Active Directoryアカウントを管理する
早期アクセスリリース
Okta Privileged AccessのActive Directory(AD)統合は、管理が不十分な特権ADアカウントに関するリスクの軽減に役立ちます。このソリューションは管理者がアカウントとそのパスワードを検出して管理できるようにします。ロールベースのアクセス制御(RBAC)、MFAのアクセスリクエスト、時間制限付きチェックアウト機能などのアクセス制御を適用します。また、監視とコンプライアンスの取り組みをサポートする監査証跡も提供します。
主要な機能
-
既存のOkta AD エージェントを使用してActive Directory環境に接続します。
-
特権ADアカウントを検出し、そのパスワードを管理します。ユーザーはOkta Privileged Accessからパスワードを取得する必要があります。
-
フィッシング耐性のあるMFAを必須にするなど、特権ADアカウントへのアクセスに頑強なポリシーを作成します。
-
ユーザーに対して特権ADアカウントパスワードのチェックアウトを必須にします。ユーザーがチェックインするか、時間制限に達すると、パスワードが自動的にローテーションされます。これにより、ユーザーがパスワードを保存できなくなります。
-
管理者やユーザーのアクティビティをすべて監査します。
Okta Active Directoryエージェント
ADエージェントは、Okta Privileged Access内でADアカウントのパスワードを管理するドメインとの通信に使用されます。Okta Privileged AccessのAD アカウント管理機能を有効にするには、ADエージェントがすでにセットアップされ、Oktaと統合されていなければなりません。「Active Directory統合を管理する」を参照してください。
Okta ADエージェントのサービスアカウントには、Okta Privileged Accessが管理するアカウントのパスワードをリセットできる権限が必要です。「Okta Active Directory(AD)エージェントにパスワード管理権限を付与する」を参照してください。
アカウント検出とマッピング
Okta Privileged Accessで管理するために、管理者はOkta管理者コンソールで特権アクセスのある組織単位(OU)を選択する必要があります。ドメイン内のOUが識別されると、Okta Privileged Accessのリソース管理者は、アカウント検出ルールとアカウントをOktaユーザーにマッピングするルールを作成しなければなりません。
Oktaスーパー管理者とOkta Privileged Accessのリソース管理者は、異なる2つのロールです。ADアカウントの検出とマッピングを設定するには、両方のロールが必要です。