リクエストの承認が必要なパスワード表示ポリシーの設定
パスワード表示リクエストが別の管理者によって承認される必要がある場合は、パスワード表示ポリシーで、以下のいずれかのオプションを有効にします。
capam33
HID_MyPasswordViewRequestsPanel
パスワード表示リクエストが別の管理者によって承認される必要がある場合は、パスワード表示ポリシーで、以下のいずれかのオプションを有効にします。
- 承認プロセス: リクエスタがアカウント認証情報にアクセスできる前に、承認者ロールを持つ管理者がアクセスを許可する必要があります。
- 振り返り承認: アカウント認証情報への即時アクセスを提供し、承認者ロールを持つ管理者に通知を送信して振り返り(事後)承認を求めます。この機能(「break glass」とも呼ばれます)を使用して、通常であれば承認者ロールを持つ管理者による事前の許可を必要とする、アカウントへの緊急アクセスを提供します。
ここでは、以下の情報について説明します。
CLI を使用して承認プロセスまたは振り返り承認を設定するには、「CLI でのパスワード表示リクエスト」を参照してください。
誰を承認者にできますか?
誰を承認者にできますか?
承認プロセスと振り返り承認では、パスワード表示リクエストを許可、拒否、および削除する承認者が必要です。ユーザが承認者となるためには、そのユーザが以下の 2 つの条件を満たしている必要があります。
- ユーザがcredentialsManage権限を持つロールを持っていること。この権限を持つロールは以下のとおりです。
- グローバル管理者
- パスワード マネージャ
- 運用管理者
- ユーザは、以下の権限を持つ認証情報マネージャ ロールを含む、認証情報マネージャ グループに属している必要があります。
- パスワード表示リクエスト ステータスの更新
- 承認者別のパスワード表示リクエスト サマリの一覧表示
各グループの認証情報マネージャ ロールのリストを表示するには、
[認証情報]-[認証情報グループの管理]
を選択します。その後、リスト内のロールをダブルクリックし、そのロールの選択された権限を表示します。承認プロセスを必要とするパスワード表示ポリシーの設定
承認プロセスを必要とするパスワード表示ポリシーの設定
リクエスタがアカウント認証情報にアクセスできる
前
に、承認者
ロールを持つ管理者がアクセスを許可する必要がある場合は、承認プロセスを設定します。認証情報マネージャは依頼者に電子メールを送信し、パスワード表示リクエストの判断を通知します。リクエストが承認された場合、リクエスタはパスワードを表示できます。以下の手順を使用して、承認プロセスを有効化および設定します。
以下の手順に従います。
- [認証情報]-[ワークフロー]-[パスワード表示ポリシー]に移動します。
- [承認プロセス]タブで、[承認プロセス]チェックボックスをオンにします。
- パスワードの表示リクエストの期間を設定します。
- [申請対象期間]:パスワード表示をリクエストできる期間を指定できます。デフォルト値は 14 日です。
- [デフォルト要求間隔]:必要に応じて、パスワードを表示するデフォルト間隔(分単位)を指定します。デフォルト値は 60 分です。ユーザがパスワードをリクエストすると、[パスワードのリクエスト元]と[パスワードのリクエスト先]フィールドの間の時間がデフォルトの要求間隔に設定されます。
- [最長リクエスト間隔]:必要に応じて、パスワードを表示できるまで、最長間隔(分単位)を指定します。デフォルト値は 60 分です。
ユーザがパスワードの表示をリクエストするとき、これは特定の期間になります。たとえば、8 月 8 日の 9:00 から 11:00 です。タイム ゾーンは[全体設定]-[デフォルトのユーザ設定]で指定します。この期間によって、ユーザがパスワードをいつ取得および表示できるかが定義されます。パスワードの表示機能では、セッション管理が開始されません。 - (オプション)[ワン クリック承認の有効化]を選択します。このオプションを選択すると、指定した承認者は、認証情報マネージャにログインしなくても、パスワード表示リクエストを承認または拒否できます。有効な場合、誰かがパスワードを表示しようとするたびに、承認者に電子メール通知が送信されます。電子メール通知には、すべての標準的な詳細情報、リクエストを承認する URL、およびリクエストを拒否する URL が含まれています。承認者はPAMにログインしなくても、電子メールから直接、承認または拒否する URL を選択できます。ワン クリック承認が有効ではない場合、各承認者は電子メールを受け取りますが、URL は記載されていません。代わりに、承認者は承認済み、拒否済み、または期限切れの、保留中のリクエストのリストを表示するためにログインする必要があります。
- [利用可能な承認者]リストからユーザを選択し、[Selected Approvers (選択された承認者)]リストに移動します。
- [OK]を選択します。
ユーザまたは管理者がパスワードを表示するためのリクエストを作成すると、認証情報マネージャによって、そのアカウントの承認者に電子メール通知が自動的に送信されます。通知には、以下のリクエスト詳細が含まれています。
- リクエストをサブミットしているユーザの名前
- リクエストされたパスワード ビューのアカウント名
- リクエストされたアカウントのターゲット アプリケーション
- リクエストされたアカウントのターゲット サーバ
- パスワード表示の理由
- リクエストされた時間枠(UTC)
振り返り承認が必要なパスワード表示ポリシーの設定
振り返り承認が必要なパスワード表示ポリシーの設定
振り返り承認を設定すると、アカウント認証情報への緊急の「break glass」即時アクセスを許可して、
承認者
ロールを持つ管理者に通知を送信して振り返り(事後)承認を求めることができます。 以下の手順に従います。
- [認証情報]-[ワークフロー]-[パスワード表示ポリシー]に移動します。
- [承認プロセス]タブで、[振り返り承認]チェック ボックスをオンにします。
- (オプション)[ワン クリック承認の有効化]を選択します。このオプションを選択すると、指定した承認者は、認証情報マネージャにログインしなくても、パスワード表示リクエストを承認または拒否できます。有効な場合、誰かがパスワードを表示しようとするたびに、承認者に電子メール通知が送信されます。電子メール通知には、すべての標準的な詳細情報、リクエストを承認する URL、およびリクエストを拒否する URL が含まれています。承認者はPAMにログインしなくても、電子メールから直接、承認または拒否する URL を選択できます。ワン クリック承認が有効ではない場合、各承認者は電子メールを受け取りますが、URL は記載されていません。代わりに、承認者は承認済み、拒否済み、または期限切れの、保留中のリクエストのリストを表示するためにログインする必要があります。
- [利用可能な承認者]リストからユーザを選択し、[Selected Approvers (選択された承認者)]リストに移動します。
- [OK]を選択します。
ユーザまたは管理者がパスワード表示リクエストを行うと、ダイアログ ボックスが開き、それらのリクエストが緊急アクセス用であり、振り返り承認が必要であることが示されます。続行する場合、認証情報マネージャにより、電子メール通知が割り当て済み承認者に自動送信され、承認者の
[パスワード表示 - 承認リスト]
リストにリクエストが追加されます。ただし、認証情報はすでにアクセスされているため、承認または拒否によって影響を受けるのは、リクエストがセッション ログで監査される方法のみです。 詳細については、以下の内容を参照してください。