Okta Privileged Accessアカウント
Okta Privileged Accessは、Oktaユーザーがローカルサーバーアカウントを使ってサーバーにアクセスできるようにします。サーバーごとにOktaによって管理、作成されるこれらの個別ユーザーアカウントは、Oktaユーザーのプリンシパルアカウントと呼ばれます。
これらのローカルサーバーアカウントは、オンデマンドで作成することも、複数のログインにわたって永続させることもできます。これらのアカウントの追加と削除は、サーバーにインストールされるOkta Privileged Accessエージェントによって行われます。
デフォルトのアカウント設定はオンデマンドです。リソース管理者または代理リソース管理者は、プロジェクトの永続アカウントを有効化できます。一度に使用できるユーザーアカウントは1つのみです。
オンデマンドアカウント
ユーザーがサーバへのアクセスを試みると、Okta Privileged Accessはアカウントを作成します。アクティブな間、アカウントはオンデマンドユーザーに通常のユーザー権限を付与しますが、管理権限は付与しません。
オンデマンドアカウントは、ユーザーがログアウトする、サーバーへのアクセスを失う、またはアクセスリクエストの有効期限が切れると削除されます。Windowsサーバーでは、ユーザーアカウントはセッションと関連付けられ、アカウントの有効期限が切れるとホームディレクトリは削除されます。このとき、ユーザーのホームディレクトリに保存されたすべてのデータも削除されます。
要塞またはOkta Privileged Accessゲートウェイを通じてサーバーに接続するには、要塞またはゲートウェイのポート4421からサーバーにアクセスできる必要があります。ただし、直接接続では、クライアントのポート4421からサーバーにアクセスできる必要があります。「Okta Privileged Accessサーバーエージェントを構成する」を参照してください。
永続アカウント
Okta Privileged Accessには、任意のプロジェクトの永続アカウントを有効化するオプションが用意されています。これが有効化されると、Okta Privileged Accessに割り当てられたすべてのユーザーのプロジェクト内のすべてのサーバーにローカルアカウントが自動的に作成されます。この機能は、セキュリティポリシーの設定に関係なく有効化されますが、これらのアカウントを使ってサーバーにアクセスできるのは、セキュリティポリシーを通じてアクセス権が付与されたユーザーのみです。
これらのサーバーのいずれかにユーザーがログインするときは、Okta Privileged Access内の各自のユーザー名に対応するアカウントが使用されます。ユーザー名はサーバーのオペレーティングシステムによって異なり、unix_usernameとwindows_usernameのいずれかです。その他の情報については、「ユーザー属性」を参照してください。
アクティブ化した永続アカウントを非アクティブ化すると、Oktaによって管理されるすべてのユーザーアカウントは削除されます。unix_uid、unix_username、windows_usernameなど、同じ属性を持つ複数のユーザーが存在する場合、Okta Privileged Accessはどのユーザーがその特定のユーザー名またはUIDを取得するかを決定できません。結果として、プロジェクトに警告メッセージが表示されます。これらのユーザーは、管理者がこれらのユーザーの属性を一意にするまでサーバーと同期されません。
プロジェクトの永続アカウントは、プロジェクトの[Account lifecycle(アカウントライフサイクル)]設定を有効化することでいつでも構成できます。