ポリシーにルールを追加する

リソースのスコープと、これらリソースへの特権アクセスの付与方法を定義するルールを追加します。追加できるルールの種類は、セットアップしたポリシーの種類によって異なります。Oktaサービスアカウントポリシーでは、Oktaのルールタイプのみを追加できますが、デフォルトポリシーでは、Okta以外のすべてのポリシータイプのルールを追加することができます。

開始する前の確認事項

  • 既存のポリシーがあるか、ポリシーの作成中である必要があります。セキュリティポリシーを作成または更新するを参照してください。
  • セキュリティ管理者または代理セキュリティ管理者ロールが割り当てられている必要があります。

デフォルトポリシーのルールを追加する

このルールは、サーバー、シークレット、SaaSアプリサービスアカウント、またはActive Directoryに対して追加できます。

  1. セキュリティ管理(Security Administration) > ポリシー(Policies)に移動します。

  2. ルールを追加するポリシーを選択します。
  3. ルール追加(Add rule)を選択してから、次のいずれかのルールタイプを選択します:サーバールール(Server rule)シークレットルール(Secret rule)SaaSアプリサービスアカウントルール(SaaS app service account rule)または Active Directoryアカウントルール( account rule)
  4. 前の手順での選択内容に基づいて、次のいずれかを完了させます。
  5. ルールの保存(Save)をクリックします。このポリシーを公開できるようになります。

サーバールールを構成する

サーバールール(Server rule)を選択した場合は、次の手順を実行します。

設定 アクション

ルール名(Rule name)

ルール名を入力します。

このルールによって保護するリソースを選択(Select the resources that you want to protect with this rule)

ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

Select servers by label(サーバーをラベルで選択する)

  1. リソースをラベルで選択する(Select resources by label)に切り替えます。
  2. リソースを追加(Add resources)フィールドでリソースラベルを検索して選択します。複数のリソースラベルを選択できます。
  3. 個別アカウントでリソースにアクセス(Access resources by individual account)vaultで管理されているアカウントでリソースにアクセス(Access resources by vaulted account)のいずれか、または両方のアクセス方式を選択します。
  4. 個別アカウントでリソースにアクセス(Access resources by individual account)を選択した場合は、ユーザーレベルの権限(User-level permissions)管理者レベルの権限(Admin-level permissions)ユーザーレベルとsudoコマンド(User-level with sudo commands)のいずれかのオプションを選択します。
  5. ユーザーレベルとsudoコマンド(User-level with sudo commands)を選択した場合は、次の手順を実行します。
    1. sudoコマンド(Sudo commands)フィールドにコマンドを入力し、Enterキーを押して選択します。ルールごとに最大10個のsudoコマンドを追加できます。
    2. エンドユーザー表示名(End-user Display Name)フィールドにsudoコマンドバンドルの集合のニックネームを入力します。ニックネームの最大長さは64文字に制限され、使用できる文字は、0~9、A~Z、a~z、-、_、空白文字のみです。
  6. vaultで管理されているアカウントでリソースにアクセス(Access resources by vaulted account)を選択した場合は、vaultで管理されているアカウントを選択(Select vaulted accounts)フィールドにアカウント名を入力し、キーボードのEnterキーを押してアカウントを選択します。1つまたは複数のアカウントを追加できます。

[Select accounts by label(アカウントをラベルで選択する)]

  1. リソースを名前で選択する(Select resources by name)に切り替えます。
  2. 1つ以上のサーバーを個別に選択します。

Enable session recording(セッションの記録を有効にする)

任意。セッションの記録を有効にするには、Oktaリソース管理者が事前にゲートウェイを登録およびインストールする必要があります。

  1. ゲートウェイ経由のトラフィックフォワーディングを有効にする(Enable traffic forwarding through gateways)を選択します。
  2. ゲートウェイ経由でセッションを記録(Record session through gateways)を選択します。

承認リクエスト

任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、Access Requestsでリクエストタイプを作成します。Okta Privileged Accessとアクセスリクエストを参照してください。

  1. 承認リクエストを有効にする(Enable approval requests)に切り替えます。
  2. 承認リクエストタイプを選択します。
  3. 承認を存続させる期間を選択します。

アカウントの権限

任意。次のいずれかを少なくとも1つ選択します。

  • 表示する(Reveal):ユーザーが資格情報を復号し、プレーンテキストで表示できるようにします。
  • パスワードをローテーション(Rotate Password):ユーザーにパスワードをローテーションする権限を付与します。

Enable MFA(MFAの有効化)

任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

  1. MFAの有効化(Enable MFA)に切り替えます。
  2. 次のいずれかのオプションを選択します。任意の2要素タイプ(Any two-factor types)またはフィッシング耐性(Phishing Resistant)(Phishing resistant)
  3. 次のいずれかの再認証頻度を選択します。
    1. SSHまたはRDP接続試行のたびに毎回(Every SSH or RDP connection attempt):リソースへのアクセス試行のたびにMFAを実行します。
    2. 指定期間後(After the specified duration):5分~12時間の範囲で期間を指定します。デフォルトは30分です。

ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

シークレットルールを構成する

シークレットルール(Secret rule)を選択した場合は、次の手順を実行します。

設定 アクション

ルール名(Rule name)

ルール名を入力します。

このルールによって保護するシークレットフォルダーまたはシークレットを選択(Select the secret folder or secret you want to protect with this rule)
  1. シークレットフォルダーまたはシークレットを選択(Select secret folder or secret)をクリックします。
  2. シークレットフォルダーまたはシークレットを選択します。
  3. 保存(Save)をクリックします。

権限を選択(Select Permissions)

権限を選択します。少なくとも1つの権限を選択する必要があります。詳細については、シークレット権限を参照してください。

承認リクエスト

アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、Access Requestsでリクエストタイプを作成します。「 Okta Privileged Access を使ったAccess Requests 」を参照してください。

  1. 承認リクエストを有効にする(Enable approval requests)に切り替えます。
  2. 承認リクエストタイプを選択します。
  3. 承認を存続させる期間を選択します。

MFAの有効化(Enable MFA)

任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

  1. MFAの有効化(Enable MFA)に切り替えます。
  2. 次のいずれかのオプションを選択します。任意の2要素タイプ(Any two-factor types)またはフィッシング耐性(Phishing Resistant)(Phishing resistant)
  3. 次のいずれかの再認証頻度を選択します。
    • SSHまたはRDP接続試行のたびに毎回(Every SSH or RDP connection attempt):リソースへのアクセス試行のたびにMFAを実行します。
    • 指定期間後(After the specified duration):5分~12時間の範囲で期間を指定します。デフォルトは30分です。

SaaSアプリサービスアカウントルールを構成する

SaaSアプリサービスアカウントルール(SaaS app service account rule)を選択した場合は、次の手順を実行します。

  1. ルール名を入力します。
  2. パスワード更新方法を以下から1つ選択します。
    • 自動化(Automated)
    • 手動(Manual)
  3. 自動化(Automated)を選択した場合は、次の手順を実行します。
    設定 アクション

    保護アカウント(Accounts to protect)

    1つ以上のアカウントを選択します。

    アカウントの権限

    任意。次のいずれかを少なくとも1つ選択します。

    • 表示する(Reveal):ユーザーが資格情報を復号し、プレーンテキストで表示できるようにします。
    • パスワードをローテーション(Rotate Password):ユーザーにパスワードをローテーションする権限を付与します。
    • 任意。管理対象パスワードを上書き(Override Managed Password)を選択します。これにより、ユーザーはパスワードを上書きして帯域外のパスワード変更に対応できます。

    承認リクエスト

    任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、Access Requestsでリクエストタイプを作成する必要があります。Okta Privileged Accessとアクセスリクエストを参照してください。

    1. 承認リクエストを有効にする(Enable approval requests)に切り替えます。
    2. 承認リクエストタイプを選択します。
    3. 承認を存続させる期間を選択します。

    MFAの有効化(Enable MFA)

    任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

    1. MFAの有効化(Enable MFA)に切り替えます。
    2. 次のいずれかのオプションを選択します。任意の2要素タイプ(Any two-factor types)またはフィッシング耐性(Phishing Resistant)(Phishing resistant)
    3. 次のいずれかの再認証頻度を選択します。
      • ユーザーが警戒アクション取るたびに毎回(Every guarded action a user takes):リソースへのアクセス試行のたびにMFAを実行します。
      • 指定期間後(After the specified duration):5分~12時間の範囲で期間を指定します。デフォルトは30分です。

    ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

    最大チェックアウト時間(Maximum checkout time)

    任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

    1. プロジェクトレベルの最大チェックアウト時間をオーバーライド(Override the project-level maximum checkout time)に切り替えます。
    2. 量(Amount)期間(Duration)を設定します。
  4. 手動(Manual)を選択した場合は、次の手順を実行します。
    設定 アクション

    サービスアカウント権限

    任意。次のいずれかを少なくとも1つ選択します。

    • 表示する(Reveal):ユーザーが資格情報を復号し、プレーンテキストで表示できるようにします。
    • 更新(Update):資格情報の値を変更する権限をユーザーに付与します。

    保護アカウント(Accounts to protect)

    1つ以上のアカウントを選択します。

    承認リクエスト

    任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、Access Requestsでリクエストタイプを作成する必要があります。Okta Privileged Accessとアクセスリクエストを参照してください。

    1. 承認リクエストを有効にする(Enable approval requests)に切り替えます。
    2. 承認リクエストタイプを選択します。
    3. 承認を存続させる期間を選択します。

    MFAの有効化(Enable MFA)

    任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

    1. MFAの有効化(Enable MFA)に切り替えます。
    2. 次のいずれかのオプションを選択します。任意の2要素タイプ(Any two-factor types)またはフィッシング耐性(Phishing Resistant)(Phishing resistant)
    3. 次のいずれかの再認証頻度を選択します。
      • ユーザーが警戒アクション取るたびに毎回(Every guarded action a user takes):リソースへのアクセス試行のたびにMFAを実行します。
      • 指定期間後(After the specified duration):5分~12時間の範囲で期間を指定します。デフォルトは30分です。

    ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

Active Directoryアカウントルールを構成する

Active Directoryアカウントルール(Active Directory account rule)を選択した場合は、次の手順を実行します。

設定 アクション

ルール名(Rule name)

ルール名を入力します。

Accounts to protect(保護アカウント)
  1. 個別アカウントを選択する(Select individual accounts)チェックボックスをクリックします。
  2. 任意。演算子(Operator)を選択して、値(Value)を入力します。
  3. 任意。ドメイン(Domain)(Domains) フィールドに1つ以上のドメイン名を入力します。
  4. 共有アカウントを一致する名前で選択する(Select shared accounts by matching names)チェックボックスをクリックします。
  5. アカウント名(Account name)(Accounts name) フィールドに1つ以上のアカウントを入力します。
  6. 任意。ドメイン(Domain)(Domains) フィールドに1つ以上のドメイン名を入力します。
  7. 特定の共有アカウントを選択する(Select specific shared accounts)(Select share accounts by specific accounts)の下で、検索バーを使用してアカウントを検索し、1つ以上のアカウントを選択します。

アカウントの権限

次のいずれかのオプションを少なくとも1つ選択します。

  • 表示する(Reveal):ユーザーが資格情報を復号し、プレーンテキストで表示できるようにします。
  • パスワードをローテーション(Rotate Password):ユーザーにパスワードをローテーションする権限を付与します。
  • RDPセッション(RDP session):Windowsサーバー上でRDPセッションを開始する権限をユーザーに付与します。
  • 次のオプションは、RDPセッション(RDP session)を選択すると使用可能になります。Active Directory(AD)ポリシールールでサーバーを指定することで、ユーザーが対象のADアカウントを使用してそれらのサーバー上でRDPセッションを開始できるようにします。
    1. ラベルで(By label)を選択します。
    2. リソースを追加(Add resources)フィールドでサーバーラベルを検索して選択します。複数のサーバーラベルを選択することができます。
    3. 名前で(By name)を選択し、1つ以上のサーバーを個別に選択します。
    4. Okta Privileged Accessによるローカルグループメンバーシップの管理を決定するには、次のいずれかのオプションを選択します。最初の2つのオプションでは、アカウントが管理者(Administrators)グループまたはリモートデスクトップユーザー(Remote Desktop Users)グループに追加されます。ローカルグループの管理に別の方法を使用する場合は、ローカルグループに追加されない(Not to be added to any local groups)を選択します。
      • 「リモートデスクトップユーザー」グループに追加される(Be added to "Remote Desktop Users" group)
      • Be added to "Administrators" group(「管理者」グループに追加される)
      • ローカルグループに追加されない(Not be added to any local group)
  • SSHセッション(SSH Session):認証済みのActive DirectoryドメインアカウントがSSHを介してADドメイン内のLinuxサーバーに接続できるようにします。
    1. ラベルで(By label)を選択します。
    2. リソースを追加(Add resources)フィールドでサーバーラベルを検索して選択します。複数のサーバーラベルを選択することができます。
    3. 名前で(By name)を選択し、1つ以上のサーバーを個別に選択します。

セッションの記録

任意。セッションの記録を有効にするには、Oktaリソース管理者が事前にゲートウェイを登録およびインストールする必要があります。

  1. ゲートウェイ経由のトラフィックフォワーディングを有効にする(Enable traffic forwarding through gateways)を選択します。
  2. ゲートウェイ経由でセッションを記録(Record session through gateways)を選択します。

トラフィック転送とセッションの記録を有効にすると、この条件はRDPセッションとSSHセッションの両方に適用されます。

承認リクエスト

任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、アクセスリクエストでリクエストタイプを作成する必要があります。Okta Privileged Accessとアクセスリクエストを参照してください。

  1. 承認リクエストを有効にする(Enable approval requests)に切り替えます。
  2. 承認リクエストタイプを選択します。
  3. 承認を存続させる期間を選択します。

MFAの有効化(Enable MFA)

任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

  1. MFAの有効化(Enable MFA)に切り替えます。
  2. 次のいずれかのオプションを選択します。任意の2要素タイプ(Any two-factor types)またはフィッシング耐性(Phishing Resistant)(Phishing resistant)
  3. 次のいずれかの再認証頻度を選択します。
    • SSHまたはRDP接続試行のたびに毎回(Every SSH or RDP connection attempt):リソースへのアクセス試行のたびにMFAを実行します。
    • 指定期間後(After the specified duration):5分~12時間の範囲で期間を指定します。デフォルトは30分です。

ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

最大チェックアウト時間(Maximum checkout time)

任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

  1. プロジェクトレベルの最大チェックアウト時間をオーバーライド(Override the project-level maximum checkout time)に切り替えます。
  2. 量(Amount)期間(Duration)を設定します。

Oktaサービスアカウントポリシーのルールを追加する

このルールをOktaサービスアカウントポリシーに追加します。

  1. セキュリティ管理(Security Administration) > ポリシー(Policies)に移動します。

  2. ルールを追加するポリシーを選択します。
  3. ルールを追加(Add rule)を選択して、次の手順を実行します。
    設定 アクション

    ルール名(Rule name)

    ルール名を入力します。

    保護アカウント(Accounts to protect)

    ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

    アカウントを名前で選択する(Select accounts by name)

    1. アカウントを名前で選択する(Select accounts by name)に切り替えます。
    2. 1つ以上のアカウントを個別に選択します。

    承認リクエスト

    任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、アクセスリクエストでリクエストタイプを作成する必要があります。Okta Privileged Accessとアクセスリクエストを参照してください。

    1. 承認リクエストを有効にする(Enable approval requests)に切り替えます。
    2. 承認リクエストタイプを選択します。
    3. 承認を存続させる期間を選択します。

    MFAの有効化(Enable MFA)

    任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

    1. MFAの有効化(Enable MFA)に切り替えます。
    2. 次のいずれかのオプションを選択します。任意の2要素タイプ(Any two-factor types)またはフィッシング耐性(Phishing Resistant)(Phishing resistant)
    3. 次のいずれかの再認証頻度を選択します。
      • ユーザーが警戒アクション取るたびに毎回(Every guarded action a user takes):リソースへのアクセス試行のたびにMFAを実行します。
      • 指定期間後(After the specified duration):5分~12時間の範囲で期間を指定します。デフォルトは30分です。

    ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

    最大チェックアウト時間(Maximum checkout time)

    任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

    1. プロジェクトレベルの最大チェックアウト時間をオーバーライド(Override the project-level maximum checkout time)に切り替えます。
    2. 量(Amount)期間(Duration)を設定します。
  4. ルールを保存(Save rule)をクリックします。
  5. ポリシーを保存(Save policy)をクリックします。このポリシーを公開できるようになります。

関連項目

セキュリティポリシー

アクセスリクエストを持つ Okta Privileged Access