ポリシーの設定
デバイスへのユーザ アクセスを定義するために、ユーザとデバイスのペアにポリシーを設定する方法について説明します。
capam32
HID_ManagePoliciesPanel
次の方法の 1 つを使用してポリシーを割り当てます。
ポリシーは、親グループからの継承に基づいて適用することもできます。
ユーザの
有効なポリシー
は、すべてのポリシーの割り当ての共用体として、これらのカテゴリを広げます。[アクセス]
ページに表されるように、ユーザが利用可能なデバイスおよびアクセスのオプションの範囲が反映されます。管理者は、[ユーザ]
-[ユーザ管理]
-[更新]
-[ポリシー管理]
で、ユーザの有効なポリシーを確認できます。PAM
はまた、デバイスおよびターゲット アカウントが、ユーザが属する認証情報マネージャ ユーザ グループによって参照される認証情報マネージャのターゲット グループのメンバである場合、それらのデバイスとターゲット アカウントをそのユーザの[アクセス]
ページに動的に追加します。詳細については、「認証情報マネージャのターゲット グループ メンバシップに基づく、デバイスのアクセス ページへの動的な追加」を参照してください。デバイスの設定では、特定のユーザに対して許可されるアクセス方法を選択するためのテンプレートが提供されています。このテンプレートのスコープは、デバイス レコードで割り当てられている属性によって事前に定義されています。
それぞれ最初(ユーザとユーザ グループ)と第二(デバイスとデバイス グループ)との一致ごとに、一意の
ポリシー
が存在しています。たとえば、3 名のユーザと 3 つのデバイスがある場合、各ユーザを各デバイスと組み合わせると、最大で 9 つの異なるポリシーが作成されます。重複するポリシーの詳細については、「アクセス ポリシーのプロビジョニング」の「重複するポリシー」を参照してください。認証情報マネージャのパスワード ポリシーの詳細については、「パスワード構成ポリシーおよびパスワード表示ポリシーのセットアップ」を参照してください。
前提条件
- セッション記録のアクティブ化では、[構成]-[ログ]-[セッション記録参照]ページでストレージが事前に設定されている必要があります。
- 最初にポリシーのコンポーネントを設定して、それをポリシーに含めることができるようにします。ユーザ、デバイス、アクセス タイプ、サービス、およびフィルタを定義します。
ポリシー テンプレート
ポリシー テンプレートを使用して、ユーザおよびデバイスとの関連付けを作成します。CSV ファイルを使用してポリシーをインポートするには、「ポリシーのインポートまたはエクスポート」を参照してください。
これらの手順は、[ポリシー]メニューから開始します。ただし、一部のユーザ レコードでは、[
ポリシーの管理
]を選択して、ユーザ レコードからポリシー テンプレートを編集できます。以下の手順に従います。
- [ポリシー]-[ポリシー管理]を選択します。
- 以下のいずれかのアクションを実行します。
- [追加]をクリックして新しいポリシーを作成します。
- 既存のポリシー レコードを選択し、[更新]をクリックします。リストにポリシー レコードが表示されない場合は、画面の上部で[ユーザ]/[ユーザ グループ]または[デバイス]/[デバイス グループ]検索条件を選択して見つけます。
- 新しいポリシーを追加する場合は、[関連付け]セクションのフィールドを使用して、ポリシーで関連付けるユーザまたはデバイスを見つけます。
- [ユーザ]または[ユーザ グループ]フィールドで、検索アイコンを使用して選択肢のリストを表示し、ドロップダウン リストから一致する完全な名前を選択します。[OK]を選択します。
- [デバイス]または[デバイス グループ]フィールドで、検索アイコンを使用して選択肢のリストを表示し、ドロップダウン リストから一致する完全な名前を選択します。[OK]を選択します。デバイス グループを選択している場合は、そのグループに対して指定されているアクセス方法のみが表示されます。
- [アクセス]タブで、リストから 1 つまたは複数のエントリを選択して[選択したアクセス]リストに移します。
- [サービス]タブで、プロビジョニングされたデバイスで使用可能な 1 つまたは複数のサービスを選択します。
- [SAML]タブで、適切な SAML オプションを設定します(SAML が設定済みである場合にのみ、このタブにオプションが表示されます)。
- [パスワード]タブで、ユーザまたはユーザ グループが管理できるパスワードを選択します。次に、利用可能なデバイスまたはデバイス グループで定義されているターゲット アプリケーションを選択します。ターゲット アプリケーションを選択すると、ユーザが管理できる、そのアプリケーションの 1 つ以上のプロビジョニングされたターゲット アカウントも選択できます。UNIX および Linux デバイス上の AWS AMI インスタンスでは、EC2 キーだけがオプションとして自動入力されます。
- 環境にソケット フィルタ エージェントがインストールされている場合は、利用可能なコマンドおよびソケット フィルタを選択して、[フィルタ]タブのブラック リストとホワイト リストに割り当てます。リストに表示されるフィルタは UI の[フィルタ]オプションで設定されたフィルタです。[エージェントが実行されていない場合はログインを制限]チェック ボックスをオンにします。
- この製品がデバイス上で実行されている SFA を検出できない場合に、SFA 監視対象の接続が試行されると、そのログインは拒否されます。このオプションを選択しても、監視対象外の接続インスタンスが拒否されることはありません。
- SFA は次の接続を監視します: GUI、CLI、メインフレーム アプレットの接続方法; RDP、VNC、ICA サービス。
- SFA は次を監視しません: スタンダード(カスタマイズ)サービスと Web ポータルサービス。
- セッション記録機能が設定されている場合は、[記録]タブのオプションを使用して、作成する記録のタイプを指定します。以下の利用可能なオプションのいずれかまたは複数を設定します(利用可能なオプションは、[アクセス]タブで選択したアクセス方法によって異なります)。
- グラフィカル(RDP および VNC のアクセス方法で利用可能): ユーザ アクティビティをグラフィカルに記録します。
- コマンド ライン(TELNET、SSH、およびコンソールのアクセス方法で利用可能): ユーザ アクティビティをターゲット デバイス上でプレーン テキストとして記録します。
- 双方向(コマンド ライン記録のみに適用可能): オペレーティング システムまたはアプリケーションからのコマンド ライン出力、およびユーザの入力内容を記録します。SSH プロキシ アプレットでは双方向の記録が必要です。記録を有効にしている場合、すべてのメインフレーム アクセス アプレットが双方向セッション記録を適用します。
- Web ポータル(VNC アクセス方法でのみ使用可能): Web ポータルでのユーザ アクティビティをグラフィカルに記録します。
- 違反(他の記録オプションが設定されていない場合にのみ有効): ユーザがセッション中に、コマンド フィルタまたはソケット フィルタに違反した場合にのみ、記録を開始します。ユーザが接続セッションを終えるまで、記録は継続します。
Juniper SA アプライアンスを通じてアクセスしている場合にセッション記録を表示するには、カスタム ヘッダを許可するポリシーを設定します。「Junos 設定はセッション記録参照の閲覧が必要」を参照してください。 - PAM Server Control と統合している場合は、[PAM Server Control]タブで[ログイン統合]を選択します。詳細については、「Privileged Access ManagerServer Control のログイン統合」を参照してください。
- トランスペアレント ログインを使用している場合は、[トランスペアレント ログイン]タブで[ログイン]を選択します。詳細については、「デバイスのセットアップ、トランスペアレント ログイン」を参照してください。
- [OK]をクリックします。[ポリシー]リストに戻ります。アクティベートされたデバイスまたはパスワードでのアクセスが、ユーザの[アクセス]ページから実行できるようになりました。
Junos 設定はセッション記録参照の閲覧が必要
Juniper SA アプライアンスを通じて
Privileged Access Manager
にアクセスしている場合にセッション記録を表示するには、カスタム ヘッダを許可するポリシーを設定します。以下の手順に従います。
- [Resource Policies]-[Web]-[Custom Headers]へ移動します。
- ポリシーを作成します
- このポリシーが適用される Web ポータルリソースの IP アドレスを指定します。プロトコルの仕様は以下のとおりです。https://192.0.2.123
- カスタムヘッダのアクションの許可を選択します。
詳細情報