Oktaサービスアカウントの権限について

ディレクトリの権限を調整する前に、Active Directoryの権限がどのように設定されているかを理解し、環境内での権限の管理方法を計画してください。タスクの実行に必要なアカウント要件の詳細については、「Active Directory統合の前提条件」を参照してください。

既存のアカウントが選択されてない場合、デフォルトではOkta ADエージェントのインストーラーによってOktaサービスアカウントが作成されます。新たに作成されたOktaServiceアカウントは、Domain Usersグループの権限を継承します。また、エージェントの実行中、OktaServiceは、Authenticated UsersグループおよびEveryone特別IDグループのメンバーであると見なされます。デフォルトでは、Authenticated Usersグループは、Pre-Windows 2000 compatible Accessグループのメンバーです。Pre-Windows 2000 Compatible AccessグループからAuthenticated Usersグループを削除すると、増分インポートで問題が発生する可能性があります。増分インポートの問題を解決するには、次のいずれかの変更を行うことをお勧めします。

  • OktaServiceアカウントをPre-Windows 2000 Compatible Accessグループに追加します。

  • OktaServiceアカウントに、同期されたすべてのADオブジェクトに対する[Read all(すべて参照)]権限があることを確認します。

Okta ADエージェント管理ユーティリティには、OktaServiceアカウントをドメイン管理者グループに追加するオプションも含まれています。以下にリストされている機能が必要である一方で、サービスアカウントを完全な管理者にしたくない場合は、次の権限が設定されていることを確認してください。

ユーザーをプロビジョニングする

  • 対象組織単位(OU)でのユーザーオブジェクトの子の作成権限が必要です。
  • 対象OU内のユーザーオブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。
  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの更新権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • Oktaのhttps://<org>/admin/universaldirectory内のADユーザープロファイルにマッピングされたほかのすべての属性について、対象OU内のユーザーオブジェクトに対するプロパティの更新権限が必要です。

ユーザー属性を更新する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの更新権限が必要です。
    • mail
    • userPrincipalName
    • SAMaccountName
    • givenName
    • sn
    • userAccountControl
    • pwdLastSet
    • lockoutTime
    • cn
    • name
  • Oktaのhttps://<org>/admin/universaldirectory内のADユーザープロファイルにマッピングされたほかのすべての属性について、対象OU内のユーザーオブジェクトに対するプロパティの更新権限が必要です。

グループプッシュ

  • 対象OUでのグループオブジェクトの子の作成権限が必要です。
  • 対象OUでのグループオブジェクトの子の削除権限が必要です。
  • 次の属性について、対象OU内のグループオブジェクトに対するプロパティーの更新権限が必要です。
    • sAMAccountName
    • description
    • groupType
    • member
    • cn
    • name

パスワードをリセットする、忘れたパスワードを確認する、パスワードを同期する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの更新権限が必要です。
    • lockoutTime
    • pwdLastSet
  • 対象OU内のユーザーオブジェクトに対する、パスワードのリセットのアクセス権の制御の権限が必要です。

ユーザーをアクティブ化する/非アクティブ化する

  • 次の属性について、対象OU内のユーザーオブジェクトに対するプロパティーの更新権限が必要です。
    • userAccountControl

参照コマンドを使用して権限を追加する

リストされているコマンドを使用して権限を追加します。それらをバッチファイルに保存し、ご使用の環境に合うように対象OUとサービスアカウント情報を変更します。不要な権限を削除し、Okta内のプロビジョニング用にマップした属性を追加することを忘れないでください。ユーザー属性の完全なリストは、https://<org>/admin/universaldirectoryのディレクトリユーザープロファイルから取得できます。

# Create User
dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CC;user# Create or Update user
# include additional attributes that are mapped in your org within Okta
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;mail;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userPrincipalName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;givenName;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sn;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;userAccountControl;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;pwdLastSet;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;lockoutTime;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;user
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;user
# ユーザーを作成する/パスワードをリセットする
dsacls "OU=targetOU,DC=domain" /I:S /G "domain\agentserviceaccount:CA;Reset Password;user"
# グループ プッシュ
dsacls "OU=targetOU,DC=domain" /G domain\agentserviceaccount:CCDC;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;sAMAccountName;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;description;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;groupType;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;member;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;cn;group
dsacls "OU=targetOU,DC=domain" /I:S /G domain\agentserviceaccount:WP;name;group