グループ

Okta Privileged Accessは、関連する権限をグループを使ってユーザーに明示的に割り当てて、必要なリソースまたはアクセス制御権限にアクセスできるようにします。グループをローカルに作成し、そこにユーザーを追加できます。Universal Directoryからのユーザーとグループを同期させることもできます。これによりユーザー、メンバー、ロールの管理が容易になります。

デフォルトグループ

チームごとに次の2つのグループが自動的に作成されます。

  • 全員には、 Okta Privileged Accessチームに属するすべてのユーザーが含まれます。
  • 所有者には、 最初はOkta Privileged Accessチームを作成したユーザーのみが含まれます。このグループは削除できません。

    所有者グループは、Okta Privileged Access管理者ロールを付与します。グループの作成やグループへのユーザーの追加を実行できるのは、PAM管理者ロールを持つユーザーのみです。

所有者グループは、PAM管理者ロール以外のロールを割り当てることも、このグループからPAM管理者ロールを削除することもできません。PAM管理者ロールは、Okta SCIMを通じてOkta Privileged Accessにプロビジョニングされる別のグループに割り当てることをお勧めします。所有者グループに割り当てるユーザーは、できるだけ少なくする必要があります

基本セットアップが完了したら、次の操作を行うことをお勧めします。

  • PAM管理者ロールが割り当てられるユーザーを管理するためのグループをOktaに作成します。
  • 現在Okta Privileged Accessの所有者グループに属しているユーザーを、この新しいOktaグループに割り当てます。
  • 新しいOktaグループをOkta Privileged Accessにプッシュします。
  • 新しいOktaグループにPAM管理者ロールを割り当てます。

これにより、所有者グループ内のユーザーが非アクティブ化される、またはOktaから削除された場合でも、org内の別のユーザーがPAM管理者ロールを維持できます。

前提条件

チームがこのタスクを実行するには、PAM管理者である必要があります。

ローカルグループを作成します。

ローカルグループの使用を最小限に抑え、代わりにOkta Admin Consoleでグループメンバーシップを管理することをお勧めします。これにより、Okta内のユーザーまたはグループのライフサイクルイベントに基づいて、グループメンバーに正確に反映させることができます。

  1. Okta Privileged Accessダッシュボードを開きます。
  2. [Groups(グループ)]をクリックします。
  3. [Create Group(グループを作成)]をクリックします。
  4. [グループの作成]ウィンドウでグループ名を入力します。
  5. 任意。グループに割り当てるチームロールを選択します。「Okta Privileged Access」を参照してください。
  6. [Create Group(グループを作成する)]をクリックします。

ローカルグループにユーザーを追加する

ユーザーをグループに追加すると、グループが追加されているプロジェクトのすべてのサーバーへのアクセス権がそのユーザーに付与されます。ローカルグループには、Okta Privileged Accessでローカルに作成されたサービスユーザーのみを追加する必要があります。

  1. Okta Privileged Accessダッシュボードを開きます。

  2. [Groups(グループ)]をクリックしてグループを開きます。

  3. [Users(ユーザー)]タブに移動します。

  4. [Username(ユーザー名)]フィールドに既存ユーザーの名前を入力します。

  5. Add User(ユーザーを追加する)]をクリックします。

関連項目

リソース管理

セキュリティ管理