Oktaサービス・アカウントの権限について

ディレクトリーの権限を調整する前に、Active Directory(AD)の権限がどのように設定されているかを理解し、環境内での権限の管理方法を計画してください。

既存のアカウントを選択しない場合は、デフォルトで、Okta AD Agentのインストーラーが新しいOktaサービス・アカウントを作成します。新しく作成されたOktaServiceアカウントは、Domain Usersグループの権限を継承します。また、エージェントの実行中、OktaServiceは、Authenticated UsersグループおよびEveryone特別IDグループのメンバーであると見なされます。デフォルトでは、Authenticated Usersグループは、Pre-Windows 2000 compatible Accessグループのメンバーです。Pre-Windows 2000 Compatible AccessグループからAuthenticated Usersグループを削除すると、増分インポートで問題が発生する可能性があります。増分インポートの問題を解決するには、次のいずれかの変更を行うことをお勧めします。

  • OktaServiceアカウントをPre-Windows 2000 Compatible Accessグループに追加します。

  • OktaServiceアカウントに、同期されたすべてのADオブジェクトに対する[すべて読み取り]権限があることを確認します。

Okta AD Agent Management Utilityには、OktaServiceアカウントをDomain Adminsグループに追加するオプションも含まれています。以下にリストされている機能が必要である一方で、サービス・アカウントを完全な管理者にしたくない場合は、次の権限が設定されていることを確認してください。

ユーザーをプロビジョニングする

  • 対象組織単位 (OU)でのユーザー・オブジェクトの子の作成権限が必要です。
  • 対象OU内のユーザー・オブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。
  • 次の属性について、対象OU内のユーザー・オブジェクトに対するプロパティーの書き込み権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • Oktaのhttps://<org>/admin/universaldirectory内のADユーザー・プロファイルにマップされたほかのすべての属性について、対象OU内のユーザー・オブジェクトに対するプロパティーの書き込み権限が必要です。

ユーザー属性を更新する

  • 次の属性について、対象OU内のユーザー・オブジェクトに対するプロパティーの書き込み権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • Oktaのhttps://<org>/admin/universaldirectory内のADユーザー・プロファイルにマップされたほかのすべての属性について、対象OU内のユーザー・オブジェクトに対するプロパティーの書き込み権限が必要です。

グループ・プッシュ

  • 対象OUでのグループ・オブジェクトの子の作成権限が必要です。
  • 対象OUでのグループ・オブジェクトの子の削除権限が必要です。
  • 次の属性について、対象OU内のグループ・オブジェクトに対するプロパティーの書き込み権限が必要です。
    • sAMAccountName
    • description
    • groupType
    • member
    • cn
    • name

パスワードをリセットする、忘れたパスワードを確認する、パスワードを同期する

  • 次の属性について、対象OU内のユーザー・オブジェクトに対するプロパティーの書き込み権限が必要です。
    • lockoutTime
    • pwdLastSet
  • 対象OU内のユーザー・オブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。

ユーザーをアクティブ化する/非アクティブ化する

  • 次の属性について、対象OU内のユーザー・オブジェクトに対するプロパティーの書き込み権限が必要です。
    • userAccountControl

参照コマンドを使用して権限を追加する

リストされているコマンドを使用して権限を追加します。それらをバッチ・ファイルに保存し、ご使用の環境に合うように対象OUとサービス・アカウント情報を変更します。不要な権限を削除し、Okta内のプロビジョニング用にマップした属性を追加することを忘れないでください。ユーザー属性の完全なリストは、https://<org>/admin/universaldirectoryのディレクトリー・ユーザー・プロファイルから取得できます。

# ユーザーを作成する

dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CC;user

# ユーザーを作成または更新する

# Okta内の組織にマッピングされている追加の属性を含める

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user

# ユーザーを作成する/パスワードをリセットする

dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user"

# グループ・プッシュ

dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CCDC;group

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group