Comptes Okta Privileged Access
Okta Privileged Access permet aux utilisateurs d'Okta d'accéder aux serveurs via un compte de serveur local. Ces comptes utilisateur individuels, gérés et créés par Okta sur chaque serveur, sont appelés compte principal de l'utilisateur d'Okta.
Ces comptes de serveur locaux peuvent être créés à la demande ou persister entre les connexions. L'agent Okta Privileged Access installé sur le serveur est responsable de l'ajout et de la suppression de ces comptes.
Le paramètre de compte par défaut est À la demande. Les administrateurs de ressources ou les administrateurs de ressources délégués peuvent activer le compte persistant pour un projet. Un seul compte utilisateur peut être utilisé à la fois.
Compte à la demande
Lorsqu'un utilisateur tente d'accéder à un serveur, Okta Privileged Access crée un compte. Le compte, lorsqu'il est actif, accorde à la demande des autorisations utilisateur standard aux utilisateurs, mais pas d'autorisations administratives.
Les comptes à la demande sont supprimés si l'utilisateur se déconnecte, perd l'accès au serveur ou si sa demande d'accès a expiré. Sur les serveurs Windows, le compte utilisateur associé à la session et son répertoire personnel sont supprimés à l'expiration du compte. Cette opération se traduit également par la suppression de toutes les données stockées dans le répertoire personnel de l'utilisateur.
Pour que l'utilisateur puisse se connecter à un serveur via un bastion ou une passerelle Okta Privileged Access, le serveur doit être accessible via le port 4421 du bastion ou de la passerelle. Toutefois, pour les connexions directes, le serveur doit être accessible via le port 4421 sur le client. Consultez la section Configurer l'agent du serveur Okta Privileged Access.
Compte persistant
Okta Privileged Access n'empêche pas un utilisateur disposant d'autorisations accordées par le biais de la politique de sécurité d'effectuer des actions qu'un utilisateur ordinaire du système d'exploitation peut effectuer. Cela inclut l'ajout de clés SSH au fichier ~/.ssh/authorized_keys dans le répertoire personnel de l'utilisateur sur les systèmes Linux pour pouvoir accéder au système en dehors des politiques de sécurité Okta Privileged Access.
Okta recommande aux administrateurs de ressources d'utiliser cette fonctionnalité avec précaution et de désactiver les comptes persistants si l'accès continu ne convient pas aux utilisateurs affectés à Okta Privileged Access.
Dans Okta Privileged Access, vous avez la possibilité d'activer les comptes persistants pour n'importe quel projet. Une fois activé, un compte local est automatiquement créé sur tous les serveurs du projet pour tous les utilisateurs affectés à Okta Privileged Access. Cette fonctionnalité sera activée quels que soient les paramètres de la politique de sécurité, mais les utilisateurs ne pourront accéder au serveur à l'aide de ces comptes que si l'accès leur a été accordé par le biais d'une politique de sécurité.
Lorsqu'un utilisateur se connecte à l'un de ces serveurs, il utilise le compte qui correspond à son nom d'utilisateur dans Okta Privileged Access. Le nom d'utilisateur dépend du système d'exploitation du serveur et peut être unix_nomdutilisateur ou windows_nomdutilisateur. Consultez la section Attributs d'utilisateur pour obtenir de plus amples informations.
Lorsque vous activez un compte persistant puis le désactivez, tous les comptes utilisateur gérés par Okta sont supprimés. Si plusieurs utilisateurs ont des attributs identiques, par exemple unix_uid, unix_nomdutilisateur, ou windows_nomdutilisateur, Okta Privileged Access ne pourra pas déterminer à quel utilisateur ce nom d'utilisateur ou cet UID doit être attribué. De ce fait, un message d'avertissement s'affiche dans le projet. Ces utilisateurs ne seront synchronisés avec aucun serveur tant qu'un administrateur n'aura pas pris de mesures correctives pour rendre leurs attributs uniques.
Pour configurer des comptes persistants pour un projet, activez le paramètre Cycle de vie du compte dans un projet à tout moment.