Configurer les appels de gestion du cycle de vie de l'agent pour Okta Privileged Access
Les appels de cycle de vie Okta Privileged Access exposent un bus d‘événements sur vos serveurs qui est notifié lorsqu‘un administrateur met à jour les utilisateurs en local et les configurations de groupe. Les administrateurs Okta Privileged Access peuvent personnaliser ces appels de cycle de vie grâce à des scripts qui s‘adapteront à toutes les tâches de routine devant être exécutées lorsque ces modifications sont apportées. Les appel exécutent des scripts pour tous les fichiers correspondants dans le répertoire des appels configurés. Vous pouvez découvrir quels objets du système d‘exploitation sont affectés en fonction de l‘événement et voir quels scripts sont en cours d‘exécution. Voir la page dédiée aux Répertoires et scripts et aux Variables d'environnement relatives au cycle de vie.
Option de configuration
L‘option AccountLifecycleHooksDir dans sftd.yaml spécifie le répertoire depuis lequel l‘agent Okta Privileged Access charge les scripts d‘appel de cycle de vie. Les chemins par défaut suivants s‘appliquent si cette option n‘est pas définie :
| Système d'exploitation | Répertoire des appels par défaut |
|---|---|
| Linux et macOS | /usr/lib/sftd/hooks |
| Windows | C:\Program Files\ScaleFT\hooks |
Pour remplacer les paramètres par défaut, ajoutez l‘option AccountLifecycleHooksDir à sftd.yaml avec le chemin d‘accès au répertoire de vos appels :
AccountLifecycleHooksDir: /path/to/your/hooks
Si sftd est installé dans un emplacement non standard, l‘agent ne peut pas déterminer automatiquement le répertoire des appels. Définissez AccountLifecycleHooksDir explicitement dans sftd.yaml avant de procéder à la mise à niveau pour vous assurer que les appels de cycle de vie continuent de s‘exécuter après la mise à niveau.
Procédure
Les étapes suivantes vous permettront de configurer le serveur hôte pas-à-pas.
Tout d'abord, assurez-vous qu'une session Okta Privileged Access active est ouverte, et que vous disposez des droits d'administrateur sur votre serveur Linux cible.
Créer un script personnalisé
-
Depuis la ligne de commande, utilisez SSH pour vous connecter à l'un des serveurs Linux cibles.
-
Passez en mode root en exécutant la commande
sudo su. -
Créez un nouveau répertoire pour le script hooks en utilisant la commande suivante :
mkdir -p /usr/lib/sftd/hooks/user-created.d -
À l'aide d'un éditeur de texte, créez un nouveau fichier portant le nom
01-copyfiles.shet copiez-collez le script bash suivant :Remarque : l'exemple ci-dessous présente les fonctionnalités de base des appels de cycle de vie de l'agent. Si nécessaire, modifiez le script pour qu'il corresponde à votre propre intégration.
#!/bin/bash SOURCE_FILES=/opt/sourcefiles cp $SOURCE_FILES/App?/home/"${SFT_HOOK_USERNAME}" if [ $? -eq 0 ] then echo "Successfully copied source files into /home/"${SFT_HOOK_USERNAME}"" >> /tmp/sourcefiles.out else echo "Error Copying source files into /home/"${SFT_HOOK_USERNAME}"" >> /tmp/sourcefiles.out -
Accordez au script la permission d'accéder à l'exécution :
chmod 755 01-copyfiles.sh -
Exécutez la commande
ls -let vérifiez que les permissions ont bien été configurées. Le résultat doit être le suivant :-rwxr-xr-x 1 root root 316 Jun 30 14:54 01-copyfiles.sh
Créer des fichiers source
-
Créez un répertoire pour les fichiers source en exécutant les commandes suivantes :
cd /opt mkdir sourcefiles -
Créez ensuite les fichiers source à l'aide des commandes suivantes :
cd sourcefiles touch App1 App2 App3 -
Exécutez la commande
lset vérifiez que les fichiersApp1,App2, etApp3ont bien été créés.
Créer un utilisateur Okta et l'affecter à un groupe autorisé
- En tant qu'administrateur Okta, accédez au Admin Dashboard du Tenant Okta qui gère votre application Okta Privileged Access.
- Accédez à Applications et cliquez sur Okta Okta Privileged Access .
- Cliquez sur Affectations, puis sur Groupes. Mémorisez le nom du groupe qui a été affecté à l'application.
- Dans l'Admin Console Okta, sélectionnez Directory, Personnes puis Ajouter une personne.
- Créez un utilisateur et donnez-lui un nom facile à mémoriser.
- Dans l'Admin Console Okta, accédez au Directory puis cliquez sur Groupes. Lorsque vous serez sur cette page, sélectionnez le groupe qui a été affecté à Okta Privileged Access à l'étape 3.
Valider l'approvisionnement des utilisateurs sur votre serveur Linux
-
Depuis l'invite de commande Linux, saisissez les commandes suivantes :
cd /home ls -l -
Vérifiez que le répertoire personnel de votre nouvel utilisateur a bien été créé.
-
Basculez vers le répertoire personnel du nouvel utilisateur en exécutant
cd <username>.Vous pouvez vérifier que les fichiers
App1,App2etApp3existent bien dans le répertoire personnel de l'utilisateur à l'aide de la commandels.
Ces étapes vous permettront d'utiliser l'agent des appels de cycle de vie de Okta Privileged Access pour que vos utilisateurs et groupes puissent intégrer des automatisations, systèmes ou répertoires d'utilisateur externe en hôte local dans Okta.
Informations liées
Répertoires et scripts
Les répertoires et scripts suivants sont appelés en fonction de l‘événement utilisateur survenu. Les chemins affichés utilisent le répertoire de base par défaut de Linux et macOS. Si AccountLifecycleHooksDir est défini dans sftd.yaml, le répertoire de base diffère en conséquence. Le type d'événement est contenu dans la variable SFT_HOOK_EVENT. Consultez Variables d'environnement relatives au cycle de vie.
-
user-createdLorsqu'un utilisateur est créé, les scripts sont exécutés dans le répertoire suivant :
/usr/lib/sftd/hooks/user-created.d/*.sh. -
user-updatedLorsqu'un utilisateur est mis à jour, les scripts sont exécutés dans le répertoire suivant :
/usr/lib/sftd/hooks/user-updated.d/*.sh. -
user-deletedLorsqu'un utilisateur est supprimé, les scripts sont exécutés dans le répertoire suivant :
/usr/lib/sftd/hooks/user-deleted.d/*.sh.
Variables d'environnement relatives au cycle de vie
| Appel | Variable d'environnement | Contenus |
|---|---|---|
| user-created | SFT_HOOK_EVENT | user-created |
| user-created | SFT_HOOK_USERNAME | alice.smith |
| user-updated | SFT_HOOK_EVENT | user-updated |
| user-updated | SFT_HOOK_USERNAME | alice.smith |
| user-deleted | SFT_HOOK_EVENT | user-deleted |
| user-deleted | SFT_HOOK_USERNAME | alice.smith |