セキュリティポリシー

セキュリティポリシーは、1つ以上のリソースに対する特権アクセス権が付与されるプリンシパルを制御します。セキュリティ管理者は、ポリシーの作成、ポリシーへのプリンシパルの割り当て、1つ以上のルールの追加を行います。

ルールの作成時に、Okta Privileged Accessによって保護されるリソースへのアクセス時にユーザーが満たす必要がある特定の条件を作成できます。これらのルールは、一連のプリンシパルに必要なすべての特権アクセス権がカバーされるまで積み重ねる(または追加する)ことで各種リソースに合わせてカスタマイズできます。これにより、各種リソースに合わせて異なる制御を設定し、それらのリソースへのアクセスを、承認されたユーザーのみに許可することができます。

代理セキュリティ管理者として割り当てられているグループにセキュリティ管理を割り当てることができます。代理セキュリティ管理者は、自身がセキュリティ所有者であるリソースグループに適用されるポリシーを作成できます。代理セキュリティ管理者が作成したセキュリティポリシーは、ポリシーの作成時に管理者が選択したリソースグループのみに適用されます。「代理セキュリティ管理者を追加する」を参照してください。

前提条件

  • Okta Privileged Accessにサインインしていることを確認します。
  • Okta Privileged Accessセキュリティ管理者ロールまたは代理セキュリティ管理者ロールが割り当てられている必要があります。
  • セキュリティポリシーの概念」を参照してください。

  • 複数の認証および認可条件がユーザーアクセスにどのように影響するかを理解します。「ルール条件」を参照してください。

セキュリティポリシーを作成または更新する

ポリシーを作成するには、ポリシー名の追加、プリンシパルの割り当て、プリンシパルに適用されるルールの作成を行う必要があります。作成したポリシーは、公開する必要があります。ポリシーは、公開されるまで効力を持ちません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. [Create Policy(ポリシーを作成)]をクリックします。
  3. ポリシー名と説明を入力します。

  4. リソースグループの情報を構成します。

    設定 アクション
    All resource groups(すべてのリソースグループ) すべてのリソースグループにポリシーを適用するときは、このオプションを選択します。

    代理セキュリティ管理者は、このオプションを選択できません。

    Specify a resource group(リソースグループを指定)

    特定のリソースグループにポリシーを適用するときは、このオプションを選択します。

    Maximum checkout time(最大チェックアウト時間)

    任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

    1. [Override the project-level maximum checkout time(プロジェクトレベルの最大チェックアウト時間をオーバーライド)]トグルをオンにします。

    2. [Amount(量)][Duration(期間)]を設定します。
  5. [Select Principals(プリンシパルを選択)][Add or modify(追加または変更)]をクリックします。
  6. 追加または変更する1つ以上のグループを選択し、[Save(保存)]をクリックします。
  7. リソースの範囲と、これらのリソースに対する特権アクセス権の付与方法を定義するルールを追加します。構成できるルールは、Server rule(サーバールール)Secret rule(シークレットルール)です。
    1. サーバールールを追加するには、[Add Rule(ルールを追加)] [Server Rule(サーバールール)]を選択します。
      設定アクション
      Rule name(ルール名)ルール名を入力します。
      Choose a session type(セッションタイプを選択)ドロップダウンメニューを使ってセッションタイプを選択します。
      Select the resources that you want to protect with this rule(このルールによって保護するリソースを選択)ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

      [Select resources by label(リソースをラベルで選択する)]

      1. [Select resources by label(リソースをラベルで選択)]トグルをオンにします。
      2. [Add resources(リソースを追加)]フィールドでリソースラベルを検索して選択します。複数のリソースラベルを選択できます。ラベルの詳細については、「セキュリティポリシー」を参照してください。

      [Select resources by name(リソースを名前で選択する)]

      1. [Select resources by name(リソースを名前で選択)]トグルをオンにします。
      2. 1つ以上のアカウントを個別に選択します。
      Access method(アクセス方式)プリンシパルによるリソースへのアクセス方法では、いずれか一方または両方のオプションを選択します。

      • Access resources by individual account(個別アカウントでリソースにアクセス)

      • Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

      選択内容に応じて、次を構成する必要があります。

      Access resources by individual account(個別アカウントでリソースにアクセス)

      このオプションによってプリンシパルは、Oktaが作成して自動的に管理する個別アカウントを使ってリソースにサインインできます。

      1. 次のいずれかのオプションを選択します。

        • User-level permissions(ユーザーレベルの権限)

        • Admin-level permissions(管理者レベルの権限)

        • User-level with sudo commands(ユーザーレベルとsudoコマンド)

      2. User-level with sudo commands(ユーザーレベルとsudoコマンド)を選択するときは、次の追加手順を実行します。

        1. [Sudo commands(sudoコマンド)]フィールドにコマンドを入力し、Enterキーを押して選択します。ルールごとに最大10個のsudoコマンドを追加できます。

        2. [End-user Display Name(エンドユーザー表示名)]フィールドにsudoコマンドバンドルの集合のニックネームを入力します。ニックネームの最大長さは64文字に制限され、使用できる文字は、0~9、A~Z、a~z、-、_、空白文字のみです。

      Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

      [Select vaulted accounts(格納済みアカウントを選択)]フィールドにアカウント名を入力し、キーボードのEnterキーを押してアカウントを選択します。1つまたは複数のアカウントを追加できます。

      Enable session recording(セッションの記録を有効にする)任意。セッションの記録を有効にするには、Oktaリソース管理者が事前にゲートウェイを登録およびインストールする必要があります。
      1. [Enable traffic forwarding through gateways(ゲートウェイ経由のトラフィックフォワーディングを有効にする)]を選択します。
      2. [Record session through gateways(ゲートウェイ経由でセッションを記録)]を選択します。
      Configure approval requests(承認リクエストを構成)任意。セキュリティポリシーにアクセスリクエストワークフローが表示されるように、事前に[Access Requests(アクセスリクエスト)]でリクエストタイプを作成します。「Okta Privileged Accessとアクセスリクエスト」を参照してください。
      1. ドロップダウンメニューからワークフローを選択します。
      2. 承認を存続させる期間を選択します。
      3. 任意。承認の存続期間終了後のパスワードローテーション設定を選択します。

      WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

      Enable MFA(MFAの有効化)任意。ポリシー内の認証と制御の詳細レベルを追加するには、MFAを有効にします。

      1. [Enable MFA(MFAの有効化)]トグルをオンにします。

      2. 次のいずれかのオプションを選択します。

        • Any two-factor types(任意の2要素タイプ)

        • Phishing resistant(フィッシング耐性)

      3. 次のいずれかの再認証頻度を選択します。

        • Every SSH or RDP connection attempt(SSHまたはRDP接続試行のたび)

          リソースに対してアクセスが試行されるたびにMFAを強制することができます。

        • After the specified duration(指定期間後)

          デフォルトでは、指定期間は30分に設定されます。5分~12時間の範囲で期間を指定できます。

      ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

    2. シークレットルールを追加するには、[Add rule(ルールを追加)] [Secret Rule(シークレットルール)]を選択します。

      設定アクション
      Rule name(ルール名)ルール名を入力します。
      Select the secret folder or secret you want to protect with this rule(このルールによって保護するシークレットフォルダーまたはシークレットを選択)

      1. [Select secret folder or secret(シークレットフォルダーまたはシークレットを選択)]をクリックします。

      2. シークレットフォルダーまたはシークレットを選択します。

      3. [Save(保存)]をクリックします。

      Select Permissions(権限を選択)権限を選択します。少なくとも1つの権限を選択する必要があります。詳細については、「シークレット権限」を参照してください。
      Approval requests(承認リクエスト)セキュリティポリシーにアクセスリクエストワークフローが表示されるように、事前に[Access Requests(アクセスリクエスト)]でリクエストタイプを作成します。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

      1. 承認リクエストタイプを選択します。

      2. 承認を存続させる期間を選択します。

  8. [Save policy(ポリシーを保存)]をクリックします。このポリシーを公開できるようになります。

ポリシーを公開する

作成したポリシーは、公開する必要があります。

公開したポリシーを変更すると、その変更は直ちに適用されます。ポリシーを公開し直す必要はありません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 公開するポリシーの[Actions(アクション)]をクリックします。
  3. [Publish(公開)]をクリックしてポリシーに対するアクセス権を付与します。

ポリシーを複製する

セキュリティ管理者は、新しいポリシーをゼロから作成する代わりに既存のポリシーを複製できます。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 複製するポリシーの[Actions(アクション)]をクリックします。
  3. [Clone(複製)]を選択します。
  4. [Save Policy(ポリシーを保存)]をクリックします。

関連項目

Okta Privileged Accessとアクセスリクエスト

多要素認証

Okta Privileged Access

シークレット権限

sudoコマンドバンドル

Okta Privileged Accessユーザーガイド