セキュリティポリシーの概念

セキュリティポリシーの作成では、次のアクセス制御機能を構成できます。

機能 説明
プリンシパル ポリシーに関連付けられるユーザーとグループには、一致するリソースへのアクセス権が付与されます。詳細については、「Okta Privileged Access」を参照してください。
ポリシー ポリシーは、組織内で特権アクセスを管理する方法を規定する一連のルールまたはガイドラインを意味します。これらのアクションには、機密データへのアクセス、重要な構成変更、またはソフトウェアのインストールが含まれる場合があります。
ルール ポリシー内のルールは、特権アカウントの管理と使用に関連する特定の条件、アクション、または制限事項を定義します。これらのルールは、セキュリティのベストプラクティスを強制し、コンプライアンス要件を遵守し、特権アクセスに関連するリスクを緩和するように設計されています。ルールは、リソースの範囲と、リソースに対する特権アクセス権の付与方法を定義するために使用されます。それぞれのセキュリティポリシーには、各プリンシパルで利用できるリソースと特権を定義するルールが含まれます。

セキュリティ管理者と代理セキュリティ管理者が作成できるルールは次のとおりです。

セッションタイプ これは、リソースに対するユーザーのアクセス方法です。セッションタイプは、SSHまたはRDPです。
リソース リソースに対する特権アクセス権は、セキュリティ管理者または代理セキュリティ管理者が作成するポリシーに基づきます。リソースに対するアクセス権の範囲は次の方法で構成できます。
  • ラベルを使用するリソース

    ルールの作成時に、使用するラベルを選択し、ラベルに一致するサーバーを含めます。ラベルを使ってサーバーの範囲を定義すると、リソースに対するプリンシパルのアクセス方法を構成できるようになります。プリンシパルは、オンデマンドの個別アカウント、格納済みのローカルアカウント、またはその両方を使ってサーバーにサインインすることでリソースにアクセスできます。

  • 名前別のリソース

    特定のリソースにポリシーを割り当てます(例:apiserver-prod / pamadmin)。

ほとんどのLinuxインストールでは、ルートSSHログインはデフォルトで無効化されます。

ラベル

個々のサーバーにラベルを適用できます。Okta Privileged Accessチームは、これらのラベルを使ってサーバーアクセスを分類したり、並べ替えたりできます。ラベルには次の2つのタイプがあります。
  • System-generated labels(システム生成ラベル)Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、またはGoogleクラウドプラットフォームアカウントIDなどの特性に応じて、システム生成のいくつかのラベルが自動的に作成されます。

  • Custom labels(カスタムラベル): サーバーエージェント構成ファイル(sftd.yaml)にラベルを直接構成できます。構成が済むと、このファイルはOkta Privileged Accessコンソールに表示され、ラベルを選択できます。サーバーエージェント構成ファイルにカスタムラベルを追加する方法については、「カスタムラベル」を参照してください。

    カスタムラベルはサーバーのアクセシビリティに影響を与える可能性があります。カスタムラベルは慎重に使用することをお勧めします。

チームの柔軟性を高めるために、ラベルは、キー/値のペアの形式で並べ替えられます。ラベルは、システム内で、またはsftd構成ファイルを通じて生成されます。Okta Privileged Accessは、ラベルのソースを識別するプレフィックスを自動的に追加します。たとえば、サーバーにはenv:prodenv:testという2つのラベルが存在する場合があります。env:prodラベルがOkta Privileged Accessで生成された場合、システムプレフィックスはsystem.env:prodのようになります。同様に、env:testラベルがsftd構成ファイルから生成された場合、sftdプレフィックスはsftd.env:testのようになります。これにより、同じラベルが複数のソースから追加された場合(これはシステムとサーバーエージェント構成ファイルの両方でラベルが指定されている場合に起こる可能性があります)の競合を回避できます。

セッションの記録 セッションの記録」を参照してください。
承認リクエスト Okta Privileged Accessとアクセスリクエスト」を参照してください。
多要素認証 多要素認証」を参照してください。

関連項目

セキュリティポリシー