Active Directoryアカウントルール
早期アクセスリリース
Active Directory(AD)アカウントルールはOkta Privileged AccessでADアカウントの管理を自動化するように設計されています。これらは、特定のOUでADアカウントを自動的に見つけて、それらのアカウントを管理下に戻すために使用されます。Okta Privileged Accessを使用したアカウントの管理を停止するには、これらの特定のOUが含まれないようにアカウントルールを変更または削除する必要があります。
アカウントルールのタイプ
以下の2種類のアカウントルールがあります。
-
共有アカウントルール:1人のユーザーに属すことなく、複数の人が使用するアカウントの管理に使用されます。これらのアカウントは、Active Directoryチームが所有する管理者アカウントや、物流チームが管理する配送アカウントなどのように、チーム間で共有されます。
-
個別アカウントルール:特定のユーザーに属するアカウントに適用されます。AD環境では通常、特権ユーザーには個別の専用アカウントがあり、それらユーザーが日常で使用するアカウントに特権アクセスは付与されません。これらの管理者アカウントは各自の個別使用のみを意図したものであり、名前には管理者アカウントを示すプレフィックスまたはサフィックスが付けられます。たとえば、adm.Jane.Doe@ad.domain.netやclark.kent-admin@ad.dailyplanet.orgなどです。個別アカウントルールを作成する前に、まず個別のアカウント設定を構成する必要があります。
個別アカウントルール設定は、 Okta Privileged Accessが個々のアカウントをそのプライマリユーザーにマッピングする方法を決定します。Okta Privileged Accessは、これらのアカウントをそれぞれの所有者と関連付けるために、いくつかのオプションをサポートしています。 ポリシールールは、ユーザーが個別の管理者アカウントにアクセスできるかどうかを制御し、そのアクセスに適用される条件を指定します。ユーザーは自分の個人アカウントのみを表示できます。
Okta Privileged AccessのアクティブなOktaユーザーとしてのADアカウント
Okta Privileged Accessでは、Active Directory(AD)アカウントのパスワードを管理できます。これは、検出されたアカウントをアクティブなOktaユーザーとして維持するアカウントルールを構成することで行われます。アカウントに対してこの設定を変更した場合、またはアカウントが設定を無効にした状態でOkta Privileged Accessで以前管理されていた場合、アカウントの状態は[Suspended(一時停止)]と表示されます。Okta管理者はこれらのアカウントをアクティベートする必要があります。
また、OktaアカウントをADと再度リンクするには、ADからの再インポートが必要です。これは、Okta Admin Console内のスケジュール設定されたインポート、または手動インポートによって実行できます。Okta Privileged Accessでは、このプロセスが完了するまでADパスワードはローテーションされないことにご注意ください。
Active Directory OU向けルールの優先順位付けと順序付け
ネストされた組織単位(OU)がある複雑な環境では、目的の動作を実現するためにルールの順序付けが特に重要です。
-
[First Match Wins(最初の一致が適用)]:Okta Privileged Accessでは、Active Directory(AD)アカウントルールを優先順位に従って処理します。アカウントに一致する最初のルールによって、そのアカウントの管理方法が決定されます。
-
[OU-Level prioritization(OUレベルの優先順位)]:[Keep discovered accounts as existing Okta users(検出されたアカウントを既存のOktaユーザーとして維持する)]または[Rotate passwords upon discovery(検出時にパスワードをローテーションする)]フローを使用する決定は、OUの一致とルールの優先度のみに基づきます。OUと優先度に基づいてプライマリルールを決定した後、拡張フィルター([Account Name(アカウント名)]および[Okta Group(Oktaグループ)])が適用されます。どのルールが優先されるかには影響しません。
-
[Mandatory parent/child OU ordering(必須の親/子OUの順序付け)]:ルールで[Keep discovered accounts as existing Okta users(検出されたアカウントを既存のOktaユーザーとして維持する)]機能を有効にし、別のルールではそれを無効にする場合、そのADドメインのすべてのアカウントルールを、親OU向けルールが子OU向けルールより先に表示されるように並べる必要があります。
正しい順序
OU=parent,DC=okta,DC=com
OU=child,OU=parent,DC=okta,DC=com
誤った順序
OU=child,OU=parent,DC=okta,DC=com
OU=parent,DC=okta,DC=com
この順序に従わないと、予期しない動作が発生する可能性があります。具体的には、親ルールの優先度が高い場合、子OUの具体的なルールは広範な親ルールで上書きされる場合があります。Oktaでは、このようなルールの組み合わせは作成できません。