SFTキーリング
SFTキーリングを有効にすると、state.jsonファイル内のすべてのプレーンテキストトークンが暗号化されます。システムで設定されたSFTキーリングは、ユーザーがOkta Privileged Accessにログインするか、サーバーにアクセスを試みると自動的に更新されます。
アクティブ化されたSFTキーリングを元に戻すことはできません。Okta Privileged Accessは、暗号化機能を備えていないcompatキーリングをすべてのオペレーティングシステム向けに採用しています。デフォルトのcompatキーリングに戻すには、ユーザーは登録し直して再ログインする必要があります。
開始する前に
- SFTキーリングはアクセストークンを暗号化します。トークンを復号するためのキーを使用できなければ、復号は不可能です。これにより、未承認のデータ流出を防ぐことができます。
- LinuxのSFTキーリングは、D-Busを使ってデスクトップに固有のSecretServiceに接続し、アクセストークンをプロアクティブに保護します。sftが、ロック解除されたSecretServiceにアクセスできない場合、これらのトークンを復号できなくなります。このために、デスクトップと非デスクトップの両方でLinuxを使用している場合、非デスクトップモードではトークンがロックアウトされる可能性があります。これを回避するには、シェル初期化スクリプトでSFT_KEYRINGをcompatに設定してから再登録することで、非セキュアなコンパクトキーリングを使用できます。
キーリングのセットアップ
SFTキーリングは、すべてのデバイスに構成する必要があります。オペレーティングシステムはデフォルトのキーリングを備えており、最も適切なキーリングを決定します。構成でsystem変数を使用すると、オペレーティングシステムは最適なキーリングを自動的に選択します。
macOS
macOSでは、SFTキーリングはデフォルトで暗号化します。ユーザーのデフォルトフレームワークを使ってキーリングを設定できます。
$ defaults write com.scaleft.ScaleFT SFTKeyring system
環境変数を設定してキーリングを有効化することもできます。
export SFT_KEYRING=system
両方が設定されている場合、環境変数が優先されます。
暗号化を無効にするには、環境変数でsystemの代わりにcompatを使用してチームに登録し直します。
Windows
Windowsでは、SFTキーリングはデフォルトで暗号化します。レジストリを使ってキーリングを設定できます。
HKEY_LOCAL_MACHINE\Software\ScaleFT\SFT\Keyring
または
HKEY_CURRENT_USER\Software\ScaleFT\SFT\Keyring
SFT_KEYRING環境変数を使ってキーリングを設定することもできます。
HKEY_LOCAL_MACHINEは、環境変数とCURRENT_USERエントリの両方に優先します。環境変数はCURRENT_USERエントリに優先します。
暗号化を無効にするには、レジストリキーをsystemの代わりにcompatに設定してチームに登録し直します。
Linux
Linuxでは、キーリングはD-Busデスクトップ環境のみで機能し、デフォルトの暗号化方式はsystemです。
SFT_KEYRING環境変数をcompatに設定または更新するには、シェルプロファイルに次の内容を追加します。
export SFT_KEYRING=system
関連項目
Okta Privileged Accessクライアントを使用する