Exigences et limites

Version en accès anticipé

Vérifiez les informations suivantes avant d'utiliser Okta Privileged Access pour gérer vos comptes Active Directory (AD) :

• Contactez l'assistance clientèle Okta pour activer cette fonctionnalité.

• Un agent AD doit être exécuté sur votre domaine cible. Consultez la section Installer l'Active Directory Agent Okta. Dans la section Connecter une unité organisationnelle à Okta, sélectionnez les unités organisationnelles (OU) qui possèdent des comptes AD disposant de privilèges.

  Si une règle cible une OU qui n'est pas sélectionnée dans l'Okta Admin Console, elle est sans effet.

• Accordez au compte de service de l'Okta AD Agent les autorisations nécessaires pour modifier les mots de passe des comptes AD disposant de privilèges. Consultez la section Accorder à l'agent Okta Active Directory (AD) des autorisations de gestion des mots de passe.

• Les comptes AD disposant de privilèges doivent se trouver dans des OU qui contiennent uniquement ce type de comptes. Ces OOU u ne doivent pas inclure de comptes utilisateur standard ou de comptes n'étant pas destinés à la gestion par Okta Privileged Access. Si des comptes AD disposant de privilèges se trouvent dans la même OU que des comptes utilisateur standard, ils devront être déplacés vers une OU distincte avant qu'Okta Privileged Access puisse les gérer.

• Les administrateurs Okta doivent collaborer avec les administrateurs Okta Privileged Access pour s'assurer que les OU qui contiennent des comptes AD disposant de privilèges sont sélectionnées avec précision dans l'Admin Console et correctement configurées avec les règles de gestion dans Okta Privileged Access.

• Okta recommande de désactiver le domaine AD dans Okta Privileged Access avant qu'un administrateur Okta ne supprime l'intégration d'application d'Okta Admin Console. La désactivation ou la suppression de l'application Okta supprime toutes les entrées d'Okta Privileged Access.

• L'authentification déléguée avec des comptes gérés n'est pas encore prise en charge.

• L'Okta AD Agent effectue des opérations de réinitialisation de mot de passe et doit se trouver sur des hôtes hautes performances bien connectés aux contrôleurs de domaine Active Directory. Consultez la section Exigences relatives aux hôtes de l'AD Agent.

• Le mot de passe d'un compte Active Directory doit être modifié au moins une fois avant de pouvoir être utilisé pour des sessions RDP.

Exigences relatives aux hôtes de l'AD Agent

• Vérifiez les exigences en matière de ports réseau pour la communication de l'hôte de l'AD Agent avec les contrôleurs de domaine. Consultez la section Configurer les ports du serveur DMZ pour les intégrations Active Directory.

• Assurez-vous que les hôtes de l'AD Agent sont correctement dimensionnés. Les hôtes de l'AD Agent doivent disposer au minimum de 2 UC et 8 Go de RAM et doivent être connectés aux contrôleurs de domaine via un réseau à haut débit.

• Assurez-vous que le nombre d'hôtes de l'AD Agent est suffisant pour le type et la taille de l'environnement. Les environnements de production doivent disposer de plusieurs AD Agents pour assurer une haute disponibilité et la récupération d'urgence.

  • L'AD Agent est minimal.

  • L'AD Agent est recommandé pour les environnements multi-utilisateurs.

  • AD Agents + - : s'il y a plus de 30 000 utilisateurs, déployez un minimum de trois AD Agents.

• Pensez à augmenter le nombre de threads d'interrogation. Consultez la section Modifier le nombre de threads de l'Active Directory Agent Okta.

• L'AD Agent doit être exécuté sur un système d'exploitation pris en charge.

Rubriques liées

Configurer les domaines Active Directory

Règles de compte Active Directory

Ajouter des règles à une politique