Oktaサービスアカウントの権限について
ディレクトリの権限を調整する前に、Active Directoryの権限がどのように設定されているかを理解して、環境内で権限をどのように管理するかを計画してください。
既存のアカウントが選択されていない場合、Okta ADエージェントインストーラーはデフォルトで新しいOktaサービスアカウントを作成します。新しく作成されたOktaServiceアカウントは、Domain Userグループの権限を継承します。また、OktaServiceは、エージェントの実行時にAuthenticated UsersとEveryoneの特別なIDグループのメンバーとみなされます。デフォルトで、Authenticated UsersグループはWindows 2000以前と互換性のあるアクセスグループのメンバーです。Windows 2000以前と互換性のあるアクセスグループからAuthenticated Usersグループを削除すると、増分インポートの問題が発生する可能性があります。増分インポートの問題を解決するために、以下の変更のいずれかを行うことを推奨します:
-
OktaServiceアカウントをWindows 2000以前と互換性のあるアクセスグループに追加します。
-
OktaServiceアカウントに、すべての同期されたActive Directoryオブジェクトに対するすべての読み取り権限があることを確認します。
Okta AD Agent Management Utilityには、OktaServiceアカウントをDomain Adminsグループ追加するオプションも含まれます。 以下の機能が必要であるが、サービスアカウントを完全な管理者にしたくない場合は、次の権限が設定されていることを確認します。
ユーザーのプロビジョニング
- 移行先のOUのユーザーオブジェクト用の子の作成権限が必要です。
- 移行先のOU内のユーザーオブジェクトに対するパスワード管理アクセス権限のリセット権限が必要です。
- 以下の属性で、移行先のOU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
- userPrincipalName
- SAMaccountName
- givenName
- sn
- userAccountControl
- pwdLastSet
- lockoutTime
- cn
- name
- Okta https://<org>/admin/universaldirectory内のADユーザープロファイルにマッピングされている他のすべての属性で、移行先のOU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
ユーザー属性を更新
- 以下の属性で、移行先のOU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
- userPrincipalName
- SAMaccountName
- givenName
- sn
- userAccountControl
- pwdLastSet
- lockoutTime
- cn
- name
- Okta https://<org>/admin/universaldirectory内のADユーザープロファイルにマッピングされている他のすべての属性で、移行先のOU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
グループプッシュ
- 移行先のOUのグループオブジェクト用の子の作成権限が必要です。
- 移行先のOUのグループオブジェクト用の子の削除権限が必要です。
- 以下の属性で、移行先のOU内のグループオブジェクトに対するプロパティ書き込み権限が必要です。
- sAMAccountName
- description
- groupType
- member
- cn
- name
パスワードの設定、パスワードを忘れた場合、パスワードの同期
- 以下の属性で、移行先のOU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
- lockoutTime
- pwdLastSet
- 移行先のOU内のユーザーオブジェクトに対するパスワード管理アクセス権限のリセット権限が必要です。
ユーザーのアクティベートとディアクティベート
- 以下の属性で、移行先のOU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
- userAccountControl
リファレンスコマンドを使用して権限を追加する
次のコマンドを使用して、ここに記載された権限を追加できます。これをバッチファイルに保存して、移行先のOUとサービスアカウントの情報を環境で適切なものに変更します。不要な権限を削除して、Okta内でプロビジョニング用にマッピングした属性を追加することを忘れないでください。ユーザー属性の完全な一覧は、https://<org>/admin/universaldirectoryのディレクトリユーザープロファイルから取得できます。
# Create User
dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CC;user
# Create or Update user
# include additional attributes that are mapped in your org within Okta
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user
# Create user/Password Reset
dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user"
#Group Push
dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CCDC;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group