Okta Privileged Accessユーザーガイド
Okta Privileged Accessユーザーの特権リソースに対するアクセス権は、ユーザーが属するグループとそのグループに付与されているアクセス権に基づいて付与されます。
開始する前に
Okta Privileged Accessを使い始めるには、いくつかのタスクを完了する必要があります。「Okta Privileged Accessを開始する」を参照してください。
サーバーリソースにアクセスする
アクセス権が付与されているリソースのリストはダッシュボードで確認できます。その後、Okta IDを使用してSSHまたはRDP経由でリソースに接続できます。一部のサーバーへのアクセスにはアクセスリクエストの承認が必要になります。
- Okta Privileged Accessアカウントにサインインします。
- [My Privileged Access(自分の特権アクセス)]に移動します。
- 接続するサーバーで[Actions(アクション)]メニューをクリックします。
- アクセスするサーバーの[Connect(接続)]をクリックします。
- 表示されるダイアログでアカウントを選択します。
- [Connect(接続)]をクリックします。ターミナルウィンドウまたはsft UIが表示され、使用するアカウントを選択したり、リクエスト承認の通知を受けたりすることができます。
- サーバーアカウントがアクセスの承認を必要とする場合は、次のように操作します。
- 使用するアカウントを選択します。
- [Request approval(リクエスト承認)]をクリックします。Okta Privileged Accessによってアクセスリクエストが自動的に生成されます。リクエストが承認されると、接続を再試行できるようになります。
SaaSアプリのアカウント資格情報を表示する
- Okta Privileged Accessアカウントにサインインします。
- [My Privileged Access(自分の特権アクセス)]に移動します。
- [SaaS apps(SaaSアプリ)]を選択し、アプリインスタンスを選びます。
- アプリに割り当てたアカウントをクリックします。
- [Show credentials(資格情報を表示)]をクリックしてパスワードを表示します。
- 任意。[Override(上書き)]をクリックしてOkta Privileged Access vaultに保存されているパスワードを更新し、ダウンストリームアプリで使用されるパスワードと一致させます。このオプションは、自動パスワードローテーションをサポートするアカウントでのみ使用できます。帯域外の変更後にパスワードを同期する必要があるときに上書き機能を使用します。また、システムが保存されたパスワードと実際のパスワードの間の不一致を検出した場合にも使用できます。
- 任意。[Rotate password(パスワードをローテーション)]をクリックします。
Active Directoryアカウントにアクセスする
Okta Privileged Accessダッシュボードでは、アカウントに関連付けられているすべてのActive Directory(AD)ドメインを表示できます。それぞれのドメイン内には、アクセスをリクエストできるさまざまなADアカウントのリストが表示されます。
- Okta Privileged Accessアカウントにサインインします。
- [My Privileged Access(自分の特権アクセス)][Active Directory]に移動します。
- ドメインをクリックし、アクセスするアカウントをクリックします。
- 使用するアクセス方法について[Request access(アクセスを要求する)]をクリックします。
- アクセスリクエストが承認されたら、クリックして資格情報を確認します。
シークレットの作成と管理
Okta Privileged Accessユーザーがシークレットフォルダーへのアクセス権を付与されている場合、そのアクセスレベルは割り当てられている権限によって異なります。ユーザーインターフェイスまたはCLIを使ってフォルダー内で実行できるタスク(シークレットとフォルダーの作成、読み取り、更新、削除など)は、権限によって異なります。
ポリシー内でアクセスリクエスト条件が有効な場合、どのタスクを実行する場合もユーザーはリクエストの承認を得る必要があります。つまり、シークレットフォルダー内で特定のアクション(フォルダーまたはシークレットの作成など)を実行するには、事前に承認を得る必要があります。
以降のトピックでは、ユーザーインターフェイスを使ってシークレットを作成および管理する方法について説明します。CLIコマンドの使用については、「Okta Privileged Accessクライアントを使用する」を参照してください。
ネストされたフォルダーを作成する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- をクリックします。
- フォルダーに名前を付けて説明を入力します。
- [Submit(送信)]をクリックします。
シークレットを作成する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- をクリックします。
- [Secret name(シークレット名)]ページで次のように操作します。
フィールド タスク Name(名前) シークレットに名前を付けます。 名前には、英数字(a~Z、0~9)、ハイフン(-)、アンダースコア(_)、ピリオド( .)のみ使用することができます。
説明 説明を入力します。 テンプレート化されたキー値を追加 事前定義されたテンプレートからシークレットを作成します。
[Add templated key values(テンプレート化されたキー値を追加)]をクリックします。
次のいずれかのテンプレートを選択します。
API key(APIキー)
Username / password(ユーザー名/パスワード)。
[Secret Value(シークレット値)]を入力します。テンプレート化されたフィールドのキー名が事前入力されます。
キー/値ペアのシークレットキーでは、大文字と小文字を区別する必要があります。
- 任意。[Add key value(キー値を追加)]をクリックして、キーと値のペアを手動で追加します。
- [Save secret(シークレットを保存)]をクリックします。
シークレットを表示する
Okta Privileged Accessユーザーは、シークレットを表示してキー名とシークレット値を確認できます。
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- ネストされたシークレットフォルダーを選択します。
- [Reveal value(値を表示)]をクリックします。
シークレットフォルダーを削除する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- ネストされたシークレットフォルダーを選択します。
- [Actions(アクション)]メニューをクリックし、[Delete(削除)]を選択します。
- [Delete secret folder(シークレットフォルダーを削除)]をクリックします。
シークレットを削除する
- Okta Privileged Accessアカウントにサインインします。
- に移動します。
- 最上位のフォルダーを開きます。
- ネストされたシークレットフォルダーを選択します。
- [Actions(アクション)]メニューをクリックし、[Delete(削除)]を選択します。
- [Delete secret(シークレットを削除)]をクリックします。
SaaSアプリのパスワードを自動生成する
パスワードジェネレータを使用して、管理対象外SaaSアプリのパスワードを更新します。
- に移動します。
- アプリインスタンスを選択します。
- をクリックします。
- [Password(パスワード)]フィールドの横にある錠アイコンをクリックします。
- 必要に応じて、[Generate a strong password form(強力なパスワード形式を生成)]を使ってパスワード設定を更新します。
- [Save(保存)]をクリックします。
関連項目
Okta Privileged Accessクライアントをインストールする