Configurer les appels de gestion du cycle de vie de l'agent pour Okta Privileged Access

La fonctionnalité Okta Privileged Access permettant de créer des appels de cycle de vie déploie un bus d'événements sur vos serveurs. Il est notifié lorsque des modifications concernant les appartenances sont apportées à des utilisateurs locaux et aux configurations des groupes sur les systèmes Linux. Les administrateurs Advanced Server Access peuvent personnaliser ces appels de cycle de vie grâce à des scripts qui s'adapteront à toutes les tâches de routine devant être exécutées lorsque ces modifications sont apportées. Des scripts locaux qui correspondent à l'ensemble des fichiers contenus dans le répertoire /usr/lib/sftd/hooks sont également exécutés de manière globale. Vous pouvez détecter les objets du système d'exploitation qui sont concernés en fonction du type d'événement qui se produit et visualiser les scripts qui sont exécutés. Consultez les sections Répertoires et scripts et Configurer les appels de gestion du cycle de vie de l'agent pour Okta Privileged Access.

Procédure

Les étapes suivantes vous permettront de configurer le serveur hôte pas-à-pas.

Tout d'abord, assurez-vous qu'une session Okta Privileged Access active est ouverte, et que vous disposez des droits d'administrateur sur votre serveur Linux cible.

Créer un script personnalisé

  1. Depuis la ligne de commande, utilisez SSH pour vous connecter à l'un des serveurs Linux cibles.

  2. Passez en mode root en exécutant la commande sudo su.

  3. Créez un nouveau répertoire pour le script hooks en utilisant la commande suivante :

    mkdir -p /usr/lib/sftd/hooks/user-created.d

  4. À l'aide d'un éditeur de texte, créez un nouveau fichier portant le nom 01-copyfiles.sh et copiez-collez le script bash suivant :

    Remarque : l'exemple ci-dessous présente les fonctionnalités de base des appels de cycle de vie de l'agent. Si nécessaire, modifiez le script pour qu'il corresponde à votre propre intégration.

    #!/bin/bash SOURCE_FILES=/opt/sourcefiles cp $SOURCE_FILES/App?/home/"${SFT_HOOK_USERNAME}" if [ $? -eq 0 ] then echo "Successfully copied source files into /home/"${SFT_HOOK_USERNAME}"" >> /tmp/sourcefiles.out else echo "Error Copying source files into /home/"${SFT_HOOK_USERNAME}"" >> /tmp/sourcefiles.out

  5. Accordez au script la permission d'accéder à l'exécution :

    chmod 755 01-copyfiles.sh

  6. Exécutez la commande Is-I et vérifiez que les permissions ont bien été configurées. Le résultat doit être le suivant :

    -rwxr-xr-x 1 root root 316 Jun 30 14:54 01-copyfiles.sh

Créer des fichiers source

  1. Créez un répertoire pour les fichiers source en exécutant les commandes suivantes :

    cd /opt mkdir sourcefiles

  2. Créez ensuite les fichiers source à l'aide des commandes suivantes :

    cd sourcefiles touch App1 App2 App3

  3. Exécutez la commande Is et vérifiez que les fichiers App1, App2, et App3 ont bien été créés.

Créer un utilisateur Okta et l'assigner à un groupe autorisé

  1. En tant qu'administrateur Okta, accédez au Admin Dashboard du client Okta qui gère votre application Advanced Server Access.
  2. Accédez à Applications et cliquez sur OktaOkta Privileged Access.
  3. Cliquez sur Affectations, puis sur Groupes. Mémorisez le nom du groupe qui a été affecté à l'application.
  4. Dans l'Admin Console Okta, sélectionnez Directory, Personnes puis Ajouter une personne.
  5. Créez un utilisateur et donnez-lui un nom facile à mémoriser.
  6. Dans l'Admin Console Okta, accédez au Directory puis cliquez sur Groupes. Lorsque vous serez sur cette page, sélectionnez le groupe qui a été affecté à Okta Privileged Access à l'étape 3.

Valider l'approvisionnement des utilisateurs sur votre serveur Linux

  1. Depuis l'invite de commande Linux, saisissez les commandes suivantes :

    cd /home ls -l

  2. Vérifiez que le répertoire personnel de votre nouvel utilisateur a bien été créé.

  3. Basculez vers le répertoire personnel du nouvel utilisateur en exécutant cd <username>.

    Vous pouvez vérifier que les fichiers App1, App2 et App3 existent bien dans le répertoire personnel de l'utilisateur à l'aide de la commande Is.

Ces étapes vous permettront d'utiliser les appels de cycle de vie de l'agent Okta Privileged Access pour intégrer à vos utilisateurs et groupes des automatisations, systèmes ou répertoires d'utilisateur externe en hôte local dans Okta.

Informations liées

Répertoires et scripts

La liste ci-dessous détaille les répertoires et les scripts qui seront invoqués en fonction de l'événement utilisateur en question. Le type d'événement est contenu dans la variable SFT_HOOK_EVENT. Consultez la section Variables d'environnement relatives au cycle de vie.

  • user-created

    Lorsqu'un utilisateur est créé, les scripts sont exécutés dans le répertoire suivant : /usr/lib/sftd/hooks/user-created.d/*.sh.

  • user-updated

    Lorsqu'un utilisateur est mis à jour, les scripts sont exécutés dans le répertoire suivant : /usr/lib/sftd/hooks/user-updated.d/*.sh.

  • user-deleted

    Lorsqu'un utilisateur est supprimé, les scripts sont exécutés dans le répertoire suivant : /usr/lib/sftd/hooks/user-deleted.d/*.sh.

Variables d'environnement relatives au cycle de vie

Appel Variable d'environnement Contenus
user-created SFT_HOOK_EVENT user-created
user-created SFT_HOOK_USERNAME alice.smith
user-updated SFT_HOOK_EVENT user-updated
user-updated SFT_HOOK_USERNAME alice.smith
user-deleted SFT_HOOK_EVENT user-deleted
user-deleted SFT_HOOK_USERNAME alice.smith