グループ
Okta Privileged Accessは、関連する権限をグループを使ってユーザーに明示的に割り当てて、必要なリソースまたはアクセス制御権限にアクセスできるようにします。グループをローカルに作成し、そこにユーザーを追加できます。Universal Directoryからのユーザーとグループを同期させることもできます。これによりユーザー、メンバー、ロールの管理が容易になります。
デフォルトグループ
チームごとに次の2つのグループが自動的に作成されます。
- 全員には、 Okta Privileged Accessチームに属するすべてのユーザーが含まれます。
- 所有者には、 最初はOkta Privileged Accessチームを作成したユーザーのみが含まれます。このグループは削除できません。
所有者グループは、Okta Privileged Access管理者ロールを付与します。グループの作成やグループへのユーザーの追加を実行できるのは、PAM管理者ロールを持つユーザーのみです。
所有者グループは、PAM管理者ロール以外のロールを割り当てることも、このグループからPAM管理者ロールを削除することもできません。PAM管理者ロールは、Okta SCIMを通じてOkta Privileged Accessにプロビジョニングされる別のグループに割り当てることをお勧めします。所有者グループに割り当てるユーザーは、できるだけ少なくする必要があります
基本セットアップが完了したら、次の操作を行うことをお勧めします。
- PAM管理者ロールが割り当てられるユーザーを管理するためのグループをOktaに作成します。
- 現在Okta Privileged Accessの所有者グループに属しているユーザーを、この新しいOktaグループに割り当てます。
- 新しいOktaグループをOkta Privileged Accessにプッシュします。
- 新しいOktaグループにPAM管理者ロールを割り当てます。
これにより、所有者グループ内のユーザーが非アクティブ化される、またはOktaから削除された場合でも、org内の別のユーザーがPAM管理者ロールを維持できます。
前提条件
チームがこのタスクを実行するには、PAM管理者である必要があります。
ローカルグループを作成します。
ローカルグループの使用を最小限に抑え、代わりにOkta Admin Consoleでグループメンバーシップを管理することをお勧めします。これにより、Okta内のユーザーまたはグループのライフサイクルイベントに基づいて、グループメンバーに正確に反映させることができます。
- Okta Privileged Accessダッシュボードを開きます。
- [Groups(グループ)]をクリックします。
- [Create Group(グループを作成)]をクリックします。
- [グループの作成]ウィンドウでグループ名を入力します。
- 任意。グループに割り当てるチームロールを選択します。「Okta Privileged Access」を参照してください。
- [Create Group(グループを作成する)]をクリックします。
ローカルグループにユーザーを追加する
ユーザーをグループに追加すると、グループが追加されているプロジェクトのすべてのサーバーへのアクセス権がそのユーザーに付与されます。ローカルグループには、Okta Privileged Accessでローカルに作成されたサービスユーザーのみを追加する必要があります。
-
Okta Privileged Accessダッシュボードを開きます。
-
[Groups(グループ)]をクリックしてグループを開きます。
-
[Users(ユーザー)]タブに移動します。
-
[Username(ユーザー名)]フィールドに既存ユーザーの名前を入力します。
-
[Add User(ユーザーを追加する)]をクリックします。