デバイスの機能

2
capam32
2
デバイス タイプ
デバイスは、3 つのタイプに分類されています。デバイス オブジェクトは、これらのタイプの 1 つ以上を使用して、論理的に任意の物理デバイスを表すことができます。
デバイス ライセンス
([ライセンス]ページ)
  • アクセス デバイス
    : ネットワーク アドレス可能な計算中のデバイス([全体設定]および[デバイス]テンプレート内のラベル「アクセス」によって識別)
  • パスワード
    デバイス
    : パスワードが管理対象になっているデバイス(
    Privileged Access Manager
    からプッシュされる)は、[全体設定]および[デバイス]テンプレート内のラベル「パスワード管理」によって識別されます。
  • A2A
    デバイス
    : パスワードを取得するために
    Privileged Access Manager
    に接続するアプリケーション クライアントが実行されているデバイス([全体設定]および[デバイス]テンプレート内のラベル「A2A」によって識別)。
デバイス タイプ ライセンスでは、各デバイス タイプに対して最大デバイス数を許可します。各デバイス タイプの最大数と現在の数は、[ライセンス使用状況]の[アクセス ダッシュボード]に表示されます。同じ数が[システム情報]ダイアログ ボックスにも表示されます。
ライセンス使用状況
([ダッシュボード]ページ)
  • セッション管理ライセンス
    : アクセス デバイス用(認証情報マネージャ デバイスと共存可能)
  • 認証情報マネージャ ライセンス
    : 認証情報マネージャ デバイス用(アクセス デバイスと共存可能)
  • A2A
    管理
    ライセンス: A2A デバイス用
アクセス タイプ
Privileged Access Manager
は、デバイスへのアクセスを安全にし、デバイス レベルで承認されるまでデバイスへの接続を許可しません。この承認を完了するには、アクセス方法を選択する必要があります。これは、デバイスを作成または更新するとき、または既存のデバイスの方法を変更するときに選択できます。
  • Prepackaged (プレパッケージ)
    : 標準のアクセス方法は
    [アクセス方法]
    アプレット
    として構築されており、追加のソフトウェアをユーザのデスクトップにインストールする必要はありません。
  • カスタム
    : デフォルトのアプレット アクセス権に加えて、ほぼすべての接続アプリケーションはローカル
    Privileged Access Manager
    サービス
    を設定することによってアクセスを許可する設定ができます。
アクセス方法
VNC、TELNET、SSH、RDP およびシリアル接続のサポートを含めて、いくつかのアクセス方法アプレットが同梱されています。アプリケーションが、指定されたものとは別のポートで実行されている場合、デフォルトのポートを変更できます。
以下のレベルで設定が必要です。
  • グローバル レベル
    : アクセス方法を使用可能にするには、最初に[全体設定]インターフェースを使用して許可する(オンにする)必要があります。
  • デバイス レベル
    : デフォルトのアプレット アクセス権に加えて、ほぼすべての接続アプリケーションへのアクセスを許可するように
    Privileged Access Manager
    を設定できます。
グラフィカルおよび CLI アプレット
  • VNC
    : VNC (Virtual Networking Computing、仮想ネットワーク コンピューティング)は、キーボードおよびマウスの動きを転送するグラフィカル デスクトップ リモート アクセス アプリケーションです。VNC アプレットのアクセスには、デスティネーション デバイス上で VNC サーバが実行されている必要があります。記録を使用するには、VNC サーバが基本の非暗号化モードで設定されている必要があります。
  • Telnet
    : このツールは、TELNET デーモンを実行している UNIX ホストに接続するため管理者がよく使用します。
  • SSH
    : セキュア シェル プロトコル。SSH アプレットは、SSH デーモンが実行されているサーバに接続します。SSH アプレットでは、クライアント エンド ユーザは Putty などの SSH クライアント ソフトウェアをロードする必要がありません。
  • RDP
    : RDP は、Microsoft Terminal Services に接続するためのアクセス方法であり、Windows サーバの管理によく使用されます。RDP アプレットは、RDP 6.x 圧縮タイプを活用するために最適化されており、RDP 5.2 と比べるとファイル サイズが著しく縮小されています。
    RDP リモート デバイスのユーザ名は、
    Privileged Access Manager
    のログイン ユーザ名から事前入力されません。代わりに、ユーザはページのフィールドを使用してこのユーザ名を入力できます。
    XRDP 圧縮のサポートに制限があるため、RDP から XRDP へのセッションはより多くの帯域幅を使用します。セッション記録は、RDP から RDP へのセッションの記録よりかなり大きくなることがあります。暗号化のサポートには、XRDP ホスト上での xrdp.ini ファイル内の設定が必要です。
    • TLS レベル
      リリース 2.6 現在、RDP クライアント(アプレット)は TLS 1.2 接続および TLS_RSA_WITH_AES_256_CBC_SHA256 暗号スイートをサポートしています。 
    • パフォーマンス: 場合によっては、RDP 記録をその作成中にストレージに書き込むことができません。そのような場合、
      Privileged Access Manager
      ではやり取りがスロットル調整されます。ユーザから見ると速度が遅くなります。全体のデータ転送速度は低下し、共有領域への書き込みは完了します。
    • XRDP:
      Privileged Access Manager
      RDP クライアント アプレットを使用して、管理対象の Linux デバイス上で実行されている XRDP サーバに接続することもできます。 
メインフレーム アプレット
TN3270 および TN5250 は、IBM のメインフレーム または AS/400 サーバ用の Telnet クライアントで、3270 と 5250 端末およびプリンタのエミュレーションを行います。 。SSL/TLS をサポートする SSL バージョンを利用できます。AS/400 クラス アプレットの表示名(TN5250 および TN5250SSL のみ)は、[ユーザ情報]ページの[メインフレームの表示名]フィールドでサポートされています。
  • TN3270
    : IBM 3270 Telnet クラス
  • TN3270SSL
    : SSL 対応の IBM 3270 Telnet クラス
  • TN5250
    : IBM 5250 Telnet クラス
  • TN5250SSL
    : SSL 対応の IBM 5250 Telnet クラス
ターゲット メインフレーム アプリケーションの種類が豊富であるため、メインフレーム アプレット用の標準自動ログイン オプションがありません。TN3270 および TN3270SSL については、ユーザ名(Ctrl-U)およびパスワード(Ctrl-P)用の組み込みマクロが用意されています。ユーザはログイン時にこれらのキーの組み合わせを入力し、設定済みのユーザ名とパスワードを入力します。パスワードがユーザに表示されないように、パスワード マクロは、パスワード入力フィールドが非表示のときのみ動作します。
サービス
サービスは、デバイスへのアクセスをカスタマイズする方法です。管理者は、既知のポートで特定のアプリケーションに対してサービスを作成できます。これらのサービスには、TCP または UDP の接続を使用する SQL クエリのフロント エンド、メインフレーム クライアント、独自のアプリケーションなどのファット クライアント アクセスが含まれます。 
同梱済みのサービス
製品に同梱されているサービスは、ここで確認できます。 
Privileged Access Manager
 には、いくつかの事前設定済み SFTP/FTP サービスが付属しています。これらのサービスは、現在、OpenSSH 派生の Linux、AIX、および Solaris SFTP 実装などのいくつかの SFTP/FTP サーバをサポートしています。Microsoft IIS SFTP/FTP 実装も、複数のハード ドライブが存在する場合の既知の制限がある状態で、サポートされています。
他の FTP サーバについては、互換性がある可能性はありますが、
Privileged Access Manager
はそれらのテストや検証を行いません。事前設定済みのサービスは、多くのお客様のコンプライアンス要件を満たすため、ターゲット デバイス SFTP/FTP アクティビティの追跡に使用する必要があります。アクティビティはセッション ログで追跡されています。サフィックス「
emb
」が付いたサービス名は、FTP クライアント アプリケーションのインストールをしない状態でユーザに WinSCP クライアントを提供します。
Privileged Access Manager
と互換性がない任意の FTP サーバへの入力をお勧めします。また、ビジネス ニーズに応じて FTP サーバを増やす追加のサポートもご検討ください。当社の目標は、アクセス コントロールと監査の必要性のバランスをとりながら、お客様にとって最も包括的なアクセス ソリューションを提供することです。
Types
  • sftpftp:
    SFTP クライアントを使用して、FTP サーバに/FTP サーバからファイルを転送します。
  • sftpsftp:
    SFTP クライアントを使用して、SFTP サーバに/SFTP サーバからファイルを転送します。
  • sftpftpemb
    : このサービスでは、WinSCP クライアントをユーザ デスクトップにダウンロードします。WinSCP は、Microsoft Windows 用のフリーでオープン ソースの SFTP および FTP のクライアントです。
  • sftpsftpemb
    : このサービスでは、WinSCP クライアントをユーザ デスクトップにダウンロードします。
SFTPFTPemb または SFTPSFTPemb を実行する場合、WinSCP のファイル転送のデフォルト オプションではファイルを部分的に保存します。
[環境設定]
-
[Other general options: Preferences]
-
[Transfer: Endurance]
-
[Enable
transfer resume/transfer to temporary filename
for
]に設定を変更します。「Files above: 100KB」のデフォルト設定を「Disable」に変更すると、リモート サーバに正常にファイルを「PUT」できます。
RDP アプリケーション
Microsoft Terminal Services の場合は、デスクトップ全体へのアクセスを許可するのではなく、単一のターゲットでホストされているアプリケーションを RDP で公開できます。この機能は、Microsoft Terminal Server を実行しているサーバでのみ利用可能です。Windows Server 2008 では、さらに多くのセットアップが必要です。