Oktaサービスアカウントの権限

ディレクトリの権限を調整する前に、Active Directory(AD)の権限がどのように設定されるかを理解し、環境内の権限の管理方法を計画してください。このタスクの実行に必要なアカウント要件の詳細については、「Active Directory統合の前提条件」を参照してください。

このトピックは3つの部分に分かれています。サービスアカウントに必要な権限、任意のユースケース、およびリファレンスについて説明します。

必要な権限

既存のアカウントが選択されていない場合は、デフォルトで、Okta ADエージェントのインストーラーがOktaServiceというOktaサービスカウントを作成します。このアカウントはDomain Usersグループの権限を継承します。また、OktaServiceは、エージェントの実行中にAuthenticated UsersEveryone特別IDグループのメンバーになります。デフォルトでは、Authenticated Usersグループは、Pre-Windows 2000 compatible Accessグループのメンバーです。Pre-Windows 2000 Compatible AccessグループからAuthenticated Usersグループを削除すると、増分インポートで問題が発生する可能性があります。増分インポートの問題を解決するためにお勧めの方法は、次のいずれかの変更を行うことです。

  • OktaサービスアカウントをWindows 2000以前と互換性のあるアクセスグループに追加します。
  • Oktaサービスアカウントに、同期されたすべてのADオブジェクトに対する[Read all(すべて読み取り)]権限があることを確認します。

Okta AD Agent管理ユーティリティには、OktaServiceアカウントをドメイン管理者グループに追加するオプションも含まれています。または、適切なユースケースに対して権限が設定されていることを確認します。これにより、サービスアカウントが完全な管理者になりません。

Okta ADエージェントを実行するサービスアカウントごとに、これらの権限が必要です。

DirSyncによるインポートの権限

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Active Directory DirSyncコントロールによるインポートを使用して、ADとの通信を最適化できます。これにより、増分インポートをより確実に実行し、ADの変更をより速く取り込むことができます。DirSyncによるインポートを使用するには、ディレクトリの変更を複製する権限をエージェントに付与する必要があります。

Server Managerコンソールから権限を付与するには、次の手順を実行します。

  1. Server Managerコンソールにサインインします。
  2. [Dashboard(ダッシュボード)][Active Directory User and Computers(Active Directoryユーザーとコンピューター)]を選択します。
  3. ドメイン名を右クリックして[Properties(プロパティ)]を選択します。
  4. [Security(セキュリティ)]タブを選択し、[Add(追加)]をクリックします。このタブは、[View(表示)]メニューから[Advanced Features(高度な機能)]を選択した場合にのみ表示されます。
  5. [ユーザー、コンピューター、サービスアカウント、またはグループの選択]ダイアログからOkta ADエージェントサービスアカウントを選択し、[OK]をクリックします。
  6. [アクセス許可エントリー]ダイアログで、[Replicating Directory Change(ディレクトリの変更を複製)]を選択し、[OK]をクリックします。

コマンドラインから権限を付与するには、統合されたADドメインごとに次のPowerShellスクリプトを実行します。スクリプトを実行するたびに、OktaServiceDOMAIN_DNS_NAMEがADドメインの適切な値に置換されます。

$Identity = "<DOMAIN\OktaService>" $RootDSE = [ADSI]"LDAP://<DOMAIN_DNS_NAME>/RootDSE" $DefaultNamingContext = $RootDse.defaultNamingContext $UserPrincipal = New-Object Security.Principal.NTAccount("$Identity") DSACLS "$DefaultNamingContext" /G "$($UserPrincipal):CA;Replicating Directory Changes"

ユースケース

これらは、任意のユースケースのいくつかで必要となる権限です。

ユーザーをプロビジョニングする

サービスアカウントがユーザープロビジョニングを行うには、次の権限が必要です。

  • 対象組織単位(OU)でのユーザーオブジェクトの子の作成権限が必要です。
  • 対象OUでのユーザーオブジェクトの子の削除権限が必要です。
  • 対象OU内のユーザーオブジェクトに対するパスワードリセットのアクセス権の制御が必要です。
  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティ書き込み権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • Okta内のADユーザープロファイルにマッピングされるその他すべての属性について、対象OU内のユーザーオブジェクトに対するプロパティの書き込み権限が必要です。マッピングは、https://<org>/admin/universaldirectory[Directories(ディレクトリ)]の下にリストされます。

このユースケースの権限を設定するには、PowerShellで次のコマンドを使用します。

dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CCDC;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user

ユーザー属性を更新する

サービスアカウントがユーザー属性を更新するには、次の権限が必要です。

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティ更新権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • https://<org>/admin/universaldirectoryのADユーザープロファイルにマッピングされるその他すべての属性について、対象OU内のユーザーオブジェクトに対するプロパティ更新権限が必要です。

このユースケースの権限を設定するには、PowerShellで次のコマンドを使用します。

# Okta内の組織でマッピングされている他の属性を含めます dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user

グループプッシュまたは双方向グループ管理

グループプッシュまたは双方向グループ管理を実行するには、サービスアカウントに次の権限が必要です。「グループプッシュ」と「Active Directoryを使った双方向のグループ管理」を参照してください。

  • 対象OUでのグループオブジェクトの子の作成権限が必要です。
  • 対象OUでのグループオブジェクトの子の削除権限が必要です。
  • 次の属性について、対象OU内のグループオブジェクトに対するプロパティの更新権限が必要です。
    • sAMAccountName
    • description
    • groupType
    • member
    • cn
    • name

このユースケースの権限を設定するには、PowerShellで次のコマンドを使用します。

dsacls "OU=targetOU,DC=domain" /I:T /G domain\agentserviceaccount:CCDCDT;group # ユースケースで子オブジェクトにのみ前述の権限を付与する必要がある場合は、 /I:Tを/I:Sに置き替えられます dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group

パスワードをリセットする、忘れたパスワードを確認する、パスワードを同期する

パスワードリセット、同期、パスワード忘れのユースケースを処理するには、サービスアカウントに次の権限が必要です。

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティ更新権限が必要です。
    • lockoutTime
    • pwdLastSet
  • 対象OU内のユーザーオブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。

このユースケースの権限を設定するには、PowerShellで次のコマンドを使用します。

dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user" dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user

ユーザーをアクティブ化する/非アクティブ化する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティの更新権限が必要です。
    • userAccountControl

このユースケースの権限を設定するには、PowerShellで次のコマンドを使用します。

dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user

コマンドリファレンス

リストされているコマンドを使用して権限を追加します。それをバッチファイルに保存し、環境に合わせて対象OUとサービスアカウント情報を変更します。必ず不要な権限を削除し、Okta内のプロビジョニング用にマッピングしたすべての属性を追加します。ユーザー属性の完全なリストは、https://<org>/admin/universaldirectoryのディレクトリユーザープロファイルから取得することができます。PowerShellからdsaclsコマンドを管理者権限で実行します。これらの権限を得るには、PowerShellの起動時に[Run as administrator(管理者として実行)]オプションを使用します。

# ユーザーを作成します dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CC;user # ユーザーを作成または更新します # Okta内の組織でマッピングされるその他の属性を含めます dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user # ユーザー/パスワードリセットを作成します dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user" dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user # グループプッシュ dsacls "OU=targetOU,DC=domain" /I:T /G domain\agentserviceaccount:CCDCDT;group # If your use case requires that you grant the preceding permission only for child objects, you can replace /I:T with /I:S. dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group