Okta Privileged Accessとアクセスリクエスト
お客様がOkta Privileged Access向けにサインアップすると、アクセスリクエストorgがプロビジョニングされ、自動的にチームが生成されます。デフォルトでは、アクセスリクエストはすべてのOktaスーパー管理者とアクセスリクエスト管理者のアカウントをプロビジョニングしますが、その他のユーザーまたはグループについては明示的に承認する必要があります。
Okta Privileged Accessとアクセスリクエストを統合する場合、Okta Privileged Accessセキュリティ管理者は、リクエスト/承認の要件をセキュリティポリシーに含めることができます。アクセスリクエスト管理者は、リクエストタイプを作成することでリクエスト承認条件を構成し、Okta Privileged Accessセキュリティ管理者は、Okta Privileged Accessセキュリティポリシー内のリクエストタイプを使用できます。セキュリティ管理者は、エンドユーザーがリソースにアクセスする際にリクエストの送信をエンドユーザーに求める条件を追加することで、特権リソースへのアクセスを保護できます。指定されたユーザーまたはユーザーグループがリクエストを承認する必要があります。
アクセスリクエストとOkta Privileged Accessの連携
ステップ | ユーザー | タスク |
---|---|---|
1. |
Oktaアクセスリクエスト管理者 |
Okta Privileged Accessセキュリティポリシーで使用されるリクエストタイプを作成します。 |
2. |
Okta Privileged Accessセキュリティ管理者 | リソースへの特権アクセスを許可する前に承認を必須とする、セキュリティポリシー内の条件を有効にします。これは、ポリシーにルールを追加し、使用するリクエストタイプを選択することで行われます。 |
3. |
Okta Privileged Accessユーザー |
ユーザーは、特権リソースへのアクセスを試みます。 ユーザーのリクエストはOkta Privileged Accessポリシーと照合され、ポリシーに基づいて、必要に応じてアクセスリクエストが自動的に開始されます。 |
4. |
Okta Privileged Accessリクエスト承認者 |
リクエストを承認または拒否します。 承認者は、保留の承認が必要であるという通知を受信します。承認プロセスは、アクセスリクエストソリューションの構成と、組織が承認者への通知に使用するチャンネルに基づきます。 |
アクセスリクエスト内のOkta Privileged Access接続をセットアップする
Okta Privileged Accessは、アクセスリクエスト機能セットと共にプロビジョニングされます。アクセスリクエスト内のOkta Privileged Access接続をセットアップするときは、アクセスリクエスト内のOkta Privileged Accessコネクターを構成し、1つ以上のリクエストタイプを作成する必要があります。リクエストタイプが作成され、公開されると、Okta Privileged Accessセキュリティポリシーは承認条件を認識できるようになります。Okta Privileged Accessセキュリティ管理者は、これらの条件を有効化できます。リクエストの承認を必須とする条件が有効になってからユーザーがリソースへのアクセスを試みると、アクセスリクエストが自動的に開始されます。
アクセスリクエスト管理者、要求者(エンドユーザー)、承認者は、アクセスリクエストコンソールを使ってリクエストに関連する更新を表示できます。たとえば、エンドユーザーはリクエストのステータスを表示でき、承認者は受信したリクエストの履歴を表示できます。
Okta Privileged Accessを使ってアクセスリクエストをセットアップするときは、リソースリスト作成機能を利用できません。
前提条件
-
アクセスリクエスト管理者としてサインインしていることを確認します。
-
最新バージョンのOkta Privileged Accessクライアントがインストールされていることを確認します。
アクセスリクエスト内のOkta Privileged Access接続を構成する
最初のステップでは、アクセスリクエスト内のOkta Privileged Access接続を確立します。Okta Privileged Accessとアクセスリクエストの間に接続が確立されると、Okta Privileged Accessセキュリティポリシーが認識できるリクエストタイプを作成できるようになります。
-
アクセスリクエストコンソールで、[Settings(設定)]に移動します。
-
Okta Privileged Accessカードの[Connect(接続)]をクリックします。
-
表示されるダイアログで次の操作を行います。
-
Okta Privileged Accessチーム名を入力し、[Connect(接続)]をクリックします。
-
[Teams(チーム)]の下のドロップダウンメニューを使ってOkta Privileged Accessチームを選択します。
-
[Approve Access Request(アクセスリクエストを承認)]と[Deny Access Request(アクセスリクエストを拒否)]が有効であることを確認します。
-
[Update connection(接続を更新)]をクリックします。
-
リクエストタイプを作成する
Okta Privileged Accessと連携するリクエストタイプを正しく作成するには、指定されたいくつかの必須ステップを完了する必要があります。少なくとも、リクエスト/承認プロセスに次のステップを追加する必要があります。
- 最上位の承認タスク
- リクエストを承認するアクション
- リクエストを拒否するアクション
オプションとして、その他のステップをプロセスに追加できます。たとえば、リクエストに関するビジネス上の正当な理由の提供をエンド ユーザーに求めることができます。
Okta Privileged Accessが、アクセスリクエスト内の期日設定を使用または強制することはありません。
タスク1:リクエストタイプの詳細を追加する
- アクセスリクエストコンソールで、 に移動します。
- Okta Privileged Accessカードをクリックします。
- [Request types(リクエストタイプ)]タブを選択します。
- [Add request type(リクエストタイプを追加)]をクリックします。
- 表示されるダイアログで次の操作を行います。
- 名前を入力し、説明を追加します。Okta Privileged Accessポリシーの作成時に必要になるため、名前を書き留めておきます。
- [Team(チーム)]を選択します。
- [Audience(オーディエンス)]を選択します。
- [Continue(続行)]をクリックします。
タスク2:承認タスクを追加する
リクエストタイプに最上位の承認タスクを追加する必要があります。
-
[Approval(承認)]セクションの[Add to request type(リクエストタイプに追加)]をクリックします。
-
[タスクとアクション]ページで次の操作を行います。
-
アクセスリクエストの質問に表示されるテキストを[Text(テキスト)]フィールドに入力します。
-
[Make it a required task(これを必須タスクにする)]を選択します。
-
[Assigned to(割り当て先)]フィールドで割り当て先を選択します。これがリクエストの承認者となります。
-
タスク3:アクセスリクエストの承認アクションを構成する
-
をクリックします。
-
[Approve Access Request(アクセスリクエストを承認)]を選択します。新しいアクションアイテムが作成されます。
-
質問に表示されるテキストを[Text(テキスト)]フィールドに入力します。
-
[Make it a required(これを必須にする)]を選択します。
-
アクションが自動的に実行されるように、[Run automatically(自動的に実行)]を選択します。[Assigned to(割り当て先)]フィールドは自動的に入力されます。
-
任意。期日を設定します。
-
[ロジック]タブを選択して次の操作を行います。
-
ドロップダウンメニューから[Only show this task if(このタスクを表示する条件)]を選択します。
-
[ フィールドまたはタスク]で、作成した承認タスクの名前を選択し、[is approved(承認された場合)]を選択します。
-
タスク4:承認タスク内のロジックを更新する
-
事前に作成した承認タスクを選択します。[ロジック]タブを構成に利用できるようになります。
-
[ロジック]タブをクリックします。
-
[Always show this task(このタスクを常に表示)]を選択します。
タスク5:アクセスリクエスト拒否タスクを構成する
-
をクリックします。
-
[Deny Access Request(アクセスリクエストを拒否)]を選択します。新しいアクションアイテムが作成されます。
-
タスクの対象を[Text(テキスト)]フィールドに入力します。
-
[Make it a required task(これを必須タスクにする)]を選択します。
-
このアクションが自動的に実行されるように、[Run automatically(自動的に実行)]を選択します。[Assigned to(割り当て先)]フィールドは自動的に入力されます。
-
任意。期日を追加します。
-
[ロジック]タブを選択して次の操作を行います。
-
ドロップダウンメニューから[Only show this task if(このタスクを表示する条件)]を選択します。
-
[フィールドまたはタスク]で、作成した承認タスクの名前を選択します。
-
[Conditions(条件)]フィールドで、[is denied(拒否された場合)]を選択します。
-
-
レビューした上で[Publish(公開)]をクリックします。
Okta Privileged Accessセキュリティ管理者は、今回新たに作成したリクエストタイプ条件をポリシーの作成時に有効化できるようになります。「セキュリティポリシーを作成または更新する」を参照してください。
タスク6:アクセスリクエスト構成をテストする
Okta Privileged Accessを使ってアクセスリクエストをテストするには、次のステップを完了する必要があります。
- Okta Privileged Accessにサーバーとローカルアカウントを追加します。「プロジェクト」を参照してください。
- 1つ以上のオンボードアカウントへのアクセスを保護するポリシーを作成します。「セキュリティポリシーを作成または更新する」を参照してください。
- ポリシーを公開します。「ポリシーを公開する」を参照してください。
- エンドユーザーは、サーバーにアクセスして承認を必要とするアカウントにSSH接続することで、Okta Privileged Accessクライアントを使って構成をテキストできるようになります。「Okta Privileged Accessクライアントを使用する」を参照してください。
- ユーザーがサーバーへのアクセスを試みると、リクエストが自動的に生成され、承認者はアクセスリクエスト通知を受信します。リクエストのステータスは、アクセスリクエストコンソールで確認できます。