セキュリティポリシーの概念
セキュリティポリシーの作成では、次のアクセス制御機能を構成できます。
| 機能 | 説明 |
|---|---|
| プリンシパル | ポリシーに関連付けられるユーザーとグループには、一致するリソースへのアクセス権が付与されます。詳細については、「コンポーネント」を参照してください。 |
| ポリシー | ポリシーは、組織内で特権アクセスを管理する方法を規定する一連のルールまたはガイドラインを意味します。これらのアクションには、機密データへのアクセス、重要な構成変更、またはソフトウェアのインストールが含まれる場合があります。 |
| ルール | ポリシー内のルールは、特権アカウントの管理と使用に関連する特定の条件、アクション、または制限事項を定義します。これらのルールは、セキュリティのベストプラクティスを強制し、コンプライアンス要件を遵守し、特権アクセスに関連するリスクを緩和するように設計されています。ルールは、リソースの範囲と、リソースに対する特権アクセス権の付与方法を定義するために使用されます。それぞれのセキュリティポリシーには、各プリンシパルで利用できるリソースと特権を定義するルールが含まれます。 セキュリティ管理者と代理セキュリティ管理者が作成できるルールは次のとおりです。
|
| セッションタイプ | これは、リソースに対するユーザーのアクセス方法です。セッションタイプは、SSHまたはRDPです。 |
| リソース | リソースに対する特権アクセス権は、セキュリティ管理者または代理セキュリティ管理者が作成するポリシーに基づきます。リソースに対するアクセス権の範囲は次の方法で構成できます。
ほとんどのLinuxインストールでは、ルートSSHログインはデフォルトで無効化されます。 |
|
ラベル |
個々のサーバーにラベルを適用できます。Okta Privileged Accessチームは、これらのラベルを使ってサーバーアクセスを分類したり、並べ替えたりできます。ラベルには次の2つのタイプがあります。
チームの柔軟性を高めるために、ラベルは、キー/値のペアの形式で並べ替えられます。ラベルは、システム内で、またはsftd構成ファイルを通じて生成されます。Okta Privileged Accessは、ラベルのソースを識別するプレフィックスを自動的に追加します。たとえば、サーバーにはenv:prodとenv:testという2つのラベルが存在する場合があります。env:prodラベルがOkta Privileged Accessで生成された場合、システムプレフィックスはsystem.env:prodのようになります。同様に、env:testラベルがsftd構成ファイルから生成された場合、sftdプレフィックスはsftd.env:testのようになります。これにより、同じラベルが複数のソースから追加された場合(これはシステムとサーバーエージェント構成ファイルの両方でラベルが指定されている場合に起こる可能性があります)の競合を回避できます。 |
| セッションの記録 | 「セッションの記録」を参照してください。 |
| 承認リクエスト | 「Okta Privileged Accessとアクセスリクエスト」を参照してください。 |
| 多要素認証 | 「多要素認証」を参照してください。 |