Active Directoryアカウントルール
早期アクセスリリース
Active Directory(AD)アカウントルールはOkta Privileged AccessでADアカウントの管理を自動化するように設計されています。
以下の2種類のアカウントルールがあります。
-
共有アカウントルール:1人のユーザーに属すことなく、複数の人が使用するアカウントの管理に使用されます。これらのアカウントは、Active Directoryチームが所有する管理者アカウントや、物流チームが管理する配送アカウントなどのように、チーム間で共有されます。
-
個別アカウントルール:特定のユーザーに属するアカウントに適用されます。AD環境では通常、特権ユーザーには個別の専用アカウントがあり、それらユーザーが日常で使用するアカウントに特権アクセスは付与されません。これらの管理者アカウントは各自の個別使用のみを意図したものであり、名前には管理者アカウントを示すプレフィックスまたはサフィックスが付けられます。たとえば、adm.Jane.Doe@ad.domain.netやclark.kent-admin@ad.dailyplanet.orgなどです。個別アカウントルールを作成する前に、まず個別のアカウント設定を構成する必要があります。
個別アカウントルールは、 Okta Privileged Access が個々のアカウントをそのプライマリユーザーにマッピングする方法を決定します。 ポリシールールは、ユーザーが個別の管理者アカウントにアクセスできるかどうかを制御し、そのアクセスに適用される条件を指定します。ユーザーは自分の個人アカウントのみを表示できます。
Okta Privileged Accessは、これらのアカウントをそれぞれの所有者と関連付けるために、いくつかのオプションをサポートしています。
開始する前に
-
Okta Privileged Accessのリソース管理者ロールが必要です。
-
要件と制限事項を確認して、必要な手順を完了します。
-
個別アカウントルールを作成するには、まず個別アカウントルールの設定を構成する必要があります。
個別アカウントルールの設定を構成する
この設定をまだ構成していない場合は、[アカウントルール]ページに黄色のバナーで通知が表示されます。
-
Okta Privileged Accessダッシュボードで に移動します。
-
[Active Directory] タブを選択し、構成するADドメインを選択します。
-
通知バナーの[Configure settings(設定を構成)]をクリックします。
-
ユーザーの一致基準に完全一致を指定します。以下のいずれかを選択します。
-
Account name(アカウント名)
-
First and last name(名と姓)
-
Display name(表示名)
-
Email(メール)
-
Starts with(次で始まる)(プレフィックス)
-
Ends with(次で終わる)(サフィックス)
他のオプションとともに、複数のプレフィックスとサフィックスの文字列を設定できます。設定したオプションにはOR演算子が適用され、それぞれのアカウントを関連付けて割り当てるのに、それらの構成済みオプションからいずれかが使用されます。1人のユーザーに複数のActive Directory(AD)アカウントが一致する場合は、それらのアカウントがすべてそのユーザーに割り当てられます。これにより、1人のユーザーが割り当てられた複数のADアカウントを所有できます。
-
[Starts with(次で始まる)]と[Ends with(次で終わる)]を構成した例
以下は、[Starts with(次で始まる)]と[Ends with(次で終わる)]の関数を使用した例です。
-
「admin.Username」のような命名スキームの場合は、「[Starts with(次で始まる)] = adminと入力すればフィルタリングできます。
-
Active Directoryの命名規則(Username-Aなど)がある場合は、「[Ends with(次で終わる)] = -A」と入力します。
-
「Username-A」のような命名規則の場合は、「[Ends with(次で終わる)] = -A」と入力すればフィルタリングできます。
-
「tier0.Username」、「tier1.Username」、「tier2.Username」のような複数の命名スキームの場合は、以下を入力してフィルタリングします。
-
[Starts with(次で始まる)] = tier0
-
[Starts with(次で始まる)] = tier1
-
[Starts with(次で始まる)] = tier2
-
個別アカウントルールを作成する
Active Directory(AD)ドメインに複数のルールを作成することができます。それぞれのルールは、共有アカウントと個別アカウントのどちらをマッピングしているのか、ルールの定義に使用する組織単位(OU)、そして、アカウントを割り当てるリソースグループとプロジェクトを指定します。
個別アカウントルールを作成するには、個別アカウントルールの設定を構成する必要があります。個別アカウントルールの設定が構成されるまで、個別アカウントルールは無効になります。
アカウントをOkta Privileged Accessで検出できるようにするには、まずそのアカウントをOktaにインポートする必要があります。ADエージェントのインポート頻度は、Okta Privileged Accessでアカウントが表示される頻度に影響します。
-
Okta Privileged Accessダッシュボードを開きます。
-
Okta Privileged Accessダッシュボードで に移動します。
-
[Active Directory] タブを選択し、構成するADドメインを選択します。
-
[Account rules(アカウントルール)]タブを選択します。
-
をクリックして、以下を行います。
-
[Rule type(ルールタイプ)]を選択します。
-
[Rule Name(ルール名)]を入力します。
-
[Resource group(リソースグループ)]を選択します。
-
[Project(プロジェクト)]を選択します。
-
組織単位を指定します。例: ) ou=AdminAccounts,ou=Privileged,dc=corp,dc=atko,dc=biz
-
任意。別のOUを追加するには、[Add another input(別の入力を追加)]をクリックします。
-
複数のルールある場合は、新しいルールの優先度が最も低くなります。優先度を変更するには、「ルールの優先度を編集する」を参照してください。
共有アカウントルールを作成する
複数の人が使用するアカウントを管理するには、共有アカウントルールを作成します。
-
Okta Privileged Accessダッシュボードで に移動します。
-
[Active Directory] タブを選択し、構成するADドメインを選択します。
-
[Account rules(アカウントルール)]タブを選択します。
-
をクリックして、以下を行います。
-
[Rule type(ルールタイプ)]を選択します。
-
[Rule Name(ルール名)]を入力します。
-
[Resource group(リソースグループ)]を選択します。
-
[Project(プロジェクト)]を選択します。
-
OUを指定します。例: ou=SharedAccounts,dc=Privileged,dc=corp,dc=atko,dc=biz
-
任意。別のOUを追加するには、[Add another input(別の入力を追加)]をクリックします。
-
複数のルールある場合は、新しいルールの優先度が最も低くなります。優先度を変更するには、「ルールの優先度を編集する」を参照してください。
ルールの優先度を編集する
複数のルールある場合は、新しいルールが最も低い優先度で追加されます。優先度を編集すると、ルールの優先度を変更できます。
-
Okta Privileged Accessダッシュボードで に移動します。
-
[Active Directory] タブを選択し、構成するADドメインを選択します。
-
[Account rules(アカウントルール)]タブを選択します。
-
[Edit priority(優先度を編集)]をクリックします。
-
ルールをドラッグ&ドロップして優先度を設定するか、オーバーフローメニューをクリックして利用可能なオプションを選択し、優先度を上下に移動します。
-
[Save priority(優先度を保存)]をクリックします。