Okta Privileged Access
Okta Privileged Accessは、あらゆる組織のセキュリティおよびリスク管理の重要な領域である、リソースに対する未承認アクセスのリスクをお客様が緩和できるように設計された特権アクセス管理(PAM)ソリューションです。Okta Privileged Accessは、Okta Advanced Server Accessが現在提供しているサーバーアクセス制御機能を基盤としており、すべての特権アカウントに対する管理アクセスへの統合アプローチを提供します。ユーザー、マシン、アプリケーションを、サーバー、コンテナ、エンタープライズアプリなどの特権リソースにセキュアに接続します。
Okta Privileged Accessが提供する重要な機能は、管理の役割(ロール)と責任の分離です。ユーザー/グループ、リソース、セキュリティの管理は、特定の機能を実行するように設計された各管理ロールによって分離されます。たとえば、リソースにアクセスするためのセキュリティポリシーの管理は、リソースの管理から分離され、切り離されます。この要件を満たすために、ポリシーを設定するチームは、リソースを管理するチームから分離されます。同様に、ユーザーとグループを管理する管理者は、ユーザーとグループの管理タスクのみを実行でき、リソースの管理やセキュリティポリシーの作成には関与しません。
ロールと権限
Okta Privileged Accessチーム内のアクセスレベルは、割り当てられているロールと、そのロールに付与されている権限によって決まります。次の表は、ロールの種類を示しています。各ロールには、権限と制限の固有のセットがあります。
| ロール | 説明 |
|---|---|
| PAM管理者 | Okta Privileged Accessの最高の特権を持つロールです。PAM管理者の唯一の機能は、Okta Privileged Accessグループ/ユーザーへの管理ロールの割り当てです。 |
| リソース管理者 | グループメンバーにプロジェクトリソースの管理を許可します。リソースグループを作成、更新、削除し、1つ以上のユーザーグループをリソースグループの所有者として割り当てることができます。さらに、全シークレットフォルダーに対する暗黙的なリスト表示権限を持ちます。 |
|
代理リソース管理者 |
自分に割り当てられるリソースグループのコンテキストでプロジェクトを管理できます。さらに、管理を代理するリソースグループ内のシークレットフォルダーに対する暗黙的なリスト表示権限を持ちます。 |
|
1つ以上のOkta Privileged Accessセキュリティポリシーを作成して、チームの特権アカウントとリソースに対するアクセスを制御できます。 |
|
|
代理セキュリティ管理者 |
セキュリティ管理者として割り当てられるリソースグループに適用されるポリシーを作成および更新できます。 |
|
セキュリティポリシーによって許可されるリソースを表示し、アクセスできます。Admin ConsoleでOkta Privileged Accessアプリが割り当てられるすべてのユーザーには、このロールが割り当てられます。 |
コンポーネント
Okta Privileged Accessのデプロイメントには、次のコンポーネントの組合せが含まれます。
| コンポーネント | 説明 |
|---|---|
| クライアント | Okta Privileged Accessクライアントは、ワークステーションにインストールされるコマンドラインツールです。ユーザーがクライアントをインストールしてOkta Privileged Accessプロジェクトに登録すると、クライアントは同一プロジェクトに登録されているサーバーリソースへのアクセスを提供します。 |
| グループ |
グループは、関連する一連の権限を持つユーザーの集合です。チームごとに2種類のデフォルトグループ(全員、所有者)が作成されます。 グループには、1つ以上のチームのロールを割り当てることができます。グループのすべてのメンバーは、割り当てられた役割を継承します。 |
| プロジェクト |
プロジェクトは、リソースグループ内に存在し、リソースが含まれる管理境界であり、サーバートークン、アカウント検出、パスワード設定、SSH構成などの構成オプションセットを持ちます。プロジェクト内で現在サポートされるリソースは、サーバーとサーバーアカウントです。 |
| ポリシー | セキュリティポリシーは、リソースに対するアクセス権を付与されるグループ(プリンシパル)を制御します。 |
| プリンシパル | ポリシーに関連付けられるユーザーとグループには、一致するリソースへのアクセス権が付与されます。Okta Privileged Accessで作成されるローカルグループと、Oktaから同期されるグループがあります。ポリシーは、グループに追加されるすべての新規ユーザーに適用されます。 |
| リソースグループ |
リソースグループは、リソースグループの所有者が管理できる1つ以上のプロジェクトが含まれる管理境界です。「リソースグループ」を参照してください。 |
| リソース | リソースは、エンドユーザーがアクセスできるサーバーやその他のエンティティです。「セキュリティポリシー」を参照してください。 |
| サーバー | Okta Privileged Accessサーバーエージェントは、Okta Privileged Accessプロジェクトに登録されているリモートサーバーへのSSH(セキュアシェル)およびRDP(リモートデスクトッププロトコル)アクセスを制御します。
サーバーは、単一のプロジェクトにのみ登録されます。チームは、関連付けられているクラウドアカウントを使って自動的に、または登録トークンを使って手動でサーバーをプロジェクトに登録できます。 |
| サービスユーザー | サービスユーザーは、実際の人物に関連付けられない特別なアカウントです。チームは、サービスユーザーを使用することで、Okta Privileged AccessAPIを使ってアクションを自動化したり、Okta Privileged Accessプラットフォーム内での特定操作へのアクセス権を付与したりできます。 |
| チーム |
チームは、組織のOkta Privileged Accessインスタンスの最上位コンテナです。各チームには一意の名前があり、IDプロバイダー(IdP)が関連付けられます。Okta orgに関連付けられるチームは1つのみであり、チーム名はOkta Privileged Accessのすべてのお客様の間で一意である必要があります。 Okta Privileged Accessのその他すべての構成オブジェクトは、特定のチームを対象とします。 |
| ユーザー |
ユーザーは、チームに属し、認証にチームのIDプロバイダーを使用する個人です。Okta Privileged Accessは、グループメンバーシップに基づいてユーザー権限を定義します。 ユーザーは、クライアントが資格情報を受信できるように、クライアントインベントリへのクライアントの追加を承認します。 |