Hitachi ID Privileged Access Manager est conçue pour ne pas seulement randomize et stocker de façon sécurisée les mots de passe du mode privilégié, mais également de connecter des utilisateurs et des programmes aux comptes privilégiés approprié après l'authentification et l'autorisation. Il inclut l'accès suivant la divulgation capacités:

  1. pour les utilisateurs, via une interface web, sous réserve de politique de contrôle d'accès.
  2. pour les utilisateurs qui n'ont pas un accès autorisé droits, après approbation.
  3. pour les applications, afin de remplacer les mots intégré, en utilisant une API oû les applications s'authentifier en utilisant un OTP et ne peut se connecter à partir d'un pré-plage d'adresses IP soit définie.
  4. service de lancement des programmes, tels que le gestionnaire de contrôle des services Windows, par l'écriture de nouvelles valeurs des mots de passe aux emplacements appropriés après un changement de mot de passe réussi.

Notez que tous la divulgation est soumis au chiffrement SSL, strong, l'authentification personnelle, des contrôles d'accès ou approbation du workflow et des journaux d'audit.

Divulgation immédiate avec le contrôle d'accès

La forme la plus courante de contrôle des accès dans l'Privileged Access Manager est basée sur un système géré politiques. Ces politiques sont nommées collections de systèmes gérés contenant comptes privilégiés dont les mots de passe peuvent être randomisés et dont l'accès est contrôlé.

systèmes gérés peut être attaché à une politique explicitement (p. ex., "fixer STATION station01234 de politique RGWKSTNS") ou implicitement, à l'aide d'une expression. Les expressions peuvent être basés sur le type de système d'exploitation, adresse IP, adresse MAC ou nom du poste de travail (p. ex., "fixer chaque station de travail exécutant Windows XP dans le sous-réseau 10.1.2.3 /24 à la politique X")

système géré politiques sont configurés avec opérationnel et les règles de contrôle d'accès, y compris:

  1. comptes dont les mots de randomiser de systèmes connectés.
  2. Comment souvent à changer les mots de passe.
  3. comment composer les mots de passe aléatoires (p. ex., longueur, complexité, etc. ).
  4. les mesures à prendre après tentatives réussies ou échouées de divulguer un mot de passe.
  5. Quel accès méthodes de divulgation pour offrir aux utilisateurs qui le souhaitent de signer en comptes privilégiés sur systèmes raccordés (par ex., lancement du bureau distant, lancez SSH, placez temporairement l'utilisateur dans des groupes de sécurité, affichage mot de passe actuel de l'utilisateur, etc. ).

Privileged Access Manager utilisateurs sont organisés en groupes d'utilisateurs, explicitement ou implicitement. Dans un déploiement typique, les utilisateurs sont affectés à l'utilisateur Privileged Access Manager groupes en vertu de leur appartenance à Active Directory ou groupes LDAP. Groupes d'utilisateurs sont ensuite affectées droits spécifiques en ce qui concerne les système géré politiques. Par exemple, "chaque utilisateur à un groupe peut lancer sessions RDP de comptes privilégiés sur les systèmes de politique B. "

règles commerciales, comme la séparation des fonctions entre les différents ensembles d'utilisateurs, peuvent également être appliquées. Ceci est fait par l'examen, de la gestion et de limiter l'appartenance à un groupe de systèmes de référence, tels que Active Directory ou LDAP, qui peuvent être simultanément affectés au même utilisateur.

La divulgation du workflow d'approbation

Privileged Access Manager comprend la même autorisation moteur de workflow comme est utilisé en Hitachi ID Identity Manager. Workflow permet aux utilisateurs de demander l'accès à un compte privilégié qui n'étaient auparavant pas ou définitivement autorisé. Lorsque cela se produit, un ou plusieurs utilisateurs supplémentaires sont invités (via e-mail ou SMS) pour examiner et approuver la demande. A approuvé des demandes déclencher un message à la demande du destinataire, y compris une URL à Privileged Access Manager où il ou elle peut ré-authentifier et "check out" d'accès.

Le processus de flux de travail est illustrée par la série d'étapes suivante:

  1. L'utilisateur UA en signes et demande que le mot de passe actuel de compte de connexion sur le système S être mises à la disposition de l'utilisateur UB ultérieurement T. UA peut ou peut ne pas être la même personne que UB.
  2. Privileged Access Manager recherche approbateurs associés à LA sur S.
  3. Privileged Access Manager peut exécuter logique métier pour compléter cet approbateur liste, par exemple avec quelqu'un dans la chaîne de gestion pour UA ou UB. La liste finale des approbateurs est LA. Il y a N approbateurs mais l'approbation par juste M (M <= N) suffit pour révéler le mot de passe à AZ.
  4. Privileged Access Manager envoie les invitations par courrier électronique à approbateurs LA.
  5. Si approbateurs ne répondent pas, ils obtiennent rappel automatique e-mails.
  6. Si approbateurs continuent de ne pas répondre, Privileged Access Manager exécute logique métier afin de trouver des remplaçants pour eux, effectivement une escalade de la demande et invite le remplacement approbateurs ainsi.
  7. approbateurs reçoivent invitation e-mails, cliquez sur une adresse URL incorporée dans l'invitation par courrier électronique, de s'authentifier au Privileged Access Manager page web de connexion, réviser la demande et l'approuver ou la rejeter.
  8. Si les approbateurs rejeter la demande, e-mails sont envoyés à tous les participants (UA, UB et AZ) et la requête est terminée.
  9. Si M approbateurs approuvent la demande, merci e-mails sont envoyés à tous les participants. Un e-mail est envoyé au destinataire -- UB avec une URL à un accès page de divulgation.
  10. UB clique sur l'e-mail et URL authentifie à Privileged Access Manager et affiche le mot de passe.
  11. UB clique sur un bouton pour "check-out accès privilégié."
  12. UB peut ensuite cliquer sur un bouton pour faire l'une des suivantes (les options disponibles varient en fonction de la politique):
    1. Afficher le mot de passe.
    2. Placez une copie du mot de passe dans le système d'exploitation mémoire tampon de copie.
    3. Lancer une RDP, SSH, vSphere ou similaires session de contrôle à distance sur le serveur en question.

    en d'autres termes, l'affichage d'un mot de passe (sensible n'est pas obligatoire ni même recommandé qu'une partie de la solution.