サービスユーザーと異なっています。

Clients (クライアント)

ユーザーはチームに登録されているサーバーに接続する手順として、アドバンストサーバーアクセスクライアントをワークステーションにインストールして登録します。クライアントは、ほぼバックグラウンドで実行し、ワークステーションからのクライアントの統合と認証の管理を可能にする、マルチプラットフォームのデスクトップアプリケーションであるコマンドラインツールです。

Servers (サーバー)

SSHおよびRDPアクセスは、アドバンストサーバーアクセスのサーバーエージェントによって管理されます。サーバーがアドバンストサーバーアクセスのプロジェクトに登録され、エージェントがサーバー上にインストールされた後、ユーザーによるサーバーへのアクセスが承認可能になります。各サーバーは、1つのプロジェクトにのみ登録できます。サーバーのアドバンストサーバーアクセスのプロジェクトへの登録は、クラウドアカウントをプロジェクトに関連付けることで自動登録されるか、または登録トークンを使用して実行します。

サーバーのユーザーアカウント

アドバンストサーバーアクセスのサーバーエージェントは WindowsおよびLinuxサーバー上のユーザーアカウントを管理します。Oktaでユーザーが非アクティブ化されると、サーバーエージェントがすべての関連サーバーのユーザーアカウントを削除することにより、不要なアクセスを防ぎます。

Entitlements (権限)

Sudo資格を作成すると、管理者以外のユーザーに、管理者が保持するレベルの制御を付与せずに特定のsudoコマンドの使用を許可するよう構成できます。アドバンストサーバーアクセス管理者は、ユーザーが属するグループに基づいて、ユーザーが実行できる的確なコマンドを指定して、階層化された許可体系を作成することができます。

Attributes(属性)

属性は、UnixおよびWindowsユーザー名、UID、GIDなど、ユーザーおよびグループのさまざまな特性を指定する構成設定です。これらの属性は、事前定義されたパラメータに従うことで作成できます。管理者は、チームのユーザーとグループのすべての属性を完全に掌握して制御でき、既存の展開における属性の競合を回避または解決するよう、これらの属性を変更することができます。

関連項目

アドバンストサーバーアクセスをインストールしてチームを作成する