Élévation privilégiée
En tant administrateur de sécurité Okta Privileged Access, vous devrez peut-être décider quels membres de l'équipe peuvent disposer des autorisations administrateur complètes sur certains serveurs.
Lorsqu'un utilisateur se voit accorder l'accès à un serveur, un compte local est créé pour l'utilisateur, avec des autorisations utilisateur par défaut. Avec l'élévation privilégiée, l'administrateur de sécurité Okta Privileged Access peut éventuellement décider d'accorder à l'utilisateur un accès de niveau administrateur au serveur.
Une fois l'élévation privilégiée activée, les utilisateurs peuvent accéder au serveur grâce aux méthodes suivantes :
- Accès RDP aux serveurs Windows : le compte utilisateur est ajouté au groupe des administrateurs locaux, ce qui permet d'accorder toutes les autorisations d'administrateur local lors de la connexion.
- Accès SSH aux serveurs Linux : sudo est configuré sur le serveur Linux pour accorder à l'utilisateur Okta l'ensemble des privilèges sudo lors de la connexion.
Règles d'élévation privilégiée
- Seuls les administrateurs de sécurité Okta Privileged Access peuvent activer l'élévation privilégiée.
- Lorsqu'un utilisateur a une session non administrateur active sur un serveur, puis initie une session administrateur sur le même serveur, la session non administrateur est automatiquement terminée. Cependant, les sessions actives qui disposent du même niveau d'autorisation que la nouvelle session restent inchangées.
- S'il n'y a qu'une seule politique qui accorde des permissions administrateur par le biais d'une élévation privilégiée, l'utilisateur est directement connecté au serveur. S'il existe plusieurs politiques, l'utilisateur doit sélectionner le serveur auquel il souhaite se connecter en SSH ou RDP.
- Le port 4421 est requis pour utiliser l'élévation privilégiée pour un compte persistant.
- Okta Privileged Access sécurise les comptes locaux sur les serveurs, notamment les comptes individuels et les comptes sécurisés. Cependant, l'élévation privilégiée n'est disponible que pour les comptes individuels que Okta Privileged Access gère pour chaque utilisateur. Okta ne gère pas l'élévation du privilège pour les comptes stockés dans des coffres-forts.
Activer l'élévation privilégiée
Pour activer l'élévation privilégiée, consultez Créer ou mettre à jour une politique de sécurité.