Advanced Server Accessのコンポーネント
Advanced Server Accessのデプロイメントには、次のコンポーネントの組合せが含まれています。
| コンポーネント | 説明 |
|---|---|
| Teams(チーム) | チームは、特定のデプロイメントのすべてのリソースを含んでいる最上位レベルのコンテナです。各チームには一意の名前があり、IDプロバイダー(IdP)が関連付けられます。
Advanced Server Accessのその他すべての構成オブジェクトは特定のチームを対象とします。 |
| Groups(グループ) | グループは、関連付けられた一連の権限を持つユーザーの集合です。各展開ごとに、2種類のデフォルトグループ、全員および所有者が作成されます。 グループには、1つまたは複数のチームの役割を割り当てることができます。グループのすべてのメンバーは、割り当てられた役割を継承します。 |
| Projects(プロジェクト) | プロジェクトは、Active Directoryのドメインに類似する権限承認のスコープです。各プロジェクトは、リソースの集合(ユーザーとサーバーを含む)を、ロールベースのアクセス制御(RBAC)とアクセスポリシーを含む一連の構成に関連付けます。 |
| Dynamic Credentials(動的資格情報) | Advanced Server Accessの資格情報は、プロジェクトリソースへのアクセスの提供に使用される、短時間のみ有効な一時的オブジェクトです。チームは、プロジェクトを、これらの一時的資格情報を発行するためのプログラミング可能な認証局と考えることができます。基準レベルでは、証明書に以下の情報が含まれます。
|
| ユーザー | ユーザーは、チームに属し、認証にチームのIdPを使用する個人です。Advanced Server Accessは、グループメンバーシップに基づいてユーザー権限を定義します。
ユーザーは、クライアントインベントリへのクライアントの追加を承認し、クライアントが資格情報を受信できるようにします。 |
| サービスユーザー | サービスユーザーは、実際の人物に関連付けられない特別なアカウントです。チームは、サービスユーザーを使用することで、Advanced Server Access APIを使ってアクションを自動化したり、Advanced Server Accessプラットフォームにおける特定操作へのアクセス権を付与したりできます。「サービスユーザー」をご覧ください。 |
| クライアント | Advanced Server Accessクライアントは、ワークステーションにインストールされているコマンドラインツールです。ユーザーがクライアントをインストールしてAdvanced Server Accessプロジェクトに登録すると、クライアントは同一プロジェクトに登録されているサーバーリソースへのアクセスを提供します。「Advanced Server Accessクライアント」をご覧ください。 |
| Servers(サーバー) | Advanced Server Accessサーバーエージェントは、Advanced Server Accessプロジェクトに登録されているリモートサーバーへのSSH(セキュアシェル)およびRDP(リモートデスクトッププロトコル)アクセスを制御します。
サーバーは、単一のプロジェクトにのみ登録されます。チームは、関連付けられているクラウドアカウントを使用して自動的に、または登録トークンを使用して手動でサーバーをプロジェクトに登録できます。「Advanced Server Accessエージェント」をご覧ください。 |
| Server user accounts(サーバーのユーザーアカウント) | Advanced Server Accessのサーバーエージェントは、WindowsサーバーおよびLinuxサーバー上のユーザーアカウントを管理します。
Oktaでユーザーが非アクティブ化されると、サーバーエージェントがサーバー上のすべての関連ユーザーアカウントを削除することにより、不要なアクセスを防ぎます。 |
| Entitlements(権限) | 権限は、管理者以外のユーザーが、スーパーユーザー権限の付与なしで特定のSudoコマンドを使用できるようにします。
チームは、ユーザーが属するグループに基づいて階層化された権限体系を作成できます。 |
| Attributes(属性) | 属性は、ユーザーとグループの各種特性を指定します。これには、UnixまたはWindowsのユーザー名、UID、GIDが含まれる場合があります。
チームは、事前定義のパラメータに関する属性を生成できます。管理者は、チームのユーザーとグループの属性を完全な権限によって制御でき、これらの属性を変更することで、既存のデプロイメントにおける属性の競合を回避または解決できます。 |