ポリシーにルールを追加する

リソースのスコープと、これらリソースへの特権アクセスの付与方法を定義するルールを追加します。追加できるルールの種類は、セットアップしたポリシーの種類によって異なります。Oktaサービスアカウントポリシーでは、Oktaのルールタイプを追加できるのみですが、デフォルトポリシーでは、Okta以外のすべてのポリシータイプのルールを追加することができます。

デフォルト(サーバー、シークレット、またはSaaSアプリサービスアカウント)、または構成したポリシーに基づくOktaサービスアカウントルールを追加できます。

開始する前に

  • 既存のポリシーがあるか、ポリシーの作成中である必要があります。「セキュリティポリシーを作成または更新する」を参照してください。

  • セキュリティ管理者または代理セキュリティ管理者ロールが割り当てられている必要があります。

デフォルトポリシーのルールを追加する

このルールは、サーバー、シークレット、およびSaaSアプリサービスアカウントに対して追加できます。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。

  2. ルールを追加するポリシーを選択します。

  3. [Add rule(ルールを追加)]を選択して、いずれかのルールタイプを選択します。

    • サーバールール

    • シークレットルール

    • SaaSアプリサービスアカウントルール

  4. [Server rule(サーバールール)]を選択した場合は、次の手順を実行します。

    設定 アクション
    Rule name(ルール名)

    ルール名を入力します。

    Select the resources that you want to protect with this rule(このルールによって保護するリソースを選択)

    ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

    リソースをラベルで選択する

    1. [Select resources by label(リソースをラベルで選択する)]に切り替えます。

    2. [リソースを追加]フィールドでリソースラベルを検索して選択します。複数のリソースラベルを選択できます。ラベルの詳細については、「セキュリティポリシーの概念」を参照してください。

    リソースを名前で選択する

    1. [Select resources by name(リソースを名前で選択する)]に切り替えます。

    2. 1つ以上のアカウントを個別に選択します。

    Access method(アクセス方式)

    プリンシパルによるリソースへのアクセス方法では、いずれか一方または両方のオプションを選択します。

    • Access resources by individual account(個別アカウントでリソースにアクセス)

    • Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

    選択内容に応じて、次を構成する必要があります。

    Access resources by individual account(個別アカウントでリソースにアクセス)

    このオプションによってプリンシパルは、Oktaが作成して自動的に管理する個別アカウントを使ってリソースにサインインできます。

    次のいずれかのオプションを選択します。

    • User-level permissions(ユーザーレベルの権限)

    • Admin-level permissions(管理者レベルの権限)

    • User-level with sudo commands(ユーザーレベルとsudoコマンド)

    User-level with sudo commands(ユーザーレベルとsudoコマンド)を選択するときは、次の追加手順を実行します。

    1. [Sudo commands(sudoコマンド)]フィールドにコマンドを入力し、Enterキーを押して選択します。ルールごとに最大10個のsudoコマンドを追加できます。

    2. [End-user Display Name(エンドユーザー表示名)]フィールドにsudoコマンドバンドルの集合のニックネームを入力します。ニックネームの最大長さは64文字に制限され、使用できる文字は、0~9、A~Z、a~z、-、_、空白文字のみです。

    Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

    [Select vaulted accounts(格納済みアカウントを選択)]フィールドにアカウント名を入力し、キーボードのEnterキーを押してアカウントを選択します。1つまたは複数のアカウントを追加できます。

    Enable session recording(セッションの記録を有効にする)

    任意。セッションの記録を有効にするには、Oktaリソース管理者が事前にゲートウェイを登録およびインストールする必要があります。

    1. [Enable traffic forwarding through gateways(ゲートウェイ経由のトラフィックフォワーディングを有効にする)]を選択します。

    2. [Record session through gateways(ゲートウェイ経由でセッションを記録)]を選択します。

    Approval requests(承認リクエスト)

    任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、 アクセスリクエストでリクエストタイプを作成します。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

    1. ドロップダウンメニューからワークフローを選択します。

    2. 承認を存続させる期間を選択します。

    3. 承認の存続期間終了後のパスワードローテーション設定を選択します。

    WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

    Enable MFA(MFAの有効化)

    任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

    1. [Enable MFA(MFAの有効化)]に切り替えます。

    2. 次のいずれかのオプションを選択します。「Any two-factor types(任意の2要素タイプ)]または「Phishing Resistant(フィッシング耐性)]

    3. 次のいずれかの再認証頻度を選択します。

      • [Every SSH or RDP connection attempt(SSHまたはRDP接続試行のたびに毎回)]:リソースへのアクセス試行のたびにMFAを実行することを選択できます。

      • [After the specified duration(指定期間経過後)]:指定期間はデフォルトで30分に設定されています。5分~12時間の範囲で期間を指定できます。

    ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

  5. [Secret rule(シークレットルール)]を選択した場合は、次の手順を実行します。

    設定 アクション
    Rule name(ルール名)

    ルール名を入力します。

    Select the secret folder or secret you want to protect with this rule(このルールによって保護するシークレットフォルダーまたはシークレットを選択)

    1. [Select secret folder or secret(シークレットフォルダーまたはシークレットを選択)]をクリックします。

    2. シークレットフォルダーまたはシークレットを選択します。

    3. [Save(保存)]をクリックします。

    Select Permissions(権限を選択)

    		 権限を選択します。少なくとも1つの権限を選択する必要があります。詳細については、「シークレット権限」を参照してください。

    Approval requests(承認リクエスト)

    アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、アクセスリクエストでリクエストタイプを作成します。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

    1. 承認リクエストタイプを選択します。

    2. 承認を存続させる期間を選択します。

    Enable MFA(MFAの有効化)

    任意。MFAを有効にして、ポリシー内にきめ細かいレベルの認証と制御を追加します。

    1. [Enable MFA(MFAの有効化)]に切り替えます。

    2. 次のいずれかのオプションを選択します。「Any two-factor types(任意の2要素タイプ)]または「Phishing Resistant(フィッシング耐性)]

    3. 次のいずれかの再認証頻度を選択します。

      • [Every guarded action a user takes(ユーザーが警戒アクション取るたびに毎回)]:リソースへのアクセス試行のたびにMFAを実行することを選択できます。

      • [After the specified duration(指定期間経過後)]:指定期間はデフォルトで30分に設定されています。5分~12時間の範囲で期間を指定できます。

  6. [SaaS app service account rule(SaaSアプリサービスアカウントルール)]を選択した場合は、次の手順を実行します。

    1. ルール名を入力します。

    2. パスワード更新方法を以下から1つ選択します。

      • [Automated(自動化)]

      • [Manual(手動)]

    3. [Automated(自動化)]を選択した場合は、次の手順を実行します。

      設定 アクション
      Accounts to protect(保護アカウント)

      このルールで保護するアカウントを選択します

      [Select accounts by label(アカウントをラベルで選択する)]

      1. [Select accounts by label(アカウントをラベルで選択する)]に切り替えます。

      2. [Accounts(アカウント)]ドロップダウンをクリックして、1つ以上のラベルを追加します。

      [Select accounts by name(アカウントを名前で選択する)]

      1. [Select resources by name(リソースを名前で選択する)]を切り替えます。

      2. 1つ以上のアカウントを個別に選択します。

      Approval requests(承認リクエスト)

      任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、アクセスリクエストでリクエストタイプを作成する必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

      1. ドロップダウンメニューからワークフローを選択します。

      2. 承認を存続させる期間を選択します。

      3. 承認の存続期間終了後のパスワードローテーション設定を選択します。

      WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

      Maximum checkout time(最大チェックアウト時間)

      任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

      1. [Override the project-level maximum checkout time(プロジェクトレベルの最大チェックアウト時間をオーバーライド)]トグルをオンにします。

      2. [Quantity(数量)][Unit(単位)]を設定します。

    4. [Manual(手動)]を選択した場合は、次の手順を実行します。

      設定 アクション
      Permission for accounts(アカウントの権限)

      [Reveal(表示する)][Updated(更新済み)]、または両方を選択します。

      Accounts to protect(保護アカウント)

      [Select accounts by label(アカウントをラベルで選択する)]

      1. [Select resources by name(リソースを名前で選択する)]を切り替えます。

      2. [Accounts(アカウント)]ドロップダウンをクリックして、1つ以上のラベルを追加します。

      [Select accounts by name(アカウントを名前で選択する)]

      1. [Select resources by name(リソースを名前で選択する)]を切り替えます。

      2. 1つ以上のアカウントを個別に選択します。

      Approval requests(承認リクエスト)

      任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、アクセスリクエストでリクエストタイプを作成する必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

      1. ドロップダウンメニューからワークフローを選択します。

      2. 承認を存続させる期間を選択します。

      3. 承認の存続期間終了後のパスワードローテーション設定を選択します。

      WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

  7. [Save rule(ルールを保存)]をクリックします。このポリシーを公開できるようになります。

Oktaサービスアカウントポリシーのルールを追加する

このルールをOktaサービスアカウントポリシーに追加します。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。

  2. ルールを追加するポリシーを選択します。

  3. [Add rule(ルールを追加)]を選択して、次の手順を実行します。

    設定 アクション

    Rule name(ルール名)

    ルール名を入力します。
    Accounts to protect(保護アカウント)

    ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

    アカウントを名前で選択する

    1. [Select accounts by name(アカウントを名前で選択する)]に切り替えます。

    2. 1つ以上のアカウントを個別に選択します。

    Approval requests(承認リクエスト)

    任意。アクセスリクエストワークフローがセキュリティポリシーで表示されるようにするには、まず、アクセスリクエストでリクエストタイプを作成する必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

    1. ドロップダウンメニューからワークフローを選択します。

    2. 承認を存続させる期間を選択します。

    3. 承認の存続期間終了後のパスワードローテーション設定を選択します。

    WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

    Maximum checkout time(最大チェックアウト時間)

    任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

    1. [Override the project-level maximum checkout time(プロジェクトレベルの最大チェックアウト時間をオーバーライド)]トグルをオンにします。

    2. [Amount(量)][Duration(期間)]を設定します。

  4. [Save rule(ルールを保存)]をクリックします。

  5. [Save policy(ポリシーを保存)]をクリックします。このポリシーを公開できるようになります。

関連項目

セキュリティポリシー

Okta Privileged Accessとアクセスリクエスト