Contrôle d'erreur est mis en œuvre pour se prémunir contre un mot de passe mis en jeu avant le Hitachi ID Privileged Access Manager server est capable de stocker la valeur correspondant au mot de passe , c. -à-d. une station de travail ou le serveur ne peut jamais obtenir un nouveau mot de passe pour un compte privilégié alors que Hitachi ID Privileged Access Manager est incapable de stocker le mot de passe.

Considérons un ordinateur portable sur lequel le local Hitachi ID Privileged Access Manager service détermine que le moment est venu de changer les mots de passe:

S'il suffit de changer les mots de passe, puis tente de contacter un serveur central pour télécharger la nouvelle valeur, il ne peut pas gérer de se connecter à Hitachi ID Privileged Access Manager et doit, par conséquent, soit annuler la modification d'un mot de passe et enregistrer le nouveau mot de passe et tester périodiquement pour la connectivité, dans l'espoir que le nouveau mot de passe peut être téléchargée avant quelqu'un a besoin de l'utiliser.

Pour éviter ce problème, Hitachi ID Privileged Access Manager "mode pull" mode de fonctionnement (utilisé sur les ordinateurs portables) fonctionne comme suit:

  1. Premièrement, la maintenance de l'ordinateur portable se connecte à Hitachi ID Privileged Access Manager et lui demande de générer un nouveau mot de passe aléatoire pour un compte privilégié.
  2. L'ordinateur portable de maintenance puis modifie le mot de passe dans les locaux de la sécurité de base de données et envoie un message de confirmation à Hitachi ID Privileged Access Manager.
  3. Hitachi ID Privileged Access Manager met à jour le mot de passe dans ses coffres et réplique la mise à jour à tous les autres serveurs Hitachi ID Privileged Access Manager.

Dans le cas où le serveur Hitachi ID Privileged Access Manager n'a pas reçu de message de confirmation -- par exemple dans le cas où le poste de travail a été soudainement éteint ou déconnecté -- il va conserver l'ancien et le nouveau mots de passe. Le nouveau mot de passe est supposé être actuel et l'ancien mot de passe est archivé.

Dans la pratique, pour des raisons de sécurité, tous les anciens mots de passe sont conservés dans la base. Ce n'est pas seulement à l'appui d'un fail-safe processus de modification des mots de passe, mais également être en mesure de récupérer les anciennes valeurs des mots de passe dans le cas où un système géré est restauré à partir du support d'archives dans l'avenir.