Okta Privileged AccessAccess Requests

お客様がOkta Privileged Access向けにサインアップすると、Access Requestsorgがプロビジョニングされ、自動的にチームが生成されます。デフォルトでは、Access RequestsはすべてのOktaスーパー管理者とAccess Requests管理者のアカウントをプロビジョニングしますが、その他のユーザーまたはグループについては明示的に認可する必要があります。

Okta Privileged AccessAccess Requestsを統合する場合、Okta Privileged Accessセキュリティ管理者は、リクエスト/承認の要件をセキュリティポリシーに含めることができます。Access Requests管理者は、リクエストタイプを作成することでリクエスト承認条件を構成し、Okta Privileged Accessセキュリティ管理者は、Okta Privileged Accessセキュリティポリシー内のリクエストタイプを使用できます。セキュリティ管理者は、エンドユーザーがリソースにアクセスする際にリクエストの送信をエンドユーザーに求める条件を追加することで、特権リソースへのアクセスを保護できます。指定されたユーザーまたはユーザーグループがリクエストを承認する必要があります。

Access RequestsOkta Privileged Accessの連携

ステップ ユーザー タスク

1.

OktaAccess Requests管理者

Okta Privileged Accessセキュリティポリシーで使用されるリクエストタイプを作成します。

2.

 Okta Privileged Accessセキュリティ管理者 リソースへの特権アクセスを許可する前に承認を必須とする、セキュリティポリシー内の条件を有効にします。これは、ポリシーにルールを追加し、使用するリクエストタイプを選択することで行われます。

3.

 Okta Privileged Accessユーザー

ユーザーは、特権リソースへのアクセスを試みます。

ユーザーのリクエストはOkta Privileged Accessポリシーと照合され、ポリシーに基づいて、必要に応じてアクセスリクエストが自動的に開始されます。

4.

Okta Privileged Accessリクエスト承認者

リクエストを承認または拒否します。

承認者は、保留の承認が必要であるという通知を受信します。承認プロセスは、アクセスリクエストソリューションの構成と、組織が承認者への通知に使用するチャンネルに基づきます。

アクセスリクエスト内のOkta Privileged Access接続をセットアップする

Okta Privileged Accessは、Access Requests機能セットと共にプロビジョニングされます。Access Requests内のOkta Privileged Access接続をセットアップするときは、Access Requests内のOkta Privileged Accessコネクターを構成し、1つ以上のリクエストタイプを作成する必要があります。リクエストタイプが作成され、公開されると、Okta Privileged Accessセキュリティポリシーは承認条件を認識できるようになります。その後、Okta Privileged Accessセキュリティ管理者は、これらの条件を有効化できます。リクエストの承認を必須とする条件が有効になってからユーザーがリソースへのアクセスを試みると、アクセスリクエストが自動的に開始されます。

承認の期間は構成可能で、リクエストが承認されると開始されます。サーバーでは、期間が期限切れになると、新しい接続の試行には新たな承認が必要になります。ユーザーが個人のアカウントにアクセスする場合、承認の期間が期限切れになるとセッションは終了します。共有アカウントでは、承認の期間が終了した後もセッションはアクティブのまま残ります。シークレットでは、期間が期限切れになった後、シークレットに関連する新規アクションには新たな承認が必要になります。

Access Requests管理者、要求者(エンドユーザー)、承認者は、Access Requestsコンソールを使ってリクエストに関連する更新を表示できます。たとえば、エンドユーザーはリクエストのステータスを表示でき、承認者は受信したリクエストの履歴を表示できます。

前提条件

  • Access Requests管理者としてサインインしていることを確認します。

  • 最新バージョンのOkta Privileged Accessクライアントがインストールされていることを確認します。

Access Requests内のOkta Privileged Access接続を構成する

最初のステップでは、Access Requests内のOkta Privileged Access接続を確立します。Okta Privileged AccessAccess Requestsの間に接続が確立されると、Okta Privileged Accessセキュリティポリシーが認識できるリクエストタイプを作成できるようになります。

  1. Access Requestsコンソールで、設定(Settings)に移動します。

  2. Okta Privileged Accessカードで接続(Connect)をクリックします。

  3. 表示されるダイアログで次の操作を行います。

    1. Okta Privileged Accessチーム名を入力し、接続(Connect)をクリックします。

    2. チーム([Teams)]の下のドロップダウンメニューを使ってOkta Privileged Accessチームを選択します。

    3. アクセスリクエストを承認(Approve Access Request)アクセスリクエストを拒否(Deny Access Request)が有効であることを確認します。

    4. 接続を更新(Update connection)をクリックします。

リクエストタイプを作成する

Okta Privileged Accessと連携するリクエストタイプを正しく作成するには、指定されたいくつかの必須ステップを完了する必要があります。少なくとも、リクエスト/承認プロセスに次のステップを追加する必要があります。

  • 最上位の承認タスク
  • リクエストを承認するアクション
  • リクエストを拒否するアクション

オプションとして、その他のステップをプロセスに追加できます。たとえば、リクエストに関するビジネス上の正当な理由の提供をエンド ユーザーに求めることができます。

タスク1:リクエストタイプの詳細を追加する

  1. Access Requestsコンソールで、チーム(Teams) > すべて(All)に移動します。
  2. Okta Privileged Accessカードをクリックします。
  3. リクエストタイプ(Request types)タブを選択します。
  4. リクエストタイプを追加(Add request type)をクリックします。
  5. 表示されるダイアログで次の操作を行います。
    1. 名前を入力し、説明を追加します。Okta Privileged Accessポリシーの作成時に必要になるため、名前を書き留めておきます。
    2. チーム(Team)を選択します。
    3. オーディエンス(Audience)を選択します。
    4. 続行(Continue)をクリックします。

タスク2:承認タスクを追加する

リクエストタイプに最上位の承認タスクを追加する必要があります。

  1. 承認(Approval)(Add to request type)セクションのリクエストタイプに追加(Add to request type)(Approval)をクリックします。

  2. タスクとアクション(Tasks and Actions)ページで次の操作を行います。

    1. アクセスリクエストの質問に表示されるテキストをテキスト(Text)フィールドに入力します。

    2. これを必須タスクにする(Make it a required task)を選択します。

    3. 割り当て先(Assigned to)フィールドで割り当て先を選択します。これがリクエストの承認者となります。

タスク3:Access Requestsの承認アクションを構成する

  1. アクション(Action) > Okta Privileged Access をクリックします。

  2. アクセスリクエストを承認(Approve Access Request)を選択します。新しいアクションアイテムが作成されます。

  3. 質問に表示されるテキストをテキスト(Text)フィールドに入力します。

  4. これを必須にする(Make it a required)を選択します。

  5. アクションが自動的に実行されるように、自動的に実行(Run automatically)を選択します。割り当て先(Assigned to)フィールドは自動的に入力されます。

  6. 任意。期日を設定します。

  7. ロジック(Logic)タブを選択して次の操作を行います。

    1. ドロップダウンメニューからこのタスクを表示する条件(Only show this task if)を選択します。

    2. [ フィールドまたはタスク]で、作成した承認タスクの名前を選択し、承認された場合(is approved)を選択します。

タスク4:承認タスク内のロジックを更新する

  1. 事前に作成した承認タスクを選択します。ロジック(Logic)タブを構成に利用できるようになります。

  2. ロジック(Logic)タブをクリックします。

  3. このタスクを常に表示(Always show this task)を選択します。

タスク5:Access Requests拒否タスクを構成する

  1. アクション(Action) > Okta Privileged Access をクリックします。

  2. アクセスリクエストを拒否(Deny Access Request)を選択します。新しいアクションアイテムが作成されます。

  3. タスクの対象をテキスト(Text)フィールドに入力します。

  4. これを必須タスクにする(Make it a required task)を選択します。

  5. このアクションが自動的に実行されるように、自動的に実行(Run automatically)を選択します。割り当て先(Assigned to)フィールドは自動的に入力されます。

  6. 任意。期日を追加します。

  7. ロジック(Logic)タブを選択して次の操作を行います。

    1. ドロップダウンメニューからこのタスクを表示する条件(Only show this task if)を選択します。

    2. [フィールドまたはタスク]で、作成した承認タスクの名前を選択します。

    3. 条件(Conditions)フィールドで、拒否された場合(is denied)を選択します。

  8. レビューした上で公開(Publish)をクリックします。

Okta Privileged Accessセキュリティ管理者は、今回新たに作成したリクエストタイプ条件をポリシーの作成時に有効化できるようになります。セキュリティポリシーを作成または更新するを参照してください。

タスク6:Access Requests構成をテストする

Okta Privileged Accessを使ってAccess Requestsをテストするには、以下の手順を完了する必要があります。

  1. Okta Privileged Accessにサーバーとローカルアカウントを追加します。「プロジェクト設定を構成する」を参照してください。
  2. 1つ以上のオンボードアカウントへのアクセスを保護するポリシーを作成します。セキュリティポリシーを作成または更新するを参照してください。
  3. ポリシーを公開します。ポリシーを公開するを参照してください。
  4. エンドユーザーは、サーバーにアクセスして承認を必要とするアカウントにSSH接続することで、Okta Privileged Accessクライアントを使って構成をテキストできるようになります。「Okta Privileged Accessクライアントを使用する」を参照してください。
  5. ユーザーがサーバーへのアクセスを試みると、リクエストが自動的に生成され、承認者はアクセスリクエスト通知を受信します。リクエストのステータスは、Access Requestsコンソールで確認できます。

関連項目

セキュリティポリシーを作成または更新する

セキュリティポリシールール条件