ワークロード接続を構成する

ワークロード接続は、 Okta Privileged Accessと外部IDプロバイダー(GitHub・GitLab・ CircleCIなど)の間に関係を確立するトラストアンカーです。このセットアップでは、職務分離セキュリティモデルを使用します。つまり、DevOps管理者がドラフトモードで接続を構成・テストし、セキュリティ管理者が最終レビューを行って接続をアクティブステータスに昇格させ、ライブトークンの発行を可能にします。

この信頼は、汎用的なJWT構成または特定のプロバイダー統合のいずれかを使って確立できます。特定の統合では、事前定義されたフィールドを使って、合理化されたセットアップエクスペリエンスが提供されますが、基盤となるセキュリティメカニズムは変わりません。どちらの方法でも、標準のJSON Web Token(JWT)がワークロードIDのドキュメントとして使用されるため、検証を成功させるにはJWKS URLや必須クレームなど、同じコアセキュリティ要素が必要です。

開始する前の確認事項

  • ドラフトワークロード接続を作成するには、DevOps管理者ロールが必要です。

  • ワークロード接続をアクティブ化または非アクティブ化するには、セキュリティ管理者ロールが必要です。

  • 次のいずれかのJWT統合方法を使用できます。

    • 汎用JWT:JWTを検証し、ワークロードを識別するために、JWKS URLを入力して必要なクレーム( issaudsubなど)をすべて指定しなければなりません。

    • 特定のプロバイダー:Oktaのユーザーインターフェイスには、事前構成されたフィールドとプロバイダー固有のJWT構造のネイティブサポートが用意されています。CircleCIの組織IDなど、一般的な識別子を入力すると、必要なクレーム(と場合によってはJWKS URL)が自動的に書き込まれます。

汎用JWTでワークロード接続を作成する

  1. Okta Privileged Accessダッシュボードで、DevOps管理(DevOps Administration) > ワークロード接続(Workload connections)に移動します。

  2. ワークロード接続を作成する(Create Workload Connection)をクリックします。

  3. 汎用JWT(Generic JWT)をクリックします。

  4. 以下の詳細を入力します。

    設定 アクション
    接続名 URLに分かりやすい一意の名前を入力します。

    接続の説明

    説明を入力します。

    トークンの存続時間(TTL)を選択する

    数量(Amount)単位(Unit)を入力します。これらは、Okta Privileged Accessアクセストークンが発行されてから有効な期間を定義します。

    JWKS URL

    JWKS URLを入力します。このURLは、Okta Privileged AccessがJWTのプロバイダーの署名を検証するための公開鍵を取得する場所です。

    必須クレーム

    ワークロードのJWTで満たす必要がある基準を定義します。Oktaは、デバッグスクリプトまたはjwt.ioを使用してJWTを調べることを推奨します。

    1. ソースフィールド名(Source Field Name)を入力します。

    2. 演算子タイプを選択します。

      • 等しい(Equals)

      • 次で始まる:

      • 存在する(Exists)

        存在する(Exists)を選択した場合、値(Value)を入力する必要はありません。

    3. 値(Value)を入力します。

    4. 任意。条件を追加(Add a condition)をクリックして上記の手順を繰り返します。

  5. ワークロード接続を作成する(Create Workload Connection)をクリックします。

CircleCIのワークロード接続を作成する

  1. Okta Privileged Accessダッシュボードで、DevOps管理(DevOps Administration) > ワークロード接続(Workload connections)に移動します。

  2. CiecleCIをクリックします。

  3. 組織ID(Organization ID)を入力します。

  4. 任意。 プロジェクトIDにスコープする(Scope to Project ID)を選択し、 IDを入力します。

  5. 次へ(Next)をクリックします。

  6. 以下の詳細を入力します。

    設定 アクション
    接続名 URLに分かりやすい一意の名前を入力します。

    接続の説明

    説明を入力します。

    トークンの存続時間(TTL)を選択する

    数量(Amount)単位(Unit)を入力します。これらは、Okta Privileged Accessアクセストークンが発行されてから有効な期間を定義します。

    JWKS URL

    JWKS URLを入力します。このURLは、Okta Privileged AccessがJWTのプロバイダーの署名を検証するための公開鍵を取得する場所です。

    必須クレーム

    ワークロードのJWTで満たす必要がある基準を定義します。Oktaは、デバッグスクリプトまたはjwt.ioを使用してJWTを調べることを推奨します。

    1. ソースフィールド名(Source Field Name)を入力します。

    2. 演算子タイプを選択します。

      • 等しい(Equals)

      • 次で始まる:

      • 存在する(Exists)

        存在する(Exists)を選択した場合、値(Value)を入力する必要はありません。

    3. 値(Value)を入力します。

    4. 任意。条件を追加(Add a condition)をクリックして上記の手順を繰り返します。

  7. ワークロード接続を作成する(Create Workload Connection)をクリックします。

GitLabのワークロード接続を作成する

  1. Okta Privileged Accessダッシュボードで、DevOps管理(DevOps Administration) > ワークロード接続(Workload connections)に移動します。

  2. GitLabをクリックします。

  3. ドメイン(Domain)の名前を入力します。

  4. 任意。 グループ名にスコープする(Scope to Group name)を選択し、グループ名を入力します。

  5. 任意。 プロジェクト名にスコープする(Scope to Project Name)を選択し、プロジェクト名を入力します。

  6. 任意。 プロジェクトIDにスコープする(Scope to Project ID)を選択し、プロジェクトIDを入力します。

  7. 次へ(Next)をクリックします。

  8. 以下の詳細を入力します。

    設定 アクション
    接続名 URLに分かりやすい一意の名前を入力します。

    接続の説明

    説明を入力します。

    トークンの存続時間(TTL)を選択する

    数量(Amount)単位(Unit)を入力します。これらは、Okta Privileged Accessアクセストークンが発行されてから有効な期間を定義します。

    JWKS URL

    JWKS URLを入力します。このURLは、Okta Privileged AccessがJWTのプロバイダーの署名を検証するための公開鍵を取得する場所です。

    必須クレーム

    ワークロードのJWTで満たす必要がある基準を定義します。Oktaは、デバッグスクリプトまたはjwt.ioを使用してJWTを調べることを推奨します。

    1. ソースフィールド名(Source Field Name)を入力します。

    2. 演算子タイプを選択します。

      • 等しい(Equals)

      • 次で始まる:

      • 存在する(Exists)

        存在する(Exists)を選択した場合、値(Value)を入力する必要はありません。

    3. 値(Value)を入力します。

    4. 任意。条件を追加(Add a condition)をクリックして上記の手順を繰り返します。

  9. ワークロード接続を作成する(Create Workload Connection)をクリックします。

Google Cloud Providerのワークロード接続を作成する

  1. Okta Privileged Accessダッシュボードで、DevOps管理(DevOps Administration) > ワークロード接続(Workload connections)に移動します。

  2. Google Cloud Provider をクリックします。

  3. アプリクライアントID(App Client ID) の名前を入力します。

  4. 任意。メールにスコープする(Scope to Email)を選択し、グループ名を入力します。

  5. 任意。 アカウントIDへのスコープ(Scope to Account ID)を選択し、プロジェクトIDを入力します。

  6. 次へ(Next)をクリックします。

  7. 以下の詳細を入力します。

    設定 アクション
    接続名 URLに分かりやすい一意の名前を入力します。

    接続の説明

    説明を入力します。

    トークンの存続時間(TTL)を選択する

    数量(Amount)単位(Unit)を入力します。これらは、Okta Privileged Accessアクセストークンが発行されてから有効な期間を定義します。

    JWKS URL

    JWKS URLを入力します。このURLは、Okta Privileged AccessがJWTのプロバイダーの署名を検証するための公開鍵を取得する場所です。

    必須クレーム

    ワークロードのJWTで満たす必要がある基準を定義します。Oktaは、デバッグスクリプトまたはjwt.ioを使用してJWTを調べることを推奨します。

    1. ソースフィールド名(Source Field Name)を入力します。

    2. 演算子タイプを選択します。

      • 等しい(Equals)

      • 次で始まる:

      • 存在する(Exists)

        存在する(Exists)を選択した場合、値(Value)を入力する必要はありません。

    3. 値(Value)を入力します。

    4. 任意。条件を追加(Add a condition)をクリックして上記の手順を繰り返します。

  8. ワークロード接続を作成する(Create Workload Connection)をクリックします。

ワークロード接続を管理する

DevOps管理者がテストの完了を確認した後、セキュリティ管理者が接続を昇格させます。

  1. Okta Privileged Accessダッシュボードで、DevOps管理(DevOps Administration) > ワークロード接続(Workload connections)に移動します。

  2. 管理したいワークロード接続を選択します。

  3. アクション(Actions)をクリックし、編集(Edit)アクティブ化(Activate)または非アクティブ化(Deactivate)を選択します。

  4. ワークロード接続をアクティブ化する(Activate workload connection)をクリックします。

関連項目

ワークロード