SFTキーリング

SFTキーリングを有効にすると、state.jsonファイル内のすべてのプレーンテキストトークンが暗号化されます。システムで設定されたSFTキーリングは、ユーザーがOkta Privileged Accessにログインするか、サーバーにアクセスを試みると自動的に更新されます。

アクティブ化されたSFTキーリングを元に戻すことはできません。Okta Privileged Accessは、暗号化機能を備えていないcompatキーリングをすべてのオペレーティングシステム向けに採用しています。デフォルトのcompatキーリングに戻すには、ユーザーは登録し直して再ログインする必要があります。

開始する前に

SFTキーリングはアクセストークンを暗号化します。トークンを復号するためのキーを使用できなければ、復号は不可能です。これにより、未承認のデータ流出を防ぐことができます。
LinuxのSFTキーリングは、D-Busを使ってデスクトップに固有のSecretServiceに接続し、アクセストークンをプロアクティブに保護します。sftが、ロック解除されたSecretServiceにアクセスできない場合、これらのトークンを復号できなくなります。このために、デスクトップと非デスクトップの両方でLinuxを使用している場合、非デスクトップモードではトークンがロックアウトされる可能性があります。これを回避するには、シェル初期化スクリプトでSFT_KEYRINGをcompatに設定してから再登録することで、非セキュアなコンパクトキーリングを使用できます。

キーリングのセットアップ

SFTキーリングは、すべてのデバイスに構成する必要があります。オペレーティングシステムはデフォルトのキーリングを備えており、最も適切なキーリングを決定します。構成でsystem変数を使用すると、オペレーティングシステムは最適なキーリングを自動的に選択します。

macOS

macOSでは、SFTキーリングはデフォルトで暗号化します。ユーザーのデフォルトフレームワークを使ってキーリングを設定できます。

$ defaults write com.scaleft.ScaleFT SFTKeyring system

環境変数を設定してキーリングを有効化することもできます。

export SFT_KEYRING=system

両方が設定されている場合、環境変数が優先されます。

暗号化を無効にするには、環境変数でsystemの代わりにcompatを使用してチームに登録し直します。

Windows

Windowsでは、SFTキーリングはデフォルトで暗号化します。レジストリを使ってキーリングを設定できます。

HKEY_LOCAL_MACHINE\Software\ScaleFT\SFT\Keyring

HKEY_CURRENT_USER\Software\ScaleFT\SFT\Keyring

SFT_KEYRING環境変数を使ってキーリングを設定することもできます。

HKEY_LOCAL_MACHINEは、環境変数とCURRENT_USERエントリの両方に優先します。環境変数はCURRENT_USERエントリに優先します。

暗号化を無効にするには、レジストリキーをsystemの代わりにcompatに設定してチームに登録し直します。

FreeBSD / Linux

FreeBSDとLinuxでは、キーリングはD-Busデスクトップ環境のみで機能します。Linuxではデフォルトの暗号化方式はsystemですが、FreeBSDではcompatです。

SFT_KEYRING環境変数をcompatまたはsystemに設定する、または更新するには、シェルスクリプトに次の内容を追加します。