Oktaサービスアカウントの権限について
ディレクトリの権限を調整する前に、Active Directory(AD)の権限がどのように設定されているかを理解し、環境内での権限の管理方法を計画してください。
既存のアカウントを選択しない場合は、デフォルトで、Okta AD Agentのインストーラーが新しいOktaサービスアカウントを作成します。新しく作成されたOktaServiceアカウントは、Domain Usersグループの権限を継承します。また、エージェントの実行中、OktaServiceは、Authenticated UsersグループおよびEveryone特別IDグループのメンバーであると見なされます。デフォルトでは、Authenticated Usersグループは、Pre-Windows 2000 compatible Accessグループのメンバーです。Pre-Windows 2000 Compatible AccessグループからAuthenticated Usersグループを削除すると、増分インポートで問題が発生する可能性があります。増分インポートの問題を解決するには、次のいずれかの変更を行うことをお勧めします。
-
OktaServiceアカウントをPre-Windows 2000 Compatible Accessグループに追加します。
-
OktaServiceアカウントに、同期されたすべてのADオブジェクトに対する[Read all(すべて読み取り)]権限があることを確認します。
Okta AD Agent Management Utilityには、OktaServiceアカウントをDomain Adminsグループに追加するオプションも含まれています。以下にリストされている機能が必要である一方で、サービスアカウントを完全な管理者にしたくない場合は、次の権限が設定されていることを確認してください。
ユーザーをプロビジョニングする
- 対象組織単位(OU)でのユーザーオブジェクトの子の作成権限が必要です。
- 対象OU内のユーザーオブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。
- 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの書き込み権限が必要です。
- userPrincipalName
- SAMaccountName
- givenName
- sn
- userAccountControl
- pwdLastSet
- lockoutTime
- cn
- name
- Oktaのhttps://<org>/admin/universaldirectory内のADユーザープロファイルにマッピングされたほかのすべての属性について、対象OU内のユーザーオブジェクトに対するプロパティの書き込み権限が必要です。
ユーザー属性を更新する
- 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの書き込み権限が必要です。
- userPrincipalName
- SAMaccountName
- givenName
- sn
- userAccountControl
- pwdLastSet
- lockoutTime
- cn
- name
- Oktaのhttps://<org>/admin/universaldirectory内のADユーザープロファイルにマッピングされたほかのすべての属性について、対象OU内のユーザーオブジェクトに対するプロパティの書き込み権限が必要です。
グループプッシュ
- 対象OUでのグループオブジェクトの子の作成権限が必要です。
- 対象OUでのグループオブジェクトの子の削除権限が必要です。
- 次の属性について、対象OU内のグループオブジェクトに対するプロパティーの書き込み権限が必要です。
- sAMAccountName
- description
- groupType
- member
- cn
- name
パスワードをリセットする、忘れたパスワードを確認する、パスワードを同期する
- 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの書き込み権限が必要です。
- lockoutTime
- pwdLastSet
- 対象OU内のユーザーオブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。
ユーザーをアクティブ化する/非アクティブ化する
- 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの書き込み権限が必要です。
- userAccountControl
参照コマンドを使用して権限を追加する
リストされているコマンドを使用して権限を追加します。それらをバッチファイルに保存し、ご使用の環境に合うように対象OUとサービスアカウント情報を変更します。不要な権限を削除し、Okta内のプロビジョニング用にマップした属性を追加することを忘れないでください。ユーザー属性の完全なリストは、https://<org>/admin/universaldirectoryのディレクトリユーザープロファイルから取得できます。
# ユーザーを作成する
dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CC;user
# ユーザーを作成または更新する
# Okta内のorgにマッピングされている追加の属性を含める
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user
# ユーザーを作成する/パスワードをリセットする
dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user"
# グループプッシュ
dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CCDC;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group