Configurer les appels de gestion du cycle de vie de l'agent pour Okta Privileged Access
La fonctionnalité Appels du cycle de vie Okta Privileged Access permet d'exposer un bus d'événements sur vos serveurs, qui reçoit des notifications lorsque des modifications sont apportées à l'appartenance des utilisateurs et à la configuration des groupes sur vos systèmes Linux. Les administrateurs Okta Privileged Access peuvent personnaliser ces appels de cycle de vie grâce à des scripts qui s'adapteront à toutes les tâches de routine devant être exécutées lorsque ces modifications sont apportées. Des scripts locaux qui correspondent à l'ensemble des fichiers contenus dans le répertoire /usr/lib/sftd/hooks sont également exécutés de manière globale. Vous pouvez détecter les objets du système d'exploitation qui sont concernés en fonction du type d'événement qui se produit et visualiser les scripts qui sont exécutés. Voir la page dédiée aux Répertoires et scripts et aux Variables d'environnement relatives au cycle de vie.
Procédure
Les étapes suivantes vous permettront de configurer le serveur hôte pas-à-pas.
Tout d'abord, assurez-vous qu'une session Okta Privileged Access active est ouverte, et que vous disposez des droits d'administrateur sur votre serveur Linux cible.
Créer un script personnalisé
-
Depuis la ligne de commande, utilisez SSH pour vous connecter à l'un des serveurs Linux cibles.
-
Passez en mode root en exécutant la commande
sudo su. -
Créez un nouveau répertoire pour le script hooks en utilisant la commande suivante :
mkdir -p /usr/lib/sftd/hooks/user-created.d -
À l'aide d'un éditeur de texte, créez un nouveau fichier portant le nom
01-copyfiles.shet copiez-collez le script bash suivant :Remarque : l'exemple ci-dessous présente les fonctionnalités de base des appels de cycle de vie de l'agent. Si nécessaire, modifiez le script pour qu'il corresponde à votre propre intégration.
#!/bin/bash SOURCE_FILES=/opt/sourcefiles cp $SOURCE_FILES/App?/home/"${SFT_HOOK_USERNAME}" if [ $? -eq 0 ] then echo "Successfully copied source files into /home/"${SFT_HOOK_USERNAME}"" >> /tmp/sourcefiles.out else echo "Error Copying source files into /home/"${SFT_HOOK_USERNAME}"" >> /tmp/sourcefiles.out -
Accordez au script la permission d'accéder à l'exécution :
chmod 755 01-copyfiles.sh -
Exécutez la commande
ls -let vérifiez que les permissions ont bien été configurées. Le résultat doit être le suivant :-rwxr-xr-x 1 root root 316 Jun 30 14:54 01-copyfiles.sh
Créer des fichiers source
-
Créez un répertoire pour les fichiers source en exécutant les commandes suivantes :
cd /opt mkdir sourcefiles -
Créez ensuite les fichiers source à l'aide des commandes suivantes :
cd sourcefiles touch App1 App2 App3 -
Exécutez la commande
lset vérifiez que les fichiersApp1,App2, etApp3ont bien été créés.
Créer un utilisateur Okta et l'affecter à un groupe autorisé
- En tant qu'administrateur Okta, accédez au Admin Dashboard du Tenant Okta qui gère votre application Okta Privileged Access.
- Accédez à Applications et cliquez sur Okta Okta Privileged Access .
- Cliquez sur Affectations, puis sur Groupes. Mémorisez le nom du groupe qui a été affecté à l'application.
- Dans l'Admin Console Okta, sélectionnez Directory, Personnes puis Ajouter une personne.
- Créez un utilisateur et donnez-lui un nom facile à mémoriser.
- Dans l'Admin Console Okta, accédez au Directory puis cliquez sur Groupes. Lorsque vous serez sur cette page, sélectionnez le groupe qui a été affecté à Okta Privileged Access à l'étape 3.
Valider l'approvisionnement des utilisateurs sur votre serveur Linux
-
Depuis l'invite de commande Linux, saisissez les commandes suivantes :
cd /home ls -l -
Vérifiez que le répertoire personnel de votre nouvel utilisateur a bien été créé.
-
Basculez vers le répertoire personnel du nouvel utilisateur en exécutant
cd <username>.Vous pouvez vérifier que les fichiers
App1,App2etApp3existent bien dans le répertoire personnel de l'utilisateur à l'aide de la commandels.
Ces étapes vous permettront d'utiliser l'agent des appels de cycle de vie de Okta Privileged Access pour que vos utilisateurs et groupes puissent intégrer des automatisations, systèmes ou répertoires d'utilisateur externe en hôte local dans Okta.
Informations liées
Répertoires et scripts
La liste ci-dessous détaille les répertoires et les scripts qui seront invoqués en fonction de l'événement utilisateur en question. Le type d'événement est contenu dans la variable SFT_HOOK_EVENT. Consultez Variables d'environnement relatives au cycle de vie.
-
user-createdLorsqu'un utilisateur est créé, les scripts sont exécutés dans le répertoire suivant :
/usr/lib/sftd/hooks/user-created.d/*.sh. -
user-updatedLorsqu'un utilisateur est mis à jour, les scripts sont exécutés dans le répertoire suivant :
/usr/lib/sftd/hooks/user-updated.d/*.sh. -
user-deletedLorsqu'un utilisateur est supprimé, les scripts sont exécutés dans le répertoire suivant :
/usr/lib/sftd/hooks/user-deleted.d/*.sh.
Variables d'environnement relatives au cycle de vie
| Appel | Variable d'environnement | Contenus |
|---|---|---|
| user-created | SFT_HOOK_EVENT | user-created |
| user-created | SFT_HOOK_USERNAME | alice.smith |
| user-updated | SFT_HOOK_EVENT | user-updated |
| user-updated | SFT_HOOK_USERNAME | alice.smith |
| user-deleted | SFT_HOOK_EVENT | user-deleted |
| user-deleted | SFT_HOOK_USERNAME | alice.smith |