セキュリティポリシー

セキュリティポリシーは、1つ以上のリソースに対する特権アクセス権が付与されるプリンシパルを制御します。セキュリティ管理者は、ポリシーの作成、ポリシーへのプリンシパルの割り当て、1つ以上のルールの追加を行います。

ルールの作成時に、Okta Privileged Accessによって保護されるリソースへのアクセス時にユーザーが満たす必要がある特定の条件を作成できます。これらのルールは、一連のプリンシパルに必要なすべての特権アクセス権がカバーされるまで積み重ねる(または追加する)ことで各種リソースに合わせてカスタマイズできます。これにより、各種リソースに合わせて異なる制御を設定し、それらのリソースへのアクセスを、承認されたユーザーのみに許可することができます。

代理セキュリティ管理者として割り当てられているグループにセキュリティ管理を割り当てることができます。代理セキュリティ管理者は、自身がセキュリティ所有者であるリソースグループに適用されるポリシーを作成できます。代理セキュリティ管理者が作成したセキュリティポリシーは、ポリシーの作成時に管理者が選択したリソースグループのみに適用されます。「代理セキュリティ管理者を追加する」を参照してください。

前提条件

  • Okta Privileged Accessにサインインしていることを確認します。
  • Okta Privileged Accessセキュリティ管理者ロールまたは代理セキュリティ管理者ロールが割り当てられている必要があります。
  • セキュリティポリシーの概念」を参照してください。

  • 複数の認証および認可条件がユーザーアクセスにどのように影響するかを理解します。「ルール条件」を参照してください。

セキュリティポリシーを作成または更新する

ポリシーを作成するには、ポリシー名の追加、プリンシパルの割り当て、プリンシパルに適用されるルールの作成を行う必要があります。作成したポリシーは、公開する必要があります。ポリシーは、公開されるまで効力を持ちません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. [Create Policy(ポリシーを作成)]をクリックします。
  3. ポリシー名と説明を入力します。

  4. リソースグループの情報を構成します。

    設定 アクション
    All resource groups(すべてのリソースグループ)

    すべてのリソースグループに次を適用するときは、このオプションを選択します。

    代理セキュリティ管理者は、このオプションを選択できません。

    Specify a resource group(リソースグループを指定)

    特定のリソースグループにポリシーを適用するときは、このオプションを選択します。

    Maximum checkout time(最大チェックアウト時間)

    任意。この時間制限は、このポリシー内でチェックアウトが有効化されているすべてのリソースに適用されます。

    1. [Override the project-level maximum checkout time(プロジェクトレベルの最大チェックアウト時間をオーバーライド)]トグルをオンにします。

    2. [Amount(量)][Duration(期間)]を設定します。
  5. [Select Principals(プリンシパルを選択)][Add or modify(追加または変更)]をクリックします。
  6. 追加または変更する1つ以上のグループを選択し、[Save(保存)]をクリックします。
  7. リソースの範囲と、これらのリソースに対する特権アクセス権の付与方法を定義するルールを追加します。構成できるルールは、Server rule(サーバールール)Secret rule(シークレットルール)です。
    1. サーバールールを追加するには、[Add Rule(ルールを追加)][Server Rule(サーバールール)]を選択します。
      設定アクション
      Rule name(ルール名)ルール名を入力します。
      Choose a session type(セッションタイプを選択)ドロップダウンメニューを使ってセッションタイプを選択します。
      Select the resources that you want to protect with this rule(このルールによって保護するリソースを選択)ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

      [Select resources by label(リソースをラベルで選択する)]

      1. [Select resources by label(リソースをラベルで選択)]トグルをオンにします。
      2. [Add resources(リソースを追加)]フィールドでリソースラベルを検索して選択します。複数のリソースラベルを選択できます。ラベルの詳細については、「セキュリティポリシー」を参照してください。

      3. [プリンシパルによるリソースへのアクセス方法]では、いずれか一方または両方のオプションを選択します。

        • Access resources by individual account(個別アカウントでリソースにアクセス)

        • Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

          たとえば、#pamadminというローカルアカウントを追加することは、ラベルに基づいて選択されるすべてのサーバーで#pamadminアカウントを利用できることを意味します。

      [Select resources by name(リソースを名前で選択する)]

      1. [Select resources by name(リソースを名前で選択)]トグルをオンにします。
      2. 1つ以上のアカウントを個別に選択します。
      Enable session recording(セッションの記録を有効にする)任意。セッションの記録を有効にするには、Oktaリソース管理者が事前にゲートウェイを登録およびインストールする必要があります。
      1. [Enable traffic forwarding through gateways(ゲートウェイ経由のトラフィックフォワーディングを有効にする)]を選択します。
      2. [Record session through gateways(ゲートウェイ経由でセッションを記録)]を選択します。
      Configure approval requests(承認リクエストを構成)任意。セキュリティポリシーがアクセスリクエストワークフローを認識するには、事前に[Access Requests(アクセスリクエスト)]でリクエストタイプを作成しておく必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。
      1. ドロップダウンメニューからワークフローを選択します。
      2. 承認を存続させる期間を選択します。
      3. 承認の存続期間終了後のパスワードローテーション設定を選択します。

      WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

      Enable MFA(MFAの有効化)任意。ポリシー内の認証と制御の詳細レベルを追加するには、MFAを有効にします。

      1. [Enable MFA(MFAの有効化)]トグルをオンにします。

      2. 次のいずれかのオプションを選択します。

        • Any two-factor types(任意の2要素タイプ)

        • Phishing resistant(フィッシング耐性)

      3. 次のいずれかの再認証頻度を選択します。

        • Every SSH or RDP connection attempt(SSHまたはRDP接続試行のたび)

          リソースに対してアクセスが試行されるたびにMFAを強制することができます。

        • After the specified duration(指定期間後)

          デフォルトでは、指定期間は30分に設定されます。5分~12時間の範囲で期間を指定できます。

      ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

    2. シークレットルールを追加するには、[Add rule(ルールを追加)][Secret Rule(シークレットルール)]を選択します。

      設定アクション
      Rule name(ルール名)ルール名を入力します。
      Select the secret folder or secret you want to protect with this rule(このルールによって保護するシークレットフォルダーまたはシークレットを選択)

      1. [Select secret folder or secret(シークレットフォルダーまたはシークレットを選択)]をクリックします。

      2. シークレットフォルダーまたはシークレットを選択します。

      3. [Save(保存)]をクリックします。

      Select Permissions(権限を選択)権限を選択します。少なくとも1つの権限を選択する必要があります。詳細については、「シークレット権限」を参照してください。
      Approval requests(承認リクエスト)セキュリティポリシーがアクセスリクエストワークフローを認識するには、事前に[Access Requests(アクセスリクエスト)]でリクエストタイプを作成しておく必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

      1. 承認リクエストタイプを選択します。

      2. 承認を存続させる期間を選択します。

      Enable MFA(MFAの有効化)任意。MFAを有効化し、ポリシー内のシークレットに詳細レベルの認証と制御を追加します。

      1. [Enable MFA(MFAの有効化)]トグルをオンにします。

      2. 次のいずれかのAuthenticator保証レベルを選択します。

        • Any two-factor types(任意の2要素タイプ)

        • Phishing resistant(フィッシング耐性)

      3. 次のいずれかの再認証頻度を選択します。

        • Every guarded action a user takes(ユーザーが実行するすべての保護されたアクション)

          これを選択した場合、ユーザーはすべてのリクエストでMFAを完了する必要があります。

        • After the specified duration(指定期間後)

          デフォルトでは、指定期間は30分に設定されます。5分~12時間の範囲で期間を指定できます。

      ポリシーが実装された後は、シークレットへのアクセスを試みるユーザーは、MFA条件を満たす必要があります。

  8. [Save policy(ポリシーを保存)]をクリックします。このポリシーを公開できるようになります。

ポリシーを公開する

作成したポリシーは、公開する必要があります。

公開したポリシーを変更すると、その変更は直ちに適用されます。ポリシーを公開し直す必要はありません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 公開するポリシーの[Actions(アクション)]をクリックします。
  3. [Publish(公開)]をクリックしてポリシーに対するアクセス権を付与します。

ポリシーを複製する

セキュリティ管理者は、新しいポリシーをゼロから作成する代わりに既存のポリシーを複製できます。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 複製するポリシーの[Actions(アクション)]をクリックします。
  3. [Clone(複製)]を選択します。
  4. [Save Policy(ポリシーを保存)]をクリックします。

関連項目

Okta Privileged Accessとアクセスリクエスト

多要素認証

Okta Privileged Access

シークレット権限