特权访问角色和特权帐户
内容
cminder12901cn
内容
可以使用特权访问角色来指定每个用户可在
Privileged Identity Manager
企业控制台中执行的 SAM 任务以及每个用户可签入和签出的特权帐户。 Privileged Identity Manager
企业控制台附带有预定义的特权访问角色。 您可以修改预定义的角色来适合企业需求,也可以创建全新的角色。用户登录到
Privileged Identity Manager
企业控制台时,只能看到与其角色相对应的任务和特权帐户。使用特权访问角色
为企业设置 SAM 之前,您应当考虑以下几点:
- 建议您使用 Active Directory 作为用户存储,并修改每个角色的成员策略以便指向 Active Directory 中的组。 要将用户添加到您以这种方式设置的角色或将其从中删除,可将用户添加到 Active Directory 组或从中删除用户。 这会降低管理上的开销。
- 如果使用 Active Directory 作为用户存储,则无法使用Privileged Identity Manager企业控制台来创建或删除用户或组。 您只能在 Active Directory 中创建和删除用户和组。
- 如果角色定义了成员策略,SAM 用户管理器将此特定角色分配给用户,但该用户不适合成员策略的范围,则Privileged Identity Manager不会将此角色分配给该用户。 在成员策略中定义的规则优先于 SAM 用户管理器的分配。
- 要响应特权帐户请求,用户必须具有 SAM 批准人角色并且必须是请求用户的管理员。 如果使用嵌入式用户存储,您可以在Privileged Identity Manager企业控制台中的“创建用户”和“修改用户”任务中指定用户的管理员。
- 在预先设置中,Privileged Identity Manager会将“紧急情况”、“SAM 批准人”、“特权帐户请求”和“SAM 用户”角色分配给所有用户。 要更改该行为,请修改每个角色的成员策略。
- 您可以修改角色的范围规则以定义该角色可以访问的特定端点和特权帐户。 通过范围规则,您可以在整个企业中实施对特权帐户的细化访问。 范围规则在角色的成员策略中进行定义。
特权访问角色如何影响签出和签入任务
您签出共享帐户在端点上执行管理任务,并在您完成端点上的操作时签入该帐户。
重要信息!
用户必须具有端点特权的访问角色才能在某个端点类型上执行任务。 端点特权访问角色使用授权访问帐户指定用户可以执行任务的端点类型。例如,如果您将 Windows 端点共享访问角色分配给用户,用户可以在使用共享帐户的 Windows 端点上执行端点任务。 如果您将“紧急情况”、“特权帐户请求”或“SAM 用户”角色分配给用户,您还必须为用户分配端点特权访问角色,否则用户将不能完成任何任务。
以下过程说明了特权访问角色如何影响用户执行的签出和签入任务:
- 用户使用下列方式之一签出共享帐户:
- 具有“SAM 用户”角色的用户签出帐户。
- 具有“紧急情况”角色的用户执行紧急情况签出。
- Privileged Identity Manager端点上的应用程序(例如 CLI 密码使用方)签出帐户。
共享帐户被签出。 注意:如果用户执行紧急情况签出,Privileged Identity Manager会通知角色所有者。 角色所有者可以选择将信息添加到该消息中用于审核。 - 用户使用下列方式之一签入共享帐户:
- 具有“SAM 用户”角色的用户签入帐户。
- 具有“紧急情况”角色的用户签入帐户。
- Privileged Identity Manager端点上的应用程序签入帐户。
- 具有“SAM 目标系统管理员”角色的用户强制签入帐户。
下图说明特权访问角色如何影响用户执行的签入和签出任务:

示例:签出共享帐户
您具有“系统管理员”角色。 为 Joe 分配“SAM 用户”角色和 Windows Agentless Connection 端点特权访问角色。 Joe 登录到
Privileged Identity Manager
控制台时,只能看到允许其签出和签入 Windows 端点上共享帐户的任务。示例:共享帐户的紧急情况
您具有“系统管理员”角色。 您为 Fiona 分配“紧急情况”角色和 Oracle Server 连接端点特权访问角色。 Fiona 需要对 Oracle 端点进行即时访问。 她登录到
Privileged Identity Manager
控制台时,只能看到允许她在 Oracle 端点上执行帐户紧急情况签出的任务。 Fiona 将执行 Oracle 特权帐户的紧急情况签出,Privileged Identity Manager
将通知消息发送到“紧急情况”角色所有者。注意:
默认情况下,“紧急情况”角色所有者是“系统管理员”管理角色。如果用户无法签出共享帐户而且不需要对该帐户进行即时访问,用户可以提交共享帐户请求。 管理器可以批准或拒绝该请求。 该主题说明了用户需要哪种特权访问角色来执行共享帐户请求任务。
重要信息!
用户必须具有端点特权的访问角色才能在某个端点类型上执行任务。 端点特权访问角色使用授权访问帐户指定用户可以执行任务的端点类型。例如,如果您将 Windows 端点共享访问角色分配给用户,用户可以在使用共享帐户的 Windows 端点上执行端点任务。 如果您将“紧急情况”、“特权帐户请求”或“SAM 用户”角色分配给用户,您还必须为用户分配端点特权访问角色,否则用户将不能完成任何任务。
以下过程说明了特权访问角色如何影响用户可以执行的共享帐户请求任务:
- 具有“特权帐户请求”角色的用户请求对共享帐户的访问。
- Privileged Identity Manager将共享帐户请求发送给用户的管理员,该管理员还具有“SAM 批准人”角色。注意:用户必须具有“SAM 批准人”角色并且必须是用户的管理员才能接收共享帐户请求。
- 具有“SAM 批准人”角色的用户对请求作出响应,并执行以下操作之一:
- 拒绝共享帐户请求。具有“特权帐户请求”角色的用户无法签出共享帐户。
- 保留特权共享请求。没有其他用户可以批准或拒绝请求。 具有“特权帐户请求”角色的用户无法签出共享帐户,直到“SAM 批准人”选择批准该请求。
- 批准共享帐户请求。具有“特权帐户请求”角色的用户被授予共享帐户异常,并且可以签出和签入帐户。
- 共享帐户异常由于以下某项原因而到期:
- 到达了在共享帐户异常中指定的截止时间。
- 具有“SAM 目标系统管理员”角色的用户删除了共享帐户异常。
下图说明了特权访问角色如何影响用户可以执行的共享帐户请求任务:

示例:提出共享帐户请求和对其作出响应
您具有“系统管理员”角色。 您为 Alice 分配“共享帐户请求”角色和 SSH 设备连接端点特权访问角色。 Bob 是 Alice 的管理员,您为 Bob 分配了“SAM 批准人”角色。
Alice 登录到
Privileged Identity Manager
企业控制台时,只能看到让她针对 UNIX 端点上的帐户提交共享帐户请求的任务。 Alice 针对 UNIX 端点上的 example_ux 帐户提交共享帐户请求。Bob 登录到
Privileged Identity Manager
控制台时,只能看到让他响应共享帐户请求的任务。 Bob 批准 Alice 的授权访问请求,并指定共享帐户异常在下午 6 点之前有效。 现在,Alice 可以签入和签出 example_ux 帐户。 下午 6 点时,共享帐户异常到期,而 Alice 不能再签出 example_ux 帐户。在紧急情况处理期间会发生什么事情
用户需要立即访问其无权管理的帐户时,会执行紧急情况签出。
紧急情况帐户是未按照用户角色分配给用户的共享帐户。 但是如果有需要,用户可以获得帐户密码。
在紧急情况签出过程中,会给角色管理员发送一个通知消息,通知管理员发生紧急情况签出过程,不过管理员无法批准也无法停止该过程。
签出的紧急情况帐户会添加到用户在“主页”选项卡“紧急情况”选项中的“我的签出特权帐户”选项卡中。
注意
:只有具有紧急情况特权访问角色的用户才能执行紧急情况处理。