终端集成的工作原理

终端集成可用于将您的 端点与 SAM 相集成,以便提高安全性和责任制。
cminder12901cn
终端集成可用于将您的
Privileged Identity Manager
端点与 SAM 相集成,以便提高安全性和责任制。
以下过程说明了终端集成的工作原理:
  1. 用户使用自动登录签出
    Privileged Identity Manager
    企业控制台中的特权帐户密码。
  2.  
    Privileged Identity Manager
    企业控制台从 DMS 检索端点详细信息,并将一条登录前消息发送到消息队列。 消息中包含特权帐户的名称、签出该帐户的用户的名称以及端点的名称。
  3. Privileged Identity Manager
    端点上的 SAM 代理从消息队列中检索登录前消息。
  4. 当用户使用特权帐户登录到端点时,
    Privileged Identity Manager
    授权引擎会检查特权帐户的本地数据库记录并采取以下操作:
    1. 引擎会检查该帐户在登录前是否需要签出帐户,即用户是否必须使用自动登录才能登录到端点。 将会发生以下情况
      之一
      • 如果需要签出帐户而 SAM 代理没有收到特权帐户的登录前消息,引擎会拒绝该登录尝试。
      • 如果需要签出帐户而 SAM 代理已收到特权帐户的登录前消息,则引擎会在没有其他限制的情况下允许登录,例如,如果不存在防止登录的 TERMINAL 限制。
      • 如果不需要签出帐户,引擎会在没有其他限制的情况下允许登录。
    2. 引擎会检查是否必须使用用户原来的身份进行授权决策。 将会发生以下情况
      之一
      • 如果必须使用用户原来的身份,引擎将使用最初用户名来评估资源访问请求并写入审核记录。
      • 如果不使用用户原来的身份,引擎将使用特权帐户名称来评估资源访问请求并写入审核记录。