Passerelle Okta Privileged Access haute disponibilité

Les passerelles utilisent une multitude de techniques pour garantir une haute disponibilité, offrant ainsi un plus haut niveau de fiabilité que les bastions SSH habituels :

Équilibrage de charge des passerelles

Pour les projets qui comportent plusieurs passerelles, Okta Privileged Access achemine le trafic par une seule passerelle sélectionnée aléatoirement lorsqu'un client se connecte à un serveur. Cela permet à Okta Privileged Access d'équilibrer les requêtes dans toute passerelle disponible.

Si une passerelle précise devient indisponible, Okta Privileged Access pourra continuer à acheminer les requêtes vers la passerelle pendant cinq minutes. Au cours de cet intervalle, toutes les requêtes échoueront. Une fois les cinq minutes passées, Okta Privileged Access retire la passerelle du pool et commence les connexions de routage aux autres passerelles disponibles.

Pour garantir le bon traitement des requêtes, vous devez configurer un équilibrage de charge des passerelles comme vous le feriez pour un serveur d'application Web derrière un équilibreur de charge. Pour ce faire, il convient habituellement de réaliser les tâches suivantes :

  • S'assurer que le client peut se connecter à l'équilibreur de charge (port 7234 par défaut).
  • S'assurer que l'équilibreur de charge peut se connecter aux passerelles (port 7234 par défaut).
  • S'assurer que les passerelles peuvent se connecter à vos serveurs cibles (port 22 par défaut).
  • Configurer chaque passerelle pour que toutes utilisent la même adresse AccessAddress. Elle doit correspondre au nom de domaine ou à l'IP statique utilisés pour accéder à l'équilibreur de charge.

Les différents ports sont traités comme des adresses différentes pour la connexion des clients et pour la validation de l'identité d'une passerelle. Les certificats hôtes pour plusieurs passerelles sont considérés comme valides s'ils partagent la même adresse par défaut. La détection s'effectue en utilisant les métadonnées des instances cloud pour les serveurs hébergés sur Amazon Web Services ou Google Cloud Provider.

Après avoir configuré les passerelles derrière un équilibreur de charge, Okta recommande d'ajouter des contrôles d'intégrité supplémentaires pour retirer les passerelles des pools lorsqu'elles deviennent défectueuses ou inaccessibles.

  • S'assurer que les passerelles écoutent le bon port (7234 par défaut).
  • S'assurer que les passerelles disposent de suffisamment d'espace pour stocker les journaux.
  • S'assurer que l'utilisation du processeur et de la mémoire de la passerelle est normale.

Reportez-vous à la documentation de votre fournisseur de cloud ou de votre équilibreur de charge pour obtenir plus d'informations sur le meilleur moyen de mettre en œuvre des contrôles d'intégrité pour vos outils et plateformes.

Vérification de statut des passerelles

Les passerelles envoient automatiquement un rapport sur le statut d'intégrité à Okta Privileged Access toutes les deux minutes. Ce statutest utilisé pour obtenir de précieuses informations qui aident à contrôler le routage du trafic lorsque les utilisateurs tentent de se connecter à un serveur.

Si Okta Privileged Access ne reçoit pas le statut d'une passerelle précise pendant plus de cinq minutes, la passerelle sera retirée du pool, et les connexions seront envoyées vers d'autres passerelles disponibles. De même, si Okta Privileged Access ne reçoit aucun rapport de statut de la part des passerelles pendant cinq minutes, les connexions seront envoyées vers la passerelle qui a produit le rapport le plus récent. Cependant, si Okta Privileged Access ne reçoit aucun rapport de statut de la part des passerelles pendant 24 heures, toutes les tentatives de connexion échoueront, et vous devrez probablement effectuer une configuration ou des tâches de dépannage supplémentaires.

Vous pouvez trouver les données les plus récentes relatives à l'état en consultant les détails de la passerelle depuis le tableau de bord Okta Privileged Access.

Configurer un contournement de passerelle temporaire

Dans le cas peu probable où l'ensemble de vos passerelles seraient inaccessibles, vous pouvez configurer un accès aux serveurs qui contourne les passerelles, mais qui autorise néanmoins les connexions restreintes et vérifiées :

  1. Créez un groupe Okta Privileged Access temporaire qui contient uniquement les utilisateurs qui ont besoin d'un accès temporaire.
  2. Déterminez le projet où le serveur est inscrit et retirez tous les groupes.
  3. Ajoutez le groupe temporaire au projet.

Le nouveau groupe est synchronisé avec les serveurs. Ce processus peut prendre quelques minutes, au bout desquelles les membres du groupe temporaire pourront accéder au serveur. Une fois l'incident résolu, vous devez manuellement restaurer les groupes d'origine.

La capture de session est impossible pour les connexions qui contournent la passerelle. Cependant, les informations concernant le temps utilisateur et le temps de connexion seront tout de même enregistrées dans le journal d'audit d'Okta Privileged Access.

Dépanner une passerelle

Les équipes peuvent dépanner les passerelles en installant l'agent du serveur Okta Privileged Access et en inscrivant la passerelle à un projet qui ne nécessite pas de passerelle. Sous réserve que le serveur soit actif et accessible, les utilisateurs qui font partie du projet associé peuvent se connecter à la passerelle via SSH.

Rubriques liées

Installer la passerelle Okta Privileged Access

Projets