8章Advanced Server Accessによるサーバ管理

　OktaのASA（Advanced Server Access）は、2019年にリリースされた最新の製品である。ASAにより、Okta製品群のカバー領域がサーバにも拡大された。UDによりサーバ上のアカウントの一元管理が実現され、LCMによりアカウントの自動プロビジョニングが実現される。SSOにより、シンプルで信頼性の高い認証が実現し、サーバ上のアカウントに対するコンテキストベースのMFA認証が可能となる。本章では、ASAのような製品が必要とされるに至った背景から話をはじめ、ASAの設定や管理について説明する。

　本章では、次のトピックに沿って説明を行っていく。

• ASAの概要
• ASAの設定
• ASA環境の管理
• 管理の自動化

8.1　ASAの概要

　ここまで、本書ではアプリケーション管理についての説明を行ってきた。ASAを導入することで、Oktaの管理領域が拡大し、サーバに対するセキュアなアクセスが可能となる。これにより、ユーザ、アプリケーション、デバイスを越える領域に対するゼロトラスト化が現実味を帯びてくる。さらに、DevOps運用においてクラウド対応が重要性を増しつつある中で、自動化はその中核であり、Oktaが対応を進めてきた領域でもある。

　企業内のサーバを管理する上では、それが自社インフラの一部であれ、商用インフラの一部であれ、開発者＊1が接続できるようにしておく必要がある。通常こうした接続は、特権アカウントを用いたSSHによるコマンドライン（CLI）ベースでのアクセス、もしくはRDP（リモートデスクトップ）によるサーバへのアクセスで行われる。特権アカウントにはユーザの役割に基づくアクセス権を付与するものの、過剰なアクセス権の付与が早晩問題となる場合が多い。非常に重要な業務へのアクセスが、個々のユーザにアクセス権を付与するのではなく、共有の管理者アカウントで行われていることも多いだろう。必要以上のアクセス権が付与されているということは、必要以上のリソースにアクセスできるということであり、セキュリティ的にはリスクとなる。 ...