基本パスワード表示ポリシーの作成
各ターゲット アカウントは、デフォルト ポリシーか作成したポリシーかにかかわらず、パスワード表示ポリシーに関連付けられます。この手順を使用して、UI でパスワード表示ポリシーを作成できます。
capam33
HID_PasswordViewPolicyPanel
各ターゲット アカウントは、デフォルト ポリシーか作成したポリシーかにかかわらず、パスワード表示ポリシーに関連付けられます。この手順を使用して、UI でパスワード表示ポリシーを作成できます。
CLI を使用してパスワード表示ポリシーを作成するには、「CLI を使用したパスワード表示ポリシーの作成」を参照してください。
2
パスワード表示ポリシーの設定
以下の手順に従います。
- [認証情報]-[ワークフロー]-[パスワード表示ポリシー]を選択します。[パスワード表示ポリシー]ページが表示されます。
- [追加]を選択します。
- [基本情報]タブで、ポリシーの[名前]と[説明]を入力し、以下のコントロールを使用して、ポリシーのプロパティを指定します。
- [表示を再認証する]: 設定すると、ユーザがパスワードを表示しようとする場合にダイアログ ボックスが表示されます。続行するには、ユーザがパスワードを入力します。
- [自動接続を再認証する]: 設定すると、ユーザがアクセスを介してアプリケーションに自動接続しようとする場合にダイアログ ボックスが表示されます。続行するには、ユーザがパスワードを入力します。
- [表示の利用に理由が必須]: 設定すると、ユーザがアカウント パスワードを表示しようとする場合にダイアログ ボックスが表示されます。パスワードを表示するには、ユーザが理由を選択し、説明およびリファレンス コードを入力します。[Account List]ページまたは[アカウント詳細]ページでアカウントの[認証情報の表示](目のアイコン)を選択します。
- [自動接続の利用に理由が必須]: 設定すると、ユーザが自動接続しようとする場合にダイアログ ボックスが表示されます。自動接続するには、ユーザが理由を選択し、オプションの説明およびオプションのリファレンス コードを入力します。
- [表示時にパスワードを変更]:[パスワード変更期間]フィールドで指定された遅延(分単位)の後に、表示される同期および非同期アカウントのパスワードが自動的に変更されます。[承認プロセス]も選択すると、この間隔は無効になり、無視されます。承認プロセスには、より優先される独自のデフォルト要求間隔があります。パスワード表示ポリシーは、パスワードを表示するためのユーザによるパスワードのチェックアウトを要求することもあります。パスワードのチェックアウトでは、ユーザがパスワードを表示した回数にかかわらず、チェックイン時にパスワードが変更されます。複合アカウントでは、1 つのアカウントにだけアクセスした場合でも、すべてのサーバでパスワードが変更されます。
- [Autoatmic Password Change (自動パスワード変更)](オプション): リモート セッションで使用されるパスワード(「表示された」パスワードではない)を変更するには、以下のいずれかのオプションを設定します。
- [接続終了時にパスワードを変更]:ユーザによるターゲット サーバへの SSH または RDP 接続が終了すると、パスワードが自動的に変更されます。接続は接続タイムアウト、ユーザによる接続の終了、または接続のロストによって終了される場合があります。このオプションは、[パスワードの表示]には適用されません。
- [セッション終了時にパスワードを変更]:Privileged Access Managerのユーザ セッションが終了すると、ターゲット サーバへのログインに使用されるすべてのパスワードが変更されます。接続は、ユーザのログアウト、セッションのタイムアウト、または接続のロストによって終了される場合があります。このオプションは、[パスワードの表示]には適用されません。
- [自動接続のパスワードを変更する]: 設定した場合、認証情報を使用した自動接続が成功するたびに、設定可能な分数でパスワードが変更されます。注:この設定は、同じ認証情報を使用して複数のセッションが同時に開始される環境には適さないことがあります。
- [パスワード表示リクエスト バナー]: オプション。[表示に対しての理由が必須]または[自動接続に対しての理由が必須]がオンの場合に表示されます。表示された場合は、[パスワード表示のリクエスト]に表示されるバナーのテキストを入力します。このバナーには、ユーザがアカウントのパスワードを表示しようとしたときに、[コメント]および[Reason Code (理由コード)]フィールドに入力する必要があるユーザに関する情報を含めることができます。このバナーは、[認証情報マネージャ]-[全般設定]で設定することもできます。パスワード表示ポリシーの設定は、全般設定より優先されます。
- [パスワード変更期間]([表示時にパスワードを変更]または[自動接続のパスワードを変更する]オプションのいずれか、または両方が選択された場合にのみ表示): 認証情報マネージャによりパスワードが変更されるまでのパスワードの表示または自動接続の間隔(分単位)を指定します(該当する場合)。[チェックアウト/チェックイン]オプションも設定すると、[パスワード変更期間]設定は無視されます。代わりに、アカウントのチェックイン時にパスワードが変更されます。
- [チェックアウト/チェックイン]:選択すると、アカウント パスワードを自動的にチェックインする前に、このオプションは認証情報マネージャが待機する時間(分単位)を指定します。チェックイン/チェックアウト間隔は、承認プロセスの間隔以内にする必要があります。チェックアウト/チェックインおよび承認プロセスが有効な場合、チェックアウト/チェックインの有効期限は承認プロセスの有効期限以下になります。詳細については、「パスワードの表示にアカウントのチェックアウトが必要」を参照してください。
- [自動接続時に排他的チェックアウト]:選択した場合、このオプションは、すべての接続が閉じられたときに認証情報がチェックインされることを示します。このオプションを選択すると、すべての表示プロパティとチェックアウト/チェックイン プロパティは使用不可になります。サービス デスクの統合で[自動接続時に排他的チェックアウト]が選択されている場合、[表示に対しての理由が必須]は選択されていますが無効になっています。これが選択されている場合でも、排他的チェックアウトが優先されるためパスワードの表示機能は動作しません。アカウントが自動接続で排他的チェックアウトに関連付けられている場合、パスワードの表示が無効になっています。
- [承認プロセス]タブはオプションです。承認プロセスでは、ユーザがパスワードを表示する前に、承認者ロールを持つユーザがアカウント パスワードへのアクセスを許可する必要があります。承認プロセスを設定する場合、ワン クリック承認も有効化できます。ワンクリック承認により、指定された承認者がPrivileged Access Managerにログインすることなくパスワード表示リクエストを承認または拒否することができます。承認プロセス オプションの詳細と設定については、「パスワード表示リクエストを行う」を参照してください。振り返り承認は、アカウント認証情報への即時の「break glass」アクセスを許可します。これらの認証情報が表示される場合は、承認者ロールを持つ管理者に事後承認のための通知が送信されます。この機能を使用して、通常であれば承認者ロールを持つ管理者による事前の許可を必要とするアカウントへの緊急アクセスを提供します。詳細については、「リクエストの承認が必要なパスワード表示ポリシーの設定」を参照してください。
- [メール通知]タブはオプションです。このオプションでは、特定のユーザが、他のユーザがアカウント パスワードを表示した際に電子メール通知を受け取ることを有効にします。電子メールは、正常な初期のパスワード表示リクエストについてのみ送信されます。詳細については、「電子メール通知の有効化」を参照してください。
- [サービス デスク]タブはオプションです。この機能を使用するには、サービス デスクの統合がすでにセット アップされている必要があります。詳細については、「サービス デスク ソリューションとの統合」を参照してください。
表示ポリシーの変更の適用方法
パスワードを表示するすべての将来の試行に対して、既存のパスワード表示ポリシーの変更が適用されます。ただし、進行中の表示の試行は、以前のポリシーで管理されます。たとえば、パスワードがチェックアウトされている間に[チェックアウト/チェックイン]オプションを無効にすると、パスワードはチェックアウトされたままになります。ユーザはパスワードを再度チェックインするか、チェックアウト時間の有効期限が切れます。そのため、アカウントの未処理のパスワード表示リクエストがある場合、パスワード表示ポリシーを変更しないでください。
リクエスト承認者のリストに加えた変更はすぐに反映されます。たとえば、新しい承認者は、関連する電子メール通知を受信し、リクエストを承認または拒否できます。同様に、リストから削除された承認者は電子メールを受信したり、リクエストを承認または拒否したりすることができなくなります。
高度なパスワード表示ポリシーの機能については、以下のトピックを参照してください。