SFT keyring

Si vous activez SFT keyring, tous les jetons en texte brut dans le fichier state.json seront chiffrés à l'aide du keyring system par défaut. Une fois que SFT keyring est établi sur un système, il est automatiquement mis à jour lorsque l'utilisateur se connecte à Okta Privileged Access ou tente d'accéder à un serveur.

Une fois que SFT keyring est activé, il ne peut pas être inversé. Vous pouvez utiliser le keyring noop pour tout système d'exploitation qui ne propose pas de chiffrement. Pour remplacer le keyring noop, les utilisateurs doivent se réinscrire et se reconnecter.

Avant de commencer

  • SFT keyring chiffre les jetons d'accès. Si les clés utilisées pour déchiffrer les jetons ne sont pas accessibles, le déchiffrement est impossible. Cela empêche l'exfiltration de données non autorisées.
  • SFT keyring sur Linux utilise D-Bus pour se connecter à un service secret spécifique à l'ordinateur de bureau et sécurise les jetons d'accès de manière pro-active. Si sft ne peut pas atteindre un SecretService déverrouillé, il ne peut pas déchiffrer ces jetons. Cela peut entraîner une perte d'accès à vos jetons si vous utilisez Linux à la fois en mode graphique et en mode sans interface graphique. Pour éviter cela, utilisez le gestionnaire de clés non sécurisé noop :
    1. Définissez SFT_KEYRING à noop dans vos scripts d'initialisation shell.
    2. Réinscription Consultez la section Enrôler le client Okta Privileged Access.

Gestionnaire de clés par défaut

Gestionnaire de clés SFT doit être configuré sur chaque appareil. Le système d'exploitation est livré avec un gestionnaire de clés par défaut, et il détermine celui qui est le plus approprié à utiliser. En utilisant la variable système system dans la configuration, le système d'exploitation sélectionne automatiquement le gestionnaire de clés adapté à utiliser.

macOS

SFT keyring est chiffré par défaut sur macOS. Vous pouvez configurer le gestionnaire de clés à l'aide du framework des valeurs utilisateur par défaut :

$ defaults write com.scaleft.ScaleFT SFTKeyring system

Vous pouvez également l'activer en définissant une variable d'environnement :

export SFT_KEYRING=system

Si les deux sont définis, la variable d'environnement est prioritaire.

Pour désactiver le chiffrement, utilisez noop au lieu de system dans la variable d'environnement, puis réinscrivez-vous dans l'équipe.

Windows

SFT keyring est chiffré par défaut sur Windows. Vous pouvez configurer le gestionnaire de clé à l'aide du registre :

HKEY_LOCAL_MACHINE\Software\ScaleFT\SFT\Keyring

Ou

HKEY_CURRENT_USER\Software\ScaleFT\SFT\Keyring

Vous pouvez également configurer le gestionnaire de clés à l'aide de la variable d'environnement SFT_KEYRING.

HKEY_LOCAL_MACHINE a la priorité à la fois sur la variable d'environnement et l'entrée CURRENT_USER. La variable d'environnement est prioritaire par rapport à l'entrée CURRENT_USER.

Pour désactiver le chiffrement, définissez la clé de registre sur noop au lieu de system, puis réinscrivez-vous dans l'équipe.

Linux

Sous Linux, les gestionnaires de clés fonctionnent uniquement dans un environnement de bureau D-Bus et la méthode de chiffrement par défaut est system.

Pour définir ou mettre à jour la variable d'environnement SFT_KEYRING pour le système system, ajoutez ce qui suit au fichier de profil du shell :

export SFT_KEYRING=system

Rubriques connexes

Utilisation du client Okta Privileged Access

Installer le client Okta Privileged Access

Agent du serveur Okta Privileged Access géré