Okta Privileged Accessユーザーガイド
Okta Privileged Accessユーザーの特権リソースに対するアクセス権は、ユーザーが属するグループとそのグループに付与されているアクセス権に基づいて付与されます。
開始する前の確認事項
Okta Privileged Accessを使い始めるには、いくつかのタスクを完了する必要があります。 「Okta Privileged Access を開始する」を参照してください。
サーバーリソースにアクセスする
アクセス権が付与されているリソースのリストはダッシュボードで確認できます。その後、Okta IDを使用してSSHまたはRDP経由でリソースに接続できます。一部のサーバーへのアクセスにはAccess Requestsの承認が必要になります。
- Okta Privileged Accessアカウントにサインインします。
- 自分の特権アクセス(My Privileged Access)に移動します。
- 接続するサーバーでアクション(Actions)メニューをクリックします。
- アクセスするサーバーの接続(Connect)をクリックします。
- 表示されるダイアログでアカウントを選択します。
- 接続(Connect)をクリックします。ターミナルウィンドウまたは
sftUIが表示され、使用するアカウントを選択したり、リクエスト承認の通知を受けたりすることができます。 - サーバーアカウントがアクセスの承認を必要とする場合は、次のように操作します。
- 使用するアカウントを選択します。
- リクエスト承認(Request approval)をクリックします。Okta Privileged Accessによってアクセスリクエストが自動的に生成されます。リクエストが承認されると、接続を再試行できるようになります。
SaaSアプリのアカウント資格情報を表示する
- Okta Privileged Accessアカウントにサインインします。
- 自分の特権アクセス(My Privileged Access)に移動します。
- SaaSアプリ(SaaS apps)を選択し、アプリインスタンスを選びます。
- アプリに割り当てたアカウントをクリックします。
- 資格情報を表示(Show credentials)をクリックしてパスワードを表示します。
- 任意。上書き(Override)をクリックしてOkta Privileged Access vaultに保存されているパスワードを更新し、ダウンストリームアプリで使用されるパスワードと一致させます。このオプションは、自動パスワードローテーションをサポートするアカウントでのみ使用できます。帯域外の変更後にパスワードを同期する必要があるときに上書き機能を使用します。また、システムが保存されたパスワードと実際のパスワードの間の不一致を検出した場合にも使用できます。
- 任意。パスワードをローテーション(Rotate password)をクリックします。
Active Directoryアカウントにアクセスする
Okta Privileged Accessダッシュボードでは、アカウントに関連付けられているすべてのActive Directory(AD)ドメインを表示できます。それぞれのドメイン内には、アクセスをリクエストできるさまざまなADアカウントのリストが表示されます。
- Okta Privileged Accessアカウントにサインインします。
- 自分の特権アクセス(My Privileged Access) Active Directory に移動します。
- ドメインをクリックし、アクセスするアカウントをクリックします。
- 使用するアクセス方法についてアクセスを要求する(Request access)をクリックします。
- アクセスリクエストが承認されたら、クリックして資格情報を確認します。
シークレットの作成と管理
Okta Privileged Accessユーザーがシークレットフォルダーへのアクセス権を付与されている場合、そのアクセスレベルは割り当てられている権限によって異なります。ユーザーインターフェイスまたはCLIを使ってフォルダー内で実行できるタスク(シークレットとフォルダーの作成、読み取り、更新、削除など)は、権限によって異なります。
ポリシー内でAccess Requests条件が有効な場合、どのタスクを実行する場合もユーザーはリクエストの承認を得る必要があります。つまり、シークレットフォルダー内で特定のアクション(フォルダーまたはシークレットの作成など)を実行するには、事前に承認を得る必要があります。
以降のトピックでは、ユーザーインターフェイスを使ってシークレットを作成および管理する方法について説明します。CLIコマンドの使用については、「Okta Privileged Accessクライアントを使用する」を参照してください。
ネストされたフォルダーを作成する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- をクリックします。
- フォルダーに名前を付けて説明を入力します。
- 送信(Submit)をクリックします。
シークレットを作成する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- をクリックします。
- シークレット名(Secret name)ページで次のように操作します。
フィールド タスク 名前(Name) シークレットに名前を付けます。 名前には、英数字(a~Z、0~9)、ハイフン(-)、アンダースコア(_)、ピリオド( .)のみ使用することができます。
説明 説明を入力します。 テンプレート化されたキー値を追加 事前定義されたテンプレートからシークレットを作成します。
-
テンプレート化されたキー値を追加(Add templated key values)をクリックします。
-
次のいずれかのテンプレートを選択します。
-
APIキー(API key)
-
ユーザー名/パスワード(Username / password)。
-
-
シークレット値(Secret Value)を入力します。テンプレート化されたフィールドのキー名が事前入力されます。
注:キー/値ペアのシークレットキーでは、大文字と小文字を区別する必要があります。
-
- 任意。キー値を追加(Add key value)をクリックして、キーと値のペアを手動で追加します。
- シークレットを保存(Save secret)をクリックします。
シークレットを表示する
Okta Privileged Accessユーザーは、シークレットを表示してキー名とシークレット値を確認できます。
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- ネストされたシークレットフォルダーを選択します。
- 値を表示(Reveal value)をクリックします。
シークレットフォルダーを削除する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- ネストされたシークレットフォルダーを選択します。
- アクション(Actions)メニューをクリックし、削除(Delete)を選択します。
- シークレットフォルダーを削除(Delete secret folder)をクリックします。
シークレットを削除する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- ネストされたシークレットフォルダーを選択します。
- アクション(Actions)メニューをクリックし、削除(Delete)を選択します。
- シークレットを削除(Delete secret)をクリックします。
SaaSアプリのパスワードを自動生成する
パスワードジェネレータを使用して、管理対象外SaaSアプリのパスワードを更新します。
- に移動します。
- アプリインスタンスを選択します。
- をクリックします。
- パスワード(Password)フィールドの横にある錠アイコンをクリックします。
- 必要に応じて、強力なパスワード形式を生成(Generate a strong password form)を使ってパスワード設定を更新します。
- 保存(Save)をクリックします。
関連項目
Okta Privileged Accessクライアントをインストールする