アプリケーション間(A2A)の認証情報の管理

A2A (Application-to-Application)機能を使用して、自動化されたリクエスト サーバから認証情報のリクエストを管理できます。認証情報マネージャがパスワードを指定すると、リクエスト サーバがパスワードを送信してターゲットにアクセスします。リクエスト スクリプトは、パスワード管理対象デバイス上でのターゲット アカウントの認証情報を必要とするアプリケーションです。これらのスクリプトは、リクエスト サーバ上で実行される A2A クライアントを通じて管理対象認証情報をリクエストします。このリクエスト サーバはターゲット サーバのように扱われますが、A2A デバイス タイプです。
capam32
A2A (Application-to-Application)機能を使用して、自動化されたリクエスト サーバから認証情報のリクエストを管理できます。認証情報マネージャがパスワードを指定すると、リクエスト サーバがパスワードを送信してターゲットにアクセスします。リクエスト スクリプトは、パスワード管理対象デバイス上でのターゲット アカウントの認証情報を必要とするアプリケーションです。
これらのスクリプトは、リクエスト サーバ上で実行される A2A クライアントを通じて管理対象認証情報をリクエストします。このリクエスト サーバはターゲット サーバのように扱われますが、A2A デバイス タイプです。
A2A 機能は、顧客の環境でホストにインストールする A2A クライアントを使用します。次に、A2A クライアントはそのアプライアンスと統合する必要があります。
このトピックでは、以下のタスクについて説明します。
2
A2A の用語
A2A の設定に固有の用語を以下に説明します。
リクエスト サーバ:
リクエスタ アプリケーションが存在し、A2A クライアントがインストールされるホスト サーバ。
A2A クライアント:
リクエスト サーバにインストールされているプログラム。A2A は、リクエスタと
PAM
の間の通信を中継します。
リクエスタ:
PAM
で A2A ターゲット アカウントの一部として格納されている認証情報をリクエストするアプリケーションです。認証情報を取得するため、リクエスタが A2A クライアントと通信し、次に A2A クライアントが
PAM
から認証情報を取得します。
PAM
は、認証情報リクエストを受信すると、リクエスト サーバの属性、リクエスト元のプログラム/スクリプト、およびリクエスト元プログラムを実行しているユーザを評価します。許可された場合、
PAM
はリクエスタに認証情報を送信します。リクエスタは、データベースへの接続を開く場合など、認証情報を必要とする任意のタスクに対して認証情報を使用できます。
ターゲット エイリアス:
A2A ターゲット アカウントを識別する一意の名前。A2A ターゲット アカウントには、複数のエイリアスがある可能性があります。
許可マッピング:
どのリクエスト元のアプリケーションまたはスクリプトがどのターゲット アカウントにアクセスできるのかを定義します。マッピングでは A2A セキュリティを実装しています。
設定の概要
A2A 認証情報管理を設定するには、以下のタスクを完了します。
A2A タスクは特定の順序で完了する必要はありません。唯一の例外は、Amazon Virtual Private Cloud の AWS AMI で A2A が展開されている場合です。
このプロセスには次のような手順が含まれます。
  1. リクエスト サーバで使用するターゲット アカウントをホストするターゲット デバイスを追加します。これらのターゲットでは、デバイス タイプ「特権管理」を使用します。
  2. リモート ホスト上で A2A クライアントをインストールします。
  3. UI を使用して、アプライアンスと A2A クライアントを統合します。
    1. A2A デバイスとして A2A クライアントを追加します。
    2. このデバイスをアクティブ化します。
  4. A2A クライアント ホスト上で A2A リクエスト スクリプトを統合します。
  5. UI を使用して、リクエスト サーバとアプライアンス サーバを統合します。
    1. A2A リクエスト スクリプトを指定します。
    2. 許可マッピングを指定します。
AWS AMI への A2A クライアントの導入
以下の手順に従います。
  1. AWS でインスタンスを作成します。A2A クライアントをインストールする前にデバイスを追加しないでください。
  2. アプライアンスに、AWS AMI を自動的にインポートします。
    インポート中、アプライアンスがデバイスの AWS 内部 IP アドレスを認識します。 
  3. A2A クライアントをインストールします。A2A クライアントは、AWS 内部 IP アドレスを使用して、アプライアンスに登録します。
認証情報のリクエストを処理するには、以下の手順に従います。
  1. リクエスト サーバ(A2A デバイス)をアクティブ化します。A2A デバイスがすでにプロビジョニングされている場合は、この手順は必要ありません。
  2. リクエスト スクリプトを関連付けます。
  3. 許可マッピングを追加します。
ターゲット エイリアスを使用したターゲットの識別
A2A パスワードを管理するには、ターゲット アカウントごとに 1 つ以上のターゲット エイリアスを割り当てます。ターゲット エイリアスは、ターゲット サーバ、そのサーバ上のターゲット アプリケーション、そのアプリケーション上のターゲット アカウントにリンクする一意の名前です。認証情報マネージャと統合されたスクリプトは、エイリアスを使用してデータベースからターゲット アカウント認証情報を取得します。認証情報によって、ターゲット システムへアクセスできるようになります。ターゲット エイリアスを定義すると、ターゲット認証情報はスクリプトにハードコードされません。それにより、認証情報マネージャはパスワードの変更を自動的に処理できます。
以下の図は、ターゲット アカウントの階層構造を示しています。
A2A 通信用のターゲット エイリアス
target aliases for A2A communication
リクエスト元プログラムは、ターゲット エイリアスを指定することにより、ターゲット アカウントも識別します。ターゲット エイリアスは、アプライアンスに対してグローバルです。エイリアスは、ターゲット アカウント名とは異なります。ターゲット名は多くのホストで重複している可能性があるためです。重複する名前の例として、UNIX システムの root アカウントがあります。
ターゲット エイリアスおよびグループは、許可マッピングでも使用されます。
ターゲット エイリアスの指定は、リクエスト元プログラムで指定されたターゲット エイリアスと同じです。
マッピングがターゲット グループに対するものである場合、グループ内のすべてのアカウントはターゲットを表します。ターゲットをグループ化すると、複数のマッピングを設定しなくても、リクエスト元のプログラム/スクリプトで各ターゲット アカウントのターゲット エイリアスを取得できます。ターゲット グループは、最も拡張性のある、ターゲットを指定する方法です。ただし、一部のリクエスト元プログラムが不要なターゲット アカウントの認証情報を取得する可能性があります。この問題を回避するには、個々のエイリアスにマッピングを設定するか、最小限のスコープでターゲット グループを設定します。
詳細については、以下の関連コンテンツを参照してください。