SFTキーリング

SFTキーリングを有効にすると、state.jsonファイル内のすべてのプレーンテキストトークンが暗号化されます。システムで設定されたSFTキーリングは、ユーザーがOkta Privileged Accessにログインするか、サーバーにアクセスを試みると自動的に更新されます。

アクティブ化されたSFTキーリングを元に戻すことはできません。Okta Privileged Accessは、暗号化機能を備えていないcompatキーリングをすべてのオペレーティングシステム向けに採用しています。デフォルトのcompatキーリングに戻すには、ユーザーは登録し直して再ログインする必要があります。

開始する前に

  • SFTキーリングはアクセストークンを暗号化します。トークンを復号するためのキーを使用できなければ、復号は不可能です。これにより、未承認のデータ流出を防ぐことができます。
  • LinuxのSFTキーリングは、D-Busを使ってデスクトップに固有のSecretServiceに接続し、アクセストークンをプロアクティブに保護します。sftが、ロック解除されたSecretServiceにアクセスできない場合、これらのトークンを復号できなくなります。このために、デスクトップと非デスクトップの両方でLinuxを使用している場合、非デスクトップモードではトークンがロックアウトされる可能性があります。これを回避するには、シェル初期化スクリプトでSFT_KEYRINGcompatに設定してから再登録することで、非セキュアなコンパクトキーリングを使用できます。

キーリングのセットアップ

SFTキーリングは、すべてのデバイスに構成する必要があります。オペレーティングシステムはデフォルトのキーリングを備えており、最も適切なキーリングを決定します。構成でsystem変数を使用すると、オペレーティングシステムは最適なキーリングを自動的に選択します。

macOS

macOSでは、SFTキーリングはデフォルトで暗号化します。ユーザーのデフォルトフレームワークを使ってキーリングを設定できます。

$ defaults write com.scaleft.ScaleFT SFTKeyring system

環境変数を設定してキーリングを有効化することもできます。

export SFT_KEYRING=system

両方が設定されている場合、環境変数が優先されます。

暗号化を無効にするには、環境変数でsystemの代わりにcompatを使用してチームに登録し直します。

Windows

Windowsでは、SFTキーリングはデフォルトで暗号化します。レジストリを使ってキーリングを設定できます。

HKEY_LOCAL_MACHINE\Software\ScaleFT\SFT\Keyring

または

HKEY_CURRENT_USER\Software\ScaleFT\SFT\Keyring

SFT_KEYRING環境変数を使ってキーリングを設定することもできます。

HKEY_LOCAL_MACHINEは、環境変数とCURRENT_USERエントリの両方に優先します。環境変数はCURRENT_USERエントリに優先します。

暗号化を無効にするには、レジストリキーをsystemの代わりにcompatに設定してチームに登録し直します。

Linux

Linuxでは、キーリングはD-Busデスクトップ環境のみで機能し、デフォルトの暗号化方式はsystemです。

SFT_KEYRING環境変数をcompatに設定または更新するには、シェルプロファイルに次の内容を追加します。

export SFT_KEYRING=system

関連項目

Okta Privileged Accessクライアントを使用する

Okta Privileged Accessクライアントをインストールする

管理対象Okta Privileged Accessサーバーエージェント