Accès SSH principal pour les charges de travail automatisées
La fonctionnalité Accès SSH principal d'Okta Privileged Access permet aux charges de travail automatisées, telles que les exécuteurs CI/CD ou des scripts d'automatisation, d'établir des connexions SSH à des serveurs de la même manière que les utilisateurs humains. Okta Privileged Access approvisionne des utilisateurs serveur pour ces charges de travail et gère leurs sessions.
Approvisionnement automatisé des comptes utilisateurs sur les serveurs
Lorsque vous créez un rôle de charge de travail dans Okta Privileged Access, la plateforme attribue automatiquement un nom d'utilisateur Unix ou Linux spécifique que cette charge de travail utilisera lors de la connexion à un serveur. Le nom d'utilisateur du serveur est basé sur le nom du rôle de charge de travail, avec le préfixe wl_. Par exemple, la création d'un rôle de charge de travail nommé builder donne automatiquement le nom d'utilisateur wl_builder. Ce nom d'utilisateur est géré par la plateforme et ne peut pas être modifié par les administrateurs, ce qui garantit une dénomination cohérente dans l'ensemble de votre environnement.
Si un administrateur de la sécurité renomme un rôle de charge de travail, le nom d'utilisateur du serveur correspondant est mis à jour automatiquement. Par exemple, renommer le rôle de builder en app-deployer modifie le nom d'utilisateur de wl_builder en wl_app-deployer, ce qui reflète la façon dont les modifications de nom d'utilisateur sont gérées pour les utilisateurs humains. Ces utilisateurs sont approvisionnés Just-In-Time et les administrateurs doivent rechercher le wl_ prefix lors de la consultation des journaux du serveur local.
Identité d'accès partagée
Les rôles de charge de travail constituent des regroupements logiques pour les tâches automatisées. Plusieurs charges de travail différentes, comme des conteneurs dans un cluster Kubernetes ou des tâches CI/CD distinctes, peuvent utiliser le même rôle de charge de travail. Dans ce cas, toute charge de travail utilisant un rôle particulier se connecte au serveur cible avec le même wl_ username associé à ce rôle. Cette approche permet à plusieurs charges de travail d'accéder simultanément à un serveur en utilisant le même rôle, sans provoquer de conflits.
Sécurité et cycle de vie des sessions
L'accès aux charges de travail est protégé par le même moteur de sécurité en temps réel qui régit l'accès des utilisateurs. Okta Privileged Access évalue en continu les politiques d'accès pour toutes les connexions actives. Si un rôle de charge de travail est supprimé d'une politique d'accès alors qu'une charge de travail est connectée à un serveur, Okta Privileged Access applique immédiatement la modification en mettant fin à la session SSH active et en déconnectant la charge de travail du serveur.
Rubriques connexes