Okta Privileged Accessクライアントを使用する

Okta Privileged Accessクライアントのコマンドは、どれも次の構文を使用します。

sft [global options] command [command options] [arguments...]

グローバルオプション

どのクライアントコマンドでも、次のオプションを使用できます。

  • -h--help:ヘルプを表示します。
  • -v--version:バージョンを表示します。

トピック

クライアントコマンド

コマンド 説明 オプション
sft ad list-domains

Active Directoryドメインを一覧表示します。
  • --team {value}:指定されたチームを使用します。
  • --output, -o:結果を指定の書式に設定します。利用できるオプションは、デフォルト、JSON、説明です。
sft ad list-accounts

Active Directoryアカウントを一覧表示します。
  • --team {value} --domain {value}:指定されたチームとドメインを使用します。
  • --output, -o:結果を指定の書式に設定します。使用可能なオプションは、default、JSON、describeです。
sft ad reveal

Active Directory(AD)アカウントに関連付けられたパスワードを表示します。
  • --domain {value}:指定されたADドメインを使用します。
  • --ad-account username:指定されたADアカウントおよびユーザー名を使用します。
  • --team {value}:指定されたチームを使用します。
  • --output, -o:結果を指定の書式に設定します。使用可能なオプションは、default、JSON、describeです。
sft list-checked-out-resources チェックアウトリソースを一覧表示します。
  • --team {value}:指定されたチームを使用します。
  • --instance {value}:Okta Privileged Accessプラットフォームの指定されたインスタンスを使用します。
  • --output, -o:結果を指定の書式に設定します。利用できるオプションは、デフォルト、JSON、説明です。
  • --resource-type {value}:指定したタイプのリソースと、リソース固有のその他の詳細のみを表示するには、これを使用します。
  • --include-pending-checkin:チェックインプロセス内のチェックアウト済みリソースを含めるには、これを使用します。
sft checkin リソースをチェックインします。
  • --team {value}:指定されたチームを使用します。
  • --instance {value}Okta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --resource-id {value}:チェックインするリソースのUUIDまたはORN。
  • --resource-type {value}:チェックインするリソースのタイプ。このフィールドは必須です。
  • --force:別のユーザーがチェックアウトしたリソースをチェックインするには、これを使用します。
sft config クライアント構成オプションを取得して設定します。クライアントを構成するをご覧ください。
  • --config-file:指定された構成ファイルを使用します。
  • --append:指定された値を配列に追加します。

  • ssh.connection_failed_process_timeout_in_seconds {value}:プロセスを終了する前に、失敗したSSH接続の確認をシステムが待機する時間のタイムアウトを設定します。
sft dash ブラウザーでチームのダッシュボードを開きます。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
sft device-info クライアントのデバイス情報をJSONとして表示します。 -
sft enroll Okta Privileged Accessプラットフォームのクライアントインベントリに新しいクライアントを追加します。
  • --default:新しいデフォルトチームを設定します。(デフォルト:true)
  • --urlOkta Privileged AccessインスタンスにアクセスするためのURLを設定します。
  • --team:指定されたチームを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • --force:重複が存在する場合でもクライアントを登録します(デフォルト:false)
sft fleet enroll フリート内で複数のクライアントをサイレント登録します。「Okta Privileged Accessクライアントをサイレント登録する」を参照してください。
  • --default:新しいチームをデフォルトとして設定します。(デフォルト:true)
  • --token:指定されたトークンを使ってクライアントを登録します。
  • --token-file:指定されたファイルに保存されたシークレットトークンを使ってクライアントを登録します。
sft help コマンドのリストまたは1つのコマンドのヘルプを表示します。 -
sft list-accounts このクライアントが使用するように構成されているアカウントのリストを表示します。
  • --config-file:指定された構成ファイルを使用します。
  • -l, --selector:指定のセレクターによって結果をフィルタリングします(ラベルクエリ)。セレクターをご覧ください。
  • --output, -o:結果を指定の書式に設定します。使用可能なオプションは、defaultjsonまたはdescribeです。
  • --columns:出力に指定の列名を表示します。列名は小文字で指定する必要があり、複数を指定する場合はカンマ区切りのリストにします。
sft list-projects チームで利用可能なプロジェクトのリストを表示します。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • -l, --selector:指定のセレクターによって結果をフィルタリングします(ラベルクエリ)。セレクターをご覧ください。
  • --output, -o:結果を指定の書式に設定します。使用可能なオプションは、defaultjsonまたはdescribeです。
  • --columns:出力に指定の列名を表示します。列名は小文字で指定する必要があり、複数を指定する場合はカンマ区切りのリストにします。
sft list-servers 現在のチームで利用可能なサーバーのリストを表示します。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • -l, --selector:指定のセレクターによって結果をフィルタリングします(ラベルクエリ)。セレクターをご覧ください。
  • -p, --project:指定のプロジェクト名によって結果をフィルタリングします。
  • --output, -o:結果を指定の書式に設定します。使用可能なオプションは、defaultjsonまたはdescribeです。
  • --columns:出力に指定の列名を表示します。ラベルは、列名が列オプションに渡された場合にのみ表示されます。たとえば、sft list-servers --column <ID>, <hostname>, <labels>です。列名は小文字で指定する必要があり、複数を指定する場合はカンマ区切りのリストにします。
sft list-servers-rjson 現在のチームで利用可能なサーバーのリストをRJSON形式で表示します。この出力をファイルに保存して、Royal TSXで動的フォルダーの作成に利用できます。「Advanced Server Access 向けにRoyal TSXを構成する」を参照してください。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • -l, --selector:指定のセレクターによって結果をフィルタリングします(ラベルクエリ)。セレクターをご覧ください。
  • -p, --project:指定のプロジェクト名によって結果をフィルタリングします。
  • -f, --filename:ファイル出力の格納パスを指定します。
sft login クライアントの現在のチームからログアウトした場合、セッションを作成し、チームのIDプロバイダーを認証します。

アクティブで認可されたクライアントセッションにより、Okta Privileged Accessクライアントは、必要に応じてバックグラウンドで資格情報を要求できるようになります。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
sft logout 現在のセッションからログアウトします。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
sft proxycommand OpenSSH ProxyCommandと共に使用して、sshscprsyncftpなどでsftを透過的に使用できるようにします。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • --via, --bastion:指定のセキュアシェルBastion(踏み台)を介してターゲットに接続します。
  • --config:廃止。代わりにsft ssh-configを使用してください。
  • --sudo-display-name {value}--sudo {value}:ユーザーのアクセス方式はこの表示名でフィルタリングされます。
sft rdp 引数として渡されたターゲットにRDPを介して接続します。
  • --via, --bastion:指定のSSH Bastion(踏み台)を介してターゲットに接続します。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • --share:ターゲットと共有するディレクトリへの絶対パスを指定します。
sft register-url-handler

(Windowsのみ)ユーザーがサーバー(My Servers)ページの接続(Connect)ボタンをクリックすると、ScaleFTアプリケーションが開きます。

コマンドを実行すると、次のフォルダが作成されます。

  • Computer\HKEY_CLASSES_ROOT\ScaleFTProtocolHandler\shell\open\command

  • Computer\HKEY_CLASSES_ROOT\scaleft

対応するエントリがWindowsレジストリに存在しない場合、接続(Connect)ボタンを使ってScaleFTアプリケーションを起動することはできません。

詳細については、「ASA/OPA WebページでSFTを起動する方法」を参照してください。

-
sft resolve 指定されたホスト名またはインスタンス詳細に一致する単一サーバーを解決します。
  • --q, --quiet:致命的な警告のみがstderrに出力されるようにします。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • --sudo-display-name {value}--sudo {value}:ユーザーのアクセス方式はこの表示名でフィルタリングされます。
sft secrets 使用可能なsecretsコマンドをすべて列挙します。 -
sft secrets list 最上位レベルのシークレットフォルダとシークレットをすべて列挙します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
--path:指定されたパスを使用します。
sft secrets create

シークレットを作成します。

名前には、英数字(a~Z、0~9)、ハイフン(-)、アンダースコア(_)、ピリオド( .)のみ使用することができます。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --key {key}:指定されたキーを追加します。
  • --value {value}:指定された値を追加します。
  • --name {name}:新しいシークレットの名前。
  • --description {description}任意(:)このシークレットの説明。
sft secrets create-folder

シークレットフォルダを作成します。

名前には、英数字(a~Z、0~9)、ハイフン(-)、アンダースコア(_)、ピリオド( .)のみ使用することができます。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --name {name}:新しいシークレットフォルダの名前。
  • --description {description}任意(:)このシークレットフォルダの説明。
sft secrets describe パスにあるシークレットに関するメタデータを表示します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --name {name}:シークレットの名前。
sft secrets describe-folder パスにあるシークレットフォルダに関するメタデータを表示します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --name {name}:フォルダの名前。
sft update-secret

シークレットの値を更新します。

シークレットの名前または説明を更新するには、update-secret-metadataを使用します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --name {name}:新しいシークレットの名前。
  • --key {key}:新しい値のキー。
  • --value {value}:以前にメンションされたキーの新しい値。
sft secrets delete 指定されたシークレットを削除します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --name {name}:新しいシークレットの名前。
sft secrets delete-folder 指定されたシークレットフォルダを削除します。そのフォルダのコンテンツもすべて削除されます。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
sft secrets reveal キー名フィールドとシークレット値フィールドを表示します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --name {name}:新しいシークレットの名前。
  • --key {key}任意(:)レスポンスを指定された値に制限します。
secrets update-secret-metadata シークレットの名前または説明を更新します。

  • --resource-group {resource group}:指定されたリソースグループを使用します。

  • --project {project}:指定されたリソースグループを使用します。

  • --path:指定されたパスを使用します。

  • --name {name}:シークレットの名前。

  • --new-name {name}任意(:)シークレットの新しい名前。

  • --description {description}任意(:)シークレットの説明。これを除外した場合、説明は更新されません。

secrets update-folder-metadata シークレットフォルダの名前または説明を更新します。
  • --resource-group {resource group}:指定されたリソースグループを使用します。
  • --project {project}:指定されたリソースグループを使用します。
  • --path:指定されたパスを使用します。
  • --new-name {name}:シークレットフォルダの新しい名前。
  • --description {description}任意(:)このフォルダの説明。これを除外した場合、説明は更新されません。
sft session-logs verify Okta Privileged Accessを使って登録されたOkta Privileged Accessゲートウェイ署名キーに対する、指定のセッションログの整合性を検証します。有効な署名がないログファイルは、不正確であるか、攻撃者によって破損されている可能性があります。
--stdin:セッションログファイルからではなく、stdinからのセッションデータを返します。
sft session-logs export セッションログを特定の書式でエクスポートします。デフォルトでは、ログはJSON形式でエクスポートされます。エクスポートプロセスでは、セッションログの検証も行われます。有効な署名がないログファイルは、不正確であるか、攻撃者によって破損されている可能性があります。
  • --stdin:セッションログファイルからではなく、stdinからのセッションデータを返します。
  • --insecure:クライアントによるセッションログファイルの整合性の検証を停止します。
  • --format:特定の書式でログをエクスポートします。使用可能なオプションは、jsonまたはasciinemaです。
  • --output:エクスポートされたログを、stdoutではなく指定のファイルに保存します。
sft ssh 引数として渡されたターゲットにセキュアシェルを介して接続します。

一般に、Okta Privileged Accessは、sshの操作にOpenSSHのProxyCommand統合を使用します。OpenSSHが利用できない環境またはコンテキストでは、sshのサポートにsft sshコマンドを使用します。このコマンドは、Okta Privileged Accessに固有のオプション(--viaなど)を明示的に渡すときにも利用できます。
  • --via, --bastion:指定されたSSH Bastion(踏み台)ホストを使ってターゲットに接続します。
  • --team:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • -L, --local-port-forward:指定されたローカルポートをリモートアドレスに転送します。
  • -R, --remote-port-forward:指定されたリモートリスナーをローカルアドレスに転送します。
  • --command:指定されたコマンドをSSHを介して実行します。

  • --sudo-display-name {value}--sudo {value}:ユーザーのアクセス方式はこの表示名でフィルタリングされます。
sft ssh-config ~/.ssh/configファイルでの使用に適したOpenSSH構成ブロックを出力します。これにより、ローカルsshバイナリがOkta Privileged Access認証を使用できるようになります。このSSH構成は、アクティブで承認されたセッションがクライアントに現在ある場合に使用されます。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --account:指定されたアカウントを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • --via, --bastion:指定のSSH Bastion(踏み台)を介してターゲットに接続します。
sft support collect Oktaサポート用にローカルの診断情報を収集します。 -
sft support submit Oktaサポート用に診断情報を送信します。 -
sft unenroll Okta Privileged Accessプラットフォームのクライアントインベントリーから現在のアクティブクライアントを削除します。
  • -y--yes:指定されたチームを使用します。
  • --team {value}:指定されたチームを使用します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --config-file:指定された構成ファイルを使用します。
  • --all:すべてのローカルクライアントの登録を解除します。
sft use 登録済みのチームを、現在のセッションで使用する現在のデフォルトとして設定します。
  • --instanceOkta Privileged Accessプラットフォームの指定のインスタンスを使用します。
  • --config-file:指定された構成ファイルを使用します。

sft workload authenticate

( 略称:sft wl auth

 ワークロードがID証明(JWT)を使ってOkta Privileged Accessに認証し、Okta Privileged Access トークンを取得する際に使用します。
  • --connection=CONNECTION_NAME:必須Okta Privileged AccessがマシンのIDの検証に使用するワークロード接続について、一意の名前を指定します。
  • --role-hint=WORKLOAD_ROLE_HINT:任意。提案されたワークロードロール名をOkta Privileged Accessに渡します。
  • --jwt-env=ENV_VAR:必須ワークロードのID証明(JWT/ OIDCトークン)を保持する環境変数の名前を指定します。

セレクター

-l, --selector:フィルタリングするセレクター(ラベルクエリ)。

セレクターをオプションの引数として受け取るコマンドは、任意のセレクタークエリに基づいて結果をフィルタリングできます。

セレクター構文はKubernetesラベルクエリに基づいています。「ラベルおよびセレクター」をご覧ください。

例:

sft list-servers -l os_type=windows,project_name=Demo

この例では、セレクターを使用して、アクセスできるサーバーのリストをフィルタリングします。このコマンドは、デモプロジェクトに登録されているWindowsサーバーを返します。

クライアント構成

sft configコマンドを使用すると、構成オプションを表示または設定できます。

Okta Privileged Accessクライアントのインストール時には構成ファイルは存在しません。最初の構成オプションを設定したときに構成ファイルが作成されます。

構成値を明示的に設定するまでは、デフォルトの設定値が使用されます。Okta Privileged Accessクライアント用に用意されているデフォルト値は、一般的な状況で最大限のセキュリティと最大限の使いやすさを実現することを意図しています。rdp.screensizeの設定などの個人的な好みを除いては、いずれのクライアント構成も全く設定し直す必要はありません。

Okta Privileged Accessクライアントの構成はセクションにグループ化されています。現在、これらのセクションには、rdpsshssh_agentservice_authupdateが含まれます。

構成を表示する

  • sft config:現在の構成を表示します。
  • sft config [section.key]section.keyで示される特定の構成の現在の値を表示します。

構成値を設定する

構成値は次のコマンド構文を使って設定できます。sft config [section.key] [value]

RDP構成オプション

キー

説明

rdp.screensize 1024x768など、好みのRDPウィンドウサイズを示す文字列値に設定します。 
sft config rdp.screensize 800x600
sft config rdp.screensize 1024x768
rdp.fullscreen RDPセッションを全画面モードで開きたい場合は、これをtrueに設定します。 trueに設定した場合、 rdp.screensizeの値は無視されます。 
sft config rdp.fullscreen true
sft config rdp.fullscreen false
rdp.client (macOSのみ)これを希望のRDPクライアント(Royal TSXの場合はroyaltsx、MacFreeRDPの場合はmacfreerdp)に設定します。このオプションが設定されていない場合、Okta Privileged Accessは最初にRoyal TSXの使用を試み、Royal TSXを使用できない場合にMacFreeRDPを使用します。 
sft config rdp.client royaltsx
sft config rdp.client macfreerdp

SSH構成オプション

キー

説明

ssh.save_privatekey_passwords trueに設定すると、Okta Privileged Accessクライアントはユーザーが入力したパスフレーズをワークステーションのローカル暗号化ストアに保存します。 
sft config ssh.save_privatekey_passwords true
sft config ssh.save_privatekey_passwords false
ssh.port_forward_method これをnetcatに設定すると、Okta Privileged Accessは、デフォルトのネイティブSSHポート転送を使用する代わりに、ポート転送の手段としてnetcat (nc)をリモートで実行します。 
sft config ssh.port_forward_method netcat
sft config ssh.port_forward_method native

ssh.insecure_forward_agent

SSHコマンドの実行時にForwardAgentを設定する場合、これをhostに設定します。Okta Privileged Accessによって発行されたSSH資格情報は、sshエージェントに追加されません。このオプションは、外部で管理される資格情報(Okta Privileged Accessで管理されないSSH公開鍵など)を受け入れるように構成されているホストに対して使用します。

このオプションを設定しない場合、または値をnoneに設定しない場合、Okta Privileged AccessはSSHエージェントを転送しなくなります。

prefer_bundled_ssh

trueに設定すると、ネイティブのOpenSSHよりもバンドルされたMSYS2 OpenSSHクライアントが優先されます。

 
sft config ssh.prefer_bundled_ssh true
sft config ssh.prefer_bundled_ssh false

SSHエージェントの構成オプション

キー

説明

ssh_agent.enable trueに設定すると、Okta Privileged Accessクライアントはユーザー認証時にSSHエージェントを使用します。 
sft config ssh_agent.enable true
sft config ssh_agent.enable false
ssh_agent.keys このオプションは、SSHエージェントにロードするSSH秘密鍵の1つまたは複数のパスのJSON配列に設定します。--appendフラグを使用して、このリストに値を追加します。

ヒント:Windows PowerShellでJSONリテラルを書き込む場合は、内部引用符をエスケープします。たとえば:

sft config ssh_agent.keys '[\"C:\\Users\\alice\\.ssh\\id_rsa\"]'

ネットワーク構成オプション

キー

説明

network.forward_proxy このオプションを構成すると、Okta Privileged Accessクライアントは指定されたHTTPまたはHTTPS URLをHTTPトンネルとして使用します。 sft config network.forward_proxy https://your-proxy.example.com:3141

network.tls_use_bundled_cas

trueに設定すると、Okta Privileged AccessクライアントはTLS認証にバンドルされたCA証明書を使用します。同様に、falseに設定すると、クライアントはオペレーティングシステムのCAリストを使用します。

 
sft config network.tls_use_bundled_cas true
sft config network.tls_use_bundled_cas false

その他の構成オプション

キー

説明

service_auth.enable

trueに設定すると、Okta Privileged Accessクライアントはサービスユーザーの認証をサポートします。「サービスユーザー」をご覧ください。

 
sft config service_auth.enable true
sft config service_auth.enable false
update.release_channel Okta Privileged Accessクライアントは、デフォルトではstable用更新チャンネルですが、test用更新チャンネルを使用するようにこのオプションを設定することで、より頻繁なリリースの受信を選択することもできます。 
sft config update.release_channel test
sft config update.release_channel stable
client.timeout_seconds

クライアントがサーバーからの応答を待機する最長時間を定義します(この時間に達すると要求を再送信します)。

  • このオプションを設定しなかった場合、または値を0に設定した場合、クライアントはデフォルト値である300秒を使用します。
  • このオプションに負の値を設定すると、タイムアウトは無効化されます。
 sft config client.timeout_seconds 60 sft config client.timeout_seconds -1

環境変数

変数

説明

SFT_DEBUG 設定した場合、コマンドの実行時に内部ログとタイミングメッセージはstderrに出力されます。 SFT_DEBUG=1 sft list-servers
SFT_ALLOW_INSECURE_USERNAMES 設定した場合、標準外の文字を含んだユーザー名での接続が許可されます。 SFT_ALLOW_INSECURE_USERNAMES=1 sft ssh ...

関連項目

Okta Privileged Accessクライアントをインストールする

管理対象Okta Privileged Accessサーバーエージェント

要件と制限