パスワード表示ポリシーの作成
各ターゲット アカウントは、デフォルト ポリシーか作成したポリシーかにかかわらず、パスワード表示ポリシーに関連付けられます。この手順を使用して、UI でパスワード表示ポリシーを作成できます。
capam32
HID_PasswordViewPolicyPanel
各ターゲット アカウントは、デフォルト ポリシーか作成したポリシーかにかかわらず、パスワード表示ポリシーに関連付けられます。この手順を使用して、UI でパスワード表示ポリシーを作成できます。
CLI を使用してパスワード表示ポリシーを作成するには、「CLI を使用したパスワード表示ポリシーの作成」を参照してください。
2
パスワード表示ポリシーの設定
以下の手順に従います。
- [認証情報]-[ワークフロー]-[パスワード表示ポリシー]を選択します。[パスワード表示ポリシー]ページが表示されます。
- [追加]を選択します。
- [基本情報]タブで、ポリシーの[名前]と[説明]を入力し、以下のコントロールを使用して、ポリシーのプロパティを指定します。
- [表示を再認証する]: 設定すると、ユーザがパスワードを表示しようとする場合にダイアログ ボックスが表示されます。続行するには、ユーザがパスワードを入力します。
- [自動接続を再認証する]: 設定すると、ユーザがアクセスを介してアプリケーションに自動接続しようとする場合にダイアログ ボックスが表示されます。続行するには、ユーザがパスワードを入力します。
- [表示の利用に理由が必須]: 設定すると、ユーザがアカウント パスワードを表示しようとする場合にダイアログ ボックスが表示されます。パスワードを表示するには、ユーザが理由を選択し、オプションの説明およびオプションのリファレンス コードを入力します。[Account List]ページまたは[アカウント詳細]ページでアカウントの[認証情報の表示](目のアイコン)を選択します。
- [自動接続の利用に理由が必須]: 設定すると、ユーザが自動接続しようとする場合にダイアログ ボックスが表示されます。自動接続するには、ユーザが理由を選択し、オプションの説明およびオプションのリファレンス コードを入力します。
- [表示時にパスワードを変更]:[パスワード変更期間]フィールドで指定された遅延の後に、表示される同期および非同期アカウントのパスワードが自動的に変更されます。パスワード表示ポリシーは、パスワードを表示するためのユーザによるパスワードのチェックアウトを要求することもあります。パスワードのチェックアウトでは、ユーザがパスワードを表示した回数にかかわらず、チェックイン時にパスワードが変更されます。複合アカウントでは、1 つのアカウントにだけアクセスした場合でも、すべてのサーバでパスワードが変更されます。
- [Autoatmic Password Change (自動パスワード変更)](オプション): リモート セッションで使用されるパスワード(「表示された」パスワードではなく)を変更するには、以下のいずれかのオプションを設定します。
- 接続終了時にパスワードを変更。ユーザによるターゲット サーバへの SSH または RDP 接続が終了すると、パスワードが自動的に変更されます。接続は接続タイムアウト、ユーザによる接続の終了、または接続のロストによって終了される場合があります。このオプションは、[パスワードの表示]には適用されません。
- [セッション終了時にパスワードを変更]:Privileged Access Managerのユーザ セッションが終了すると、ターゲット サーバへのログインに使用されるすべてのパスワードが変更されます。接続は、ユーザのログアウト、セッションのタイムアウト、または接続のロストによって終了される場合があります。このオプションは、[パスワードの表示]には適用されません。
- [自動接続のパスワードを変更する]: 自動接続バスワードが、セッションの終了時に自動的に変更されます。この設定は、同じ認証情報を使用して複数のセッションが同時に開始される環境には適さないことがあります。
- [パスワード変更期間]([表示時にパスワードを変更]または[自動接続のパスワードを変更する]オプションのいずれか、または両方が選択された場合にのみ表示): 認証情報マネージャによりパスワードが変更されるまでのパスワードの表示または自動接続の間隔(分単位)を指定します(該当する場合)。[チェックアウト/チェックイン]オプションも設定すると、[パスワード変更期間]設定は無視されます。代わりに、アカウントのチェックイン時にパスワードが変更されます。
- [チェックアウト/チェックイン]: 選択すると、アカウント パスワードを自動的にチェックインする前に、このオプションは認証情報マネージャが待機する時間(分単位)を指定します。チェックイン/チェックアウト間隔は、承認プロセスの間隔以内にする必要があります。チェックアウト/チェックインおよび承認プロセスが有効な場合、チェックアウト/チェックインの有効期限は承認プロセスの有効期限以下になります。詳細については、「パスワードの表示にアカウントのチェックアウトが必要」を参照してください。
表示ポリシーの変更の適用方法
パスワードを表示するすべての将来の試行に対して、既存のパスワード表示ポリシーの変更が適用されます。ただし、進行中の表示の試行は、以前のポリシーで管理されます。たとえば、パスワードがチェックアウトされている間に[チェックアウト/チェックイン]オプションを無効にすると、パスワードはチェックアウトされたままになります。ユーザはパスワードを再度チェックインするか、チェックアウト時間の有効期限が切れます。そのため、アカウントの未処理のパスワード表示リクエストがある場合、パスワード表示ポリシーを変更しないでください。
リクエスト承認者のリストに加えた変更はすぐに反映されます。たとえば、新しい承認者は、関連する電子メール通知を受信し、リクエストを承認または拒否できます。同様に、リストから削除された承認者は電子メールを受信したり、リクエストを承認または拒否したりすることができなくなります。
パスワード確認の有効化
ユーザが最初に UI にログインしてパスワードを表示すると、認証情報マネージャはパスワードを確認します。パスワードが表示されるたびに確認するようにするには、
[表示を再認証]
オプションを設定します。以下の手順に従います。
- [認証情報]-[ワークフロー]-[パスワード表示ポリシー]を選択します。
- 各パスワード表示ポリシーで、[表示を再認証]を選択します。
- [OK]を選択します。
承認プロセスの有効化(オプション)
承認プロセスでは、ユーザがパスワードを表示する前に、承認者ロールを持つユーザがアカウント パスワードへのアクセスを許可する必要があります。承認プロセスを設定する場合、
ワン クリック承認
も有効化できます。ワンクリック承認により、指定された承認者が Privileged Access Manager
にログインすることなくパスワード表示リクエストを承認または拒否することができます。 [承認プロセス]オプションの詳細については、「パスワード表示の許可の取得」を参照してください。
他のパスワード表示ポリシー機能については、以下のトピックを参照してください。