• サイトマップ
• お問い合わせ

• ホームページ
• 会社概要
  • お客様について
  • パートナーについて
  • お問い合わせ
• 製品
  • アイデンティティ・マネージャー
  • パスワード・マネージャー
  • グループ･マネージャー
  • 特権アクセス・マネージャー
  • 評価版のお申し込み
  • リリース
• ソリューション
  • ITサポートコストの低減
  • ユーザーサービスの向上
  • セキュリティ, ガバナンス、コンプライアンス
• サポート
  • 顧客ポータル
  • サポート支援を要求
• ニュースとイベント
  • プレス・リリース

特徴 パスワードの開示

パスワード開示

日立 ID 特権アクセス・マネージャーは特権パスワードを安全に保管したりランダム化するためだけでなく、適切な認証と承認後にユーザーやプログラムに対して特権パスワードを開示するように設計されています。パスワード公開の機能範囲は以下の通りです。

1. ウェブ・インターフェースを使用するユーザーに対しては、アクセス制御ポリシーに従属させます。
2. 事前プログラム済みのパスワード公開権利を保有しないウェブユーザーに対しては、事前定義済みの承認者からの承認後、パスワード公開を実行します。
3. アプリケーションに対しては、埋め込まれたパスワードを差し替えるため、API(アプリケーション・プログラミング・インターフェース)を使用します。そのAPI上ではアプリケーション認証はOTP(ワンタイム・パスワード)を使用し、事前定義済みのIPアドレスの範囲からしか接続できないようになっています。
4. Windowsサービス・コントロール・マネージャーのような、サービス開始プログラムに対しては、パスワード変更の成功後に、新しいパスワードの値を適切なロケーションに置くことでパスワード公開を実行します。

アクセス・コントロールによる即時開示

日立 ID 特権アクセス・マネージャーにおいて最も使用されるアクセス制御はリソース・グループに基づいています。リソース・グループとは 特権パスワードが管理され、ポリシーが適応されているデバイスの名前を付けられた集合体です。

リソースはグループに明示的に割り当てられるか(例：ワークステーションWKSTN01234をリソース・グループ RGWKSTNSに割り当て)、もしくは暗黙的にエクスプレッションを用いて割り当てます。エクスプレッションはOSの種類やIPアドレス、MACアドレス、もしくはワークステーション名を基準にしています。(例：サブネット10.1.2.3/24内でWindows XPが稼動しているワークステーションをすべてリソース・グループXに割り当て)

リソース・グループに割り当てられるポリシーは以下のものを含みます。

1. どのアカウントのパスワードをランダム化するか
2. ランダムなパスワードをどのように構成するか(例：長さ、複雑さなど)
3. パスワードの開示に成功、または失敗した場合にどのようなアクションをとるか

　デバイスのグループをより自然に表現にする仕組みとして、リソース・グループはネストが可能です

日立 ID 特権アクセス・マネージャー ユーザーは明示的もしくは暗黙的にコンソール・ユーザーのグループに割り当てられます。(例：Active Directoryのように対象システム上のユーザー・グループのメンバーシップを経由。)コンソール・ユーザーのグループはリソース・グループに対して特定の権利を付与されます。その権利とはメンバーデバイスの一覧や、パスワードとアクセス状況の監視権限を含みます。

　異なるIT管理者グループ間における職務範囲の切り分けなど、ビジネス・ポリシーはユーザーを個別のユーザー・グループに割り当て、それぞれ異なるパスワード(重複しない)パスワードのセットを持たせることによって定義できます。

ワークフローによる開示承認

日立 ID 特権アクセス・マネージャーはその他日立 ID製品(日立 ID アイデンティティ・マネージャー、日立 ID アクセス･サーティファイアー、日立 ID グループ･マネージャー)で使用されるものと同様の認証ワークフロー・エンジンを保有しています。ワークフローはユーザーの付与パスワード・リリースの要求を可能にします。実行時には、一人もしくは多数のユーザーが招待され(Eメール経由)、要求のレビューと承認を行います。承認された要求はEメールをパスワード受理者に送信します。そのEメールには日立 ID 特権アクセス・マネージャーへのURLが記載されており、ユーザーが再認証し、要求されたパスワードを表示します。

ワークフローのプロセスは以下の一連のステップで表現されます。

1. ユーザーUAがサインインし、システム(S)のアカウント(LA)にログインに必要なその当時のパスワードを、ある一定の時間後(T)、ユーザーUBも使用可能にする要求を発行します。
2. 日立 ID 特権アクセス・マネージャーはS上のLAに関連している承認者を探します。
3. 日立 ID 特権アクセス・マネージャーはビジネス・ロジックを実行し、承認者リストを補完します。承認者はUAもしくはUB用の管理チェーンの誰かかもしれません。承認者の最終リストはLAです。N数の承認者がいますが、LAにパスワードを開示するためなら、M数(M <= N)だけの承認があれば十分です。
4. 日立 ID 特権アクセス・マネージャーはEメールで承認者LAに招待します。
5. 承認者が応答しない場合は、承認者は自動的にリマインダーのEメールを受信します。
6. 承認者が引き続き応答しない場合は、日立 ID 特権アクセス・マネージャーはビジネス・ロジックを発行し、代理を探します。効率的に要求をエスカレートしていき、同時に代理の承認者を招待します。
7. 承認者は招待Eメールを受信し、そこに記載されているURLをクリックします。そして自身を日立 ID 特権アクセス・マネージャーウェブ・ログイン・ページに承認して、要求のレビューと承認もしくは拒否を行います。
8. 承認者が要求を拒否した場合は、Eメールが全参加者(UA、UB、LA)に送信され、要求は終了されます。
9. 承認者Mがリクエストを承認した場合は、お礼Eメールが全参加者に送信されます。特別なEメールがUBに送信されます。そのEメールにはパスワード開示ページへのURLが 記載されています。
10. UBはEメール上のURLをクリックし認証をします。日立 ID 特権アクセス・マネージャーログイン・ページでパスワードが表示されます。

画像をご覧ください。

(画像の表示)

© Hitachi ID Systems, Inc. . All rights reserved.