Oktaサービスアカウントの権限

ディレクトリの権限を調整する前に、Active Directory(AD)の権限がどのように設定されるかを理解し、環境内の権限の管理方法を計画してください。タスクの実行に必要なアカウント要件の詳細については、「Active Directory統合の前提条件」を参照してください。

既存のアカウントが選択されてない場合、デフォルトではOkta ADエージェントのインストーラーによってOktaサービスアカウントが作成されます。新たに作成されたOktaServiceアカウントは、Domain Usersグループの権限を継承します。また、エージェントの実行中、OktaServiceは、Authenticated UsersグループおよびEveryone特別IDグループのメンバーであると見なされます。デフォルトでは、Authenticated Usersグループは、Pre-Windows 2000 compatible Accessグループのメンバーです。Pre-Windows 2000 Compatible AccessグループからAuthenticated Usersグループを削除すると、増分インポートで問題が発生する可能性があります。増分インポートの問題を解決するには、次のいずれかの変更を行うことをお勧めします。

  • OktaServiceアカウントをPre-Windows 2000 Compatible Accessグループに追加します。

  • OktaServiceアカウントに、同期されたすべてのADオブジェクトに対する[Read all(すべて参照)]権限があることを確認します。

Okta ADエージェント管理ユーティリティには、OktaServiceアカウントをドメイン管理者グループに追加するオプションも含まれています。リストに示される機能が必要ではあるが、サービスアカウントを完全な管理者にしたくない場合は、次の権限が設定されていることを確認してください。

ユーザーをプロビジョニングする

  • 対象組織単位(OU)でのユーザーオブジェクトの子の作成権限が必要です。
  • 対象OU内のユーザーオブジェクトに対する、パスワードリセットの制御アクセス権が必要です。
  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • Okta内のADユーザープロファイルにマッピングされるその他すべての属性について、対象OU内のユーザーオブジェクトに対するプロパティの書き込み権限が必要です。マッピングは、https://<org>/admin/universaldirectory[Directories(ディレクトリ)]の下にリストされます。

ユーザー属性を更新する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティ更新権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • https://<org>/admin/universaldirectoryのADユーザープロファイルにマッピングされるその他すべての属性について、対象OU内のユーザーオブジェクトに対するプロパティ更新権限が必要です。

グループプッシュ

  • 対象OUでのグループオブジェクトの子の作成権限が必要です。
  • 対象OUでのグループオブジェクトの子の削除権限が必要です。
  • 次の属性について、対象OU内のグループオブジェクトに対するプロパティーの更新権限が必要です。
    • sAMAccountName
    • description
    • groupType
    • member
    • cn
    • name

パスワードをリセットする、忘れたパスワードを確認する、パスワードを同期する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの更新権限が必要です。
    • lockoutTime
    • pwdLastSet
  • 対象OU内のユーザーオブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。

ユーザーをアクティブ化する/非アクティブ化する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの更新権限が必要です。
    • userAccountControl

参照コマンドを使用して権限を追加する

リストされているコマンドを使用して権限を追加します。それをバッチファイルに保存し、環境に合わせて対象OUとサービスアカウント情報を変更します。必ず不要な権限を削除し、Okta内のプロビジョニング用にマッピングしたすべての属性を追加します。ユーザー属性の完全なリストは、https://<org>/admin/universaldirectoryのディレクトリユーザープロファイルから取得できます。PowerShellからdsaclsコマンドを管理者権限で実行します。これらの権限を得るには、PowerShellの起動時に[Run as administrator(管理者として実行)]オプションを使用します。

# ユーザーを作成します dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CC;user # ユーザーを作成または更新します # Okta内のorgでマッピングされるその他の属性を含めます dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user # ユーザー/パスワードリセットを作成します dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user" dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user # グループプッシュ dsacls "OU=targetOU,DC=domain" /I:T /G domain\agentserviceaccount:CCDCDT;group # If your use case requires that you grant the preceding permission only for child objects, you can replace /I:T with /I:S. dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group