セキュリティポリシーの概念

セキュリティポリシーの作成では、次のアクセス制御機能を構成できます。

機能 説明
プリンシパル ポリシーに関連付けられるユーザーとグループには、一致するリソースへのアクセス権が付与されます。詳細については、「コンポーネント」を参照してください。
ポリシー ポリシーは、組織内で特権アクセスを管理する方法を規定する一連のルールまたはガイドラインを意味します。これらのアクションには、機密データへのアクセス、重要な構成変更、またはソフトウェアのインストールが含まれる場合があります。
ルール ポリシー内のルールは、特権アカウントの管理と使用に関連する特定の条件、アクション、または制限事項を定義します。これらのルールは、セキュリティのベストプラクティスを強制し、コンプライアンス要件を遵守し、特権アクセスに関連するリスクを緩和するように設計されています。ルールは、リソースの範囲と、リソースに対する特権アクセス権の付与方法を定義するために使用されます。それぞれのセキュリティポリシーには、各プリンシパルで利用できるリソースと特権を定義するルールが含まれます。

セキュリティ管理者と代理セキュリティ管理者が作成できるルールは次のとおりです。
セッションタイプ これは、リソースに対するユーザーのアクセス方法です。セッションタイプは、SSHまたはRDPです。
リソース リソースに対する特権アクセス権は、セキュリティ管理者または代理セキュリティ管理者が作成するポリシーに基づきます。リソースに対するアクセス権の範囲は次の方法で構成できます。

ラベルを使用するリソース(Resources using labels)

ルールの作成時に、使用するラベルを選択し、ラベルに一致するサーバーを含めます。ラベルを使ってサーバーの範囲を定義すると、リソースに対するプリンシパルのアクセス方法を構成できるようになります。プリンシパルは、オンデマンドの個別アカウント、格納済みのローカルアカウント、またはその両方を使ってサーバーにサインインすることでリソースにアクセスできます。

名前別のリソース(Resources by name)

特定のリソースにポリシーを割り当てます(例:apiserver-prod / pamadmin)。

ラベル

 個々のサーバーにラベルを適用できます。Okta Privileged Accessチームは、これらのラベルを使ってサーバーアクセスを分類したり、並べ替えたりできます。ラベルには次の2つのタイプがあります。

  • システム生成ラベル(System-generated labels)Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、またはGoogleクラウドプラットフォームアカウントIDなどの特性に応じて、システム生成のいくつかのラベルが自動的に作成されます。

  • カスタムラベル(Custom labels): サーバーエージェント構成ファイル(sftd.yaml)にラベルを直接構成できます。構成が済むと、このファイルはOkta Privileged Accessコンソールに表示され、ラベルを選択できます。サーバーエージェント構成ファイルにカスタムラベルを追加する方法については、「カスタムラベル」を参照してください。

チームの柔軟性を高めるために、ラベルは、キー/値のペアの形式で並べ替えられます。ラベルは、システム内で、またはsftd構成ファイルを通じて生成されます。Okta Privileged Accessは、ラベルのソースを識別するプレフィックスを自動的に追加します。たとえば、サーバーにはenv:prodenv:testという2つのラベルが存在する場合があります。env:prodラベルがOkta Privileged Accessで生成された場合、システムプレフィックスはsystem.env:prodのようになります。同様に、env:testラベルがsftd構成ファイルから生成された場合、sftdプレフィックスはsftd.env:testのようになります。これにより、同じラベルが複数のソースから追加された場合(これはシステムとサーバーエージェント構成ファイルの両方でラベルが指定されている場合に起こる可能性があります)の競合を回避できます。
セッションの記録 セッションの記録を参照してください。
承認リクエスト Okta Privileged AccessAccess Request付き」を参照してください。
多要素認証 多要素認証を参照してください。

関連項目

セキュリティポリシー