デバイスおよびアプリケーションにユーザ アクセスをプロビジョニングするようにポリシーを設定

デバイスおよびアプリケーションへの特権アクセスをプロビジョニングするように製品を設定するには、以下のオブジェクトを設定します。
capam32
デバイスおよびアプリケーションへの特権アクセスをプロビジョニングするように製品を設定するには、以下のオブジェクトを設定します。
  • デバイス
    - 物理デバイスおよび IP アドレス指定可能なアプリケーションを表します。
  • ユーザ
    -
    CA Privileged Access Manager
    にログインできるユーザを表します。
  • ポリシー
    - ユーザ(またはユーザ グループ)とデバイス(またはデバイス グループ)の間の関係を定義し、各ユーザが各デバイスで許可されるアクションを指定します。
簡単に言えば、ポリシーで決定するのは、各ログイン ユーザの
[アクセス]
画面に表示される[デバイス]アクセス オプションと、それらのセッションが記録されるかどうかです。
PAM
アクセス ポリシー
PAM Access Policy
ここでは、以下のオブジェクトの詳細について説明します。
 
2
 
デバイス
デバイス
オブジェクトとは、ユーザがアクセスする可能性がある、
CA Privileged Access Manager
で管理された、IP アドレスを指定できるネットワーク ノードです
。 たとえば、Windows または Linux システムです。 デバイスは、UI の
[デバイス]
-
[デバイス管理]
画面から管理できます。
デバイスを作成またはインポートするときは、
[アクセス]
デバイス タイプ オプションが選択されていること、またはアクセス ポリシー選択リストでデバイスが使用できないことを確認してください。
[パスワード管理]
および
[A2A]
デバイス タイプは、認証情報管理に関連しています。 詳細については、「特権アカウントの認証情報を保護する」を参照してください。
アクセス タイプ
各デバイスで、以下の 1 つ以上のアクセス タイプを指定して、アクセスできる方法を決定します。
  • アクセス方法
    標準的な接続を提供する、事前にパッケージ化されたアプレット
  • サービス
    : 事前定義済みのアクセス方法を超えてアクセスのタイプを拡張するようにサービスを設定し、以下へのカスタム アクセスを提供します。
    • TCP/UDP サービス
    • RDP アプリケーション
デバイス レベルで設定されたアクセス タイプは、そのデバイスに関連するポリシーを設定するときに使用可能なすべてのアクセス オプションを決定します。 アクセス タイプまたは
ユーザ
に表示されるタイプは、対応するアクセス ポリシーで指定されます。
Access Methods
アクセス方法は、事前にパッケージ化された標準の Java 通信アプレットであり、CA PAM クライアントまたはサポートされているブラウザで実行されます。 アクセス方法は、VNC、TELNET、SSH、RDP、およびシリアル接続で利用できます。 アクセス方法は、標準的なポートで事前定義済みであり、標準装備のデバイスへの割り当てに使用できます。 デフォルトのポートを変更するか、アクセス方法を無効にするには、
[全体設定]
-
[アクセス方法]
に移動します。
TCP/UDP サービス
TCP/UDP サービスを設定して、既知のポートと特定のアプリケーションへのカスタム アクセスを定義します。 これらのサービスには、TCP または UDP 接続を使用する SQL クエリ フロントエンド、メインフレーム クライアント、独自のアプリケーションなどのファット クライアント アプリケーションが含まれます。 Web ポータルと Web アプリケーションも、サービスとして設定されます。
CA Privileged Access Manager
には、OpenSSH 派生の Linux、AIX、Solaris SFTP、および Microsoft IIS の実装など、共通の SFTP/FTP サーバをサポートするいくつかの事前設定済み SFTP/FTP サービスが含まれています。
その他の TCP/UDP サービスを設定してから(
[サービス]
[TCP/UDP サービス]
)、それらを必要とするデバイス定義を設定します。
RDP アプリケーション
デスクトップ全体へのアクセスを許可する代わりに、RDP アプリケーションを定義して RemoteApps (RDP プロトコルを通じて公開されている単一のターゲットでホストされるアプリケーション)へのアクセスを提供します。
RDP アプリケーションを設定してから(
[サービス]
[RDP アプリケーション]
)、それらを必要とするデバイス定義を設定します。
デバイス グループ
管理しやすいように、デバイスをグループに追加して管理できます。 デバイス グループ内のデバイスは、IIS Web サーバまたは UNIX および Linux 系 OS など、共通のアクセス方法と機能を共有するデバイスです。
デバイス グループを使用するときは、拒否の概念が優先されます。そのため、グループで利用可能なアクセス タイプを選択すると、デバイス レベルで利用できないアクセス タイプは、グループ レベルで利用できません。
すなわち、競合が発生した場合は、最も制約があるポリシーが使用されます。
デバイス グループのアクセス方法およびサービスを選択する場合は、グループ内のすべてのデバイスで利用可能なすべてのアクセス方法およびサービスを含める必要があります。
ユーザ
ユーザは、
PAM
にログインできる人物です。
管理を容易にするには、そのためのユーザ グループでユーザを整理します。
ロールを
使用して、
CA Privileged Access Manager
内でユーザが所有する権限を決定します。 ユーザ グループは継承モデルに従い、ロールはグループおよびユーザに割り当てることができます。
認証情報マネージャには、独自のロールおよびユーザ グループのセットがあります。これらは、アクセス用に定義されたロールおよびユーザ グループとは異なります。
ユーザ グループ
ユーザ グループを使用すると、共通のユーザ セットで、同じロール、認証方法、およびその他の変数を継承できます。 そのため、ユーザ グループで管理を簡素化できます。たとえば、グループのロールを変更すると、すべてのメンバのロールが変更されます。 グループは、アクセス ポリシーを作成する場合にも使用でき、個々のユーザのポリシーを作成する必要がなくなります。
ロール
ロールは、ある機能領域内の権限の事前定義済みセットです。
PAM
には、ほとんどの要件を満たす多数の事前定義済みロールがあります。 組み込みの詳細な権限を使用して、カスタム ロールを作成することもできます。 標準ユーザは、デバイスにアクセスしている一般ユーザに割り当てられる共通のロールです。
ユーザ ロールの完全なリストについては、「ユーザ ロール」を参照してください。
ユーザの設定方法
ローカル ユーザ アカウントは手動で作成するか、CSV ファイルからインポートすることができます。 また、Active Directory などの LDAP ユーザ ストアからユーザをインポートして同期することもできます。 RADIUS または PKI 用に設定されている場合、ユーザが
PAM
に最初にログインしたときに、そのユーザが追加されます。
ほとんどの
PAM
実稼働展開では、認証に LDAP または RADIUS を使用します。
ポリシー
ポリシーは、
PAM
デバイスまたはデバイス グループのインターフェースにアクセスするために、
PAM
ユーザまたはユーザ グループに付与される権限のセットです。 SSH および RDP アクセス方法を使用する接続の場合、トランスペアレント(自動)ログインを設定することもできます。 簡単に言えば、ポリシーはユーザとデバイスの間の関係を定義し
、そのユーザの[アクセス]ページにアクセス リンクを表示します
たとえば、以下のスクリーンショットでは、ポリシーで SSH アクセス方法が UNIX-AUX というデバイスに割り当てられているユーザの[アクセス]ページを示しています。
 image2018-10-31_13-8-40.png 
また、ポリシーでは、ユーザがデバイスにアクセスしている間に実行するすべてのアクションまたは一部のアクションを記録するかどうかを必要に応じて指定します。 指定されたアクセス タイプに基づいて、記録を有効にできます。 コマンド ラインおよび双方向は、SSH/Telnet およびメインフレームのセッションに適用されます。
グラフィカル記録は、RDP 接続および Web ポータルのタイプで使用できます。
ポリシーは手動で作成するか、CSV ファイルからインポートすることができます。
自動ログインでポリシーを設定するには、認証情報マネージャを使用します。
詳細情報
デバイスおよびアプリケーションへのユーザ アクセスをプロビジョニングするようにポリシーを設定するには、以下に示された順序で手順を実行します。