Windows のトランスペアレント ログインの設定
上、およびそれ経由の Windows トランスペアレント ログインのプロビジョニングには、以下の段階があります。
capam33
Privileged Access Manager
上、およびそれ経由の Windows トランスペアレント ログインのプロビジョニングには、以下の段階があります。- RDP アプリケーションをホストしている RDP サーバを含む、ターゲット デバイスのレコードを準備
- Privileged Access Managerと連携して RDP サーバでの学習ツールを実行(RDP アクセス方法アプレット経由)
- Privileged Access Managerで RDP アプリケーション レコードを設定
- ターゲット アカウント レコードおよびPrivileged Access Managerポリシーをプロビジョニング
学習ツールを実行し、トランスペアレント ログイン設定を編集するには、
Privileged Access Manager
管理者は、少なくともサービス マネージャのロール要件が必要です。このレベルのロールでは、servicesRead
、servicesManage
、servicesDelete
権限が許可されます。事前設定済みのロールでは、これらの権限はまた、グローバル管理者および運用管理者のロールに対してのみ提供されます。ターゲットの準備
最初に、
Privileged Access Manager
管理者として、デバイスとトランスペアレント ログインのターゲット(または媒体)の RDP アプリケーションをプロビジョニングします。デバイスへのログイン時に使用されるプライマリ アクセス認証情報を(認証情報マネージャ内で)プロビジョニングすることもできます。この段階では、RDP アプリケーションによって消費される二次的認証情報を提供する必要はありません。学習モードの実行
学習モード中については、
Privileged Access Manager
がプロビジョニングされた RDP アプリケーションの認証情報処理インターフェースを学習します。このプロセスは、Privileged Access Manager
に格納されているトランスペアレント ログイン設定ファイル内の必要なシーケンスをキャプチャします。手順の例
この手順の例は、RDP アプリケーションの PuTTY を使用した Linux ターゲットデバイスへの接続の実行を使用します。
- Privileged Access Manager内で必要なターゲット デバイスをプロビジョニングしたことを確認します。ターゲット RDP アプリケーション(後ほどPrivileged Access Managerで設定する)がそのデバイスにインストールされていることを確認します。
- 必要な場合には、学習モードを担当する管理者として、Privileged Access Managerにログインします。
- [アクセス]ページに移動します。
- ターゲット デバイスへの RDP リンクをマウスでポイントすると、(しばらくすると)RDPオプションのポップアップ ウィンドウが表示されます。
- そのパネルで:
- オプションの[学習モード]を選択します。
- [解像度]で RDP ウィンドウのサイズを実際の最大値に拡大することもできます。例: 「フルスクリーン」学習モードは、大きなターゲット デスクトップがある場合に便利です。
- [起動]を選択して RDP 接続を開始します。
以下のログインでは、スクリプト ウィンドウが表示されて学習モード ツール(「トランスペアレントログインの学習ツール」)の起動を通知します。最初の[学習ツール]ウィンドウが表示されます。トランスペアレント ログイン設定がすでに設定されている場合、学習ツールの左上隅のドロップダウン ボックス内で表示されます。学習ツールを使用すると、ユーザが RDP アプリケーションに接続したときに、Privileged Access Managerがそのアプリケーションのユーザ名、パスワード、送信、その他ウィジェットを認識できるようにする構成スクリプトを作成できます。このスクリプトはまた、トランスペアレント ログインについてこれらのウィジェットを入力、実行します。最初に、いくつかの設定(トランスペアレント ログイン設定、TLC など)は、Privileged Access Managerで事前入力されていることがあります。学習ツールが起動されてから、これらの設定は学習ツール メモリにロードされ、設定名のドロップ ダウン リストから利用可能です。この例では、設定を作成します。最初に、設定に名前を割り当てます。この例では、PuTTY-to-LinuxTarget1 です。この名前は、Privileged Access Managerの[トランスペアレント ログイン設定]リストにあります。RDP アプリケーション レコードを準備する場合は、[名前]フィールドで名前を編集できます。- [新しい環境設定を追加]ボタンをクリックし、ダイアログ ボックス ウィンドウで[名前]に入力して[OK]を選択します。設定名はボタンの左側のフィールドに表示され、すぐに保存されます。
- Privileged Access Managerでこの名前の設定(現在は空)を保存するには、[環境設定を保存]ボタンをクリックします。
- ターゲット RDP アプリケーションを開きます。通常、 設定インターフェース ([PuTTY設定]ウィンドウ) が表示されます。この処理中に学習ツールとアプリケーションの両方が開いている間、学習ツール スクリプト ウィンドウ (GUI 本体) を作成します。以下の表の詳細にある、いくつかの学習ツール ウィジェットのいずれかを使用して、ターゲット アプリケーションのウィジェットを特定します。スクリプト ウィジェットの使用は、スクリプト コマンドを挿入します。GUI を使用して PuTTY を実行する場合、 最も簡単な手順は、ターゲット アドレスを指定し、PuTTY のデフォルトパラメータを使用して接続を実行する方法です。ログインに影響を与えるユーザ名とパスワードを自動的にサブミットします。最初に、学習ツールに対して PuTTY セッション画面の場所、[ホスト名(または IP アドレス)]フィールドを特定します。スクリプトが実行されるときに、Privileged Access Managerがそのアドレスを挿入する場所を認識できるようになります。
- この機能を提供するスクリプト コマンドを作成するには、「テキスト入力」ツールを選択します。その他の各学習ツール スクリプト コントロールと同様に、このツールによって[編集タグの追加]ダイアログ ウィンドウが開きます。このウィンドウで、このコマンドを識別して入力するには、パラメータを指定します。最初のフィールドは、[エレメント タイプ]です。この場合は、PuTTY の[ホスト名(または IP アドレス)]のコントロール ウィジェットのタイプである、デフォルトの「テキスト フィールド」を選択します。(その他の選択肢は「ドロップダウン リスト」、「チェックボックス」、「ラジオ ボタン」、および「キーストローク」)。このフィールドの場所を特定するには、[エレメント ID]を指定します。最初の手順として、AutoIt Control ビューア アプリケーション(v.1.1 の場合) を学習ツール メニューより実行します。
- 学習ツール メニュー バーから[実行コントロール ビューア]を選択します。スクリプト ウィンドウがすぐに表示され、1 分程度で[コントロール ビューア]ウィンドウが表示されます。3 つのウィンドウがあります。[学習ツール]ウィンドウはサイズ変更可能です。
- コントロール ビューア ウィンドウで、右上の[参照ツール]の四角形の領域上をマウスでポイントし、長押しします。コントロール選択カーソルとして、虫眼鏡アイコンが表示されます。マウスを使って、識別したいウィジェットの場所(GUI フィールド、またはコントロール)の上にカーソルを移動します。カーソルを移動すると、カーソルの下にあるターゲット アプリケーションの制御は、赤枠を表示します。アプリケーション (PuTTY) の設計方法によっては、赤枠は、コントロールの 1 つまたはコントロールのグループを参照する可能性があります。
- 特定のコントロール(ここでは[ホスト名]フィールド)がすでに赤で囲まれている場合は、この手順 10 の残りの部分はスキップできます。
- ただし、コントロールのグループは選択されていますが、まだ[ホスト名(または IP アドレス)]フィールド自体の特定はできていません。
- [コントロール ビューア]ウィンドウの下部にある[コントロール]リストで、この特定のコントロール(青色のアイテムで強調表示されています)のための追加の特性を確認します。このリストは、そのコントロールによって含まれたすべての従属コントロールも識別します。この場合は、特定のホスト名のコントロールを識別します。
- 検索しているものと一致するまで、リストをスクロールして、リストのその他のコントロールを 1 つずつ選択します。選択されているコントロールが囲み表示された場合、完全なインスタンス名(5)が何であるかに注意してください (中央の[インフォメーション]グループの[管理]タブの下で確認できます)。 ここでは、「[CLASS:編集; INSTANCE:1]」です。
- これで、Privileged Access Managerで入力する必要があるフィールドが正確に特定されました。手順 8 で開いた学習ツールの[編集タグの追加]ウィンドウを使用して、以下のフィールドに入力します。
- 全体のインスタンス名(左角かっこから閉じ角かっこ、含む) を選択し、エレメント IDフィールドにコピーします。
- [値タイプ]フィールドでは、「テキスト」オプションを選択します。その他の 2 つのオプションは「ユーザ名」および「パスワード」です。これらのオプションは、実行中にPrivileged Access Managerによって提供されるデータを参照し、スクリプトには埋め込まれません。
- [値]フィールドに、PuTTY フィールドに入力するために使用する IP アドレスを入力します。代わりに、*値のタイプ="host"(値="true" に固定)を使用して変数ホスト名を指定できます。その場合は、ポリシーで指定されたセカンダリ ターゲット アカウントに関連付けられているデバイスが使用されます。手順 14 のエレメント タイプ= 'キー ストローク' も参照してください。ターゲット アカウントがユーザ名とパスワードの入力にも使用されています。
- [OK]を選択して、入力されたスクリプト コマンドを挿入します。コマンドは、スクリプトの本文に表示されます。代わりに、*値のタイプ="host"(値="true" に固定)を使用して変数ホスト名を指定できます。その場合は、ポリシーで指定されたセカンダリ ターゲット アカウントに関連付けられているデバイスが使用されます。手順 14 のエレメント タイプ= 'キー ストローク' も参照してください。ターゲット アカウントがユーザ名とパスワードの入力にも使用されています。
- 識別された[PuTTY 設定]ウィンドウの二次エレメントで[開く]ボタン(同一画面)が示され、接続を実行するために使用されます。
- 手順 10 のコントロール ビューアのプロシージャを使用して、このボタンのエレメント IDを識別します。
- その ID を識別したら、「マウス クリック」ツールを開きます(この PuTTY コントロールはこの方法で使用されるため)。[マウス クリック タグの追加]ポップアップ ウィンドウが表示されます。
- エレメントをクリックして、最初のオプションとして使用します。他方のオプションでは、マウス クリックの特定のピクセルの場所を指定できます。[ID]フィールドの手順 12a で識別したエレメント ID 値を入力します。
- [OK]を選択して、入力されたスクリプト コマンドを挿入します。コマンドは、入力した最初のコマンドの下に表示されます。
ただし、Privileged Access Managerを挿入するトランスペアレント ログイン機能のポイントは、認証情報をトランスペアレントに提供します。PuTTY アプリケーションにより、設定ウィンドウが閉じて SSH 接続を実行するためのコンソールが開かれますが、それらの認証情報を提供する新しいスクリプトを作成します。[設定の保存]ボタンをクリックして現在の設定を保存します。次に、[新しい設定の追加]ボタンをクリックして、PuTTY ログイン認証情報用に別の設定を作成します。PuTTY はコンソールを開き、ターゲット Linux デバイスと通信します。この実行にはある程度の時間がかかる場合がありますが、実行はスクリプトで構成されます。 - 「スリープ」の時計アイコンを選択して新しいウィジェットを開き、そこにミリ秒単位の数値を入力します。入力値のおおよその目安は 1000 です。この間に、PuTTY はウィンドウの開閉を行い、ターゲット デバイスから受信するプロンプトに対して準備されます。コンソール ウィンドウがユーザ名の最初のターゲットからのログイン プロンプトで準備ができていると見なすことができます。学習ツールでは、スクリプト コマンドを入力してターゲット アカウント名を認識できます。
- 「テキスト入力」を再度選択します。[編集タグの追加]を次のように設定します。[エレメント タイプ]は「Keystrokes」(こうすると、デフォルトで[エレメント ID]が「window」になります)、[値の種類]は「username」とします。[OK]を選択します。作成されたスクリプト コマンドは、Privileged Access Managerによってポリシー仕様を通じて提供されたターゲット アカウントからアカウント名を取得し、それを PuTTY ターゲットに渡します。
- ただし、ユーザ名を OS にサブミットするためには、リターン コマンドを送る必要があります。すなわち、Enterキーです。前の手順と同様に「テキスト入力」ツールを使用しますが、今回は[値の種類]を「text」に設定し、[値]については、そのフィールド内をマウスでクリックしてEnterキーを押します。するとフィールドは、次のテキストを表示します:{ENTER}。[OK]を選択し、このタグを挿入します。
- 同様に、「テキスト入力」ツールを使用して、[値のタイプ]を「password」とし、2 番目のコマンドを設定します。そのコマンドを入力する前に、すでに説明しているとおり「Sleep」ツールを使用して、別の「wait」コマンドを挿入することに注意してください。最も効率的な待機時間をテストする必要があります。右側周辺にあるフロッピー ディスク アイコンの[設定の保存](現在アクティブ)を選択してこの TLC を保存します。スクリプトの準備が整いました。ただし、期待どおりに実行されるかを確認するためには、最初にテストをします。Privileged Access Managerは、[デバッグ]ツールを使用してこの機能を提供します。
- (オプション) 設定をテストするには、デバッグ ツールを実行します。この機能は、コンソールにデバッグ レベル メッセージを表示し、現在のステージの TLC スクリプトを実行します。
- [デバッグ]ツール ボタンをクリックして、[実行ダイアログ ボックス]ウィンドウを開きます。
- [アプリケーション パス]フィールドで、右側の参照[...]ボタンを使用して、実行可能な RDP アプリケーションの場所を指定します。
- デバッグがそれを見つけられるよう、最初のウィンドウの[タイトル]に入力します。
- スクリプト処理を完全に実行するために認証情報およびデスティネーションを指定する必要がある場合は、それらを[ユーザ名]、[パスワード]、および[ホスト]に入力します。
- デバッグ プログラムを実行する準備ができたら、[実行]を選択します。デバッグ コンソールが表示されます。
- デバッグ プログラムは、各タグの構文エラー、コンソールへのフィードバック提供、プログラムの、初期の「App #1」ライン ラベルを最初にチェックします。
- RDP アプリケーション ウィンドウのフォーカスを (手動で) 合わせると、デバッグ プログラムはスクリプトを実行します。シーケンスは、(「Try #1」) のラベル付けをされ、各タグにフィードバックが提供されます。タグが正常な実行に失敗した場合、スクリプトが再起動され再度実行します。
- (オプション)ターゲット アプリケーションの確認におけるセキュリティを強化するには、RDP アプリケーションの SHA-1 ダイジェストを生成し、コピーします。学習ツールのアプリケーション フィンガープリントの取得機能を使用します。RDP アプリケーションをPrivileged Access Managerで設定する場合は、[アプリケーション フィンガープリント]フィールドにこの値をコピーします。
- 「RDP アプリケーションの設定」に進みます。
リファレンス
以下の表に学習ツールの機能を示します。
学習ツール:メニューバー
メニュー | 説明 | |
詳細については、 | 常にトップ | 選択した場合、この機能は、フォーカスになっていない場合でも、他のすべてのウィンドウの前に、学習ツール ウィンドウを保持します。 選択状態が永続的な場合、このデバイスからログオフし、再度ログインします。オプションの値は(選択されている、選択されていないに関わらず)同じままです。 デフォルト: オン |
アクション | キャッシュのクリア | 現在キャッシュされているアプリケーションの削除を選択します。 キャッシュが、 [全体設定] 、[アプレットのカスタマイズ] 、[トランスペアレント ログイン キャッシュ] で[有効]に設定されている場合、Windows ターゲットがトランスペアレント ログイン エージェント(TLA)、学習ツール、およびコントロール ビューアをキャッシュします。それらはトランスペアレント ログインが設定され、プロビジョニングおよびアクティベーションされていると、接続中に Privileged Access Manager からダウンロードされます。Windows ターゲットへの以降の接続では、これらのアプリケーションのロード時間が削減されます。 |
ヘルプを表示します | 学習ツール ヘルプ | 学習ツールのヘルプ ファイルのコンパイル HTML (CHM)を開きます、そこには学習ツール コントロールの詳細な説明が含まれています。 |
リクエスト メッセージ | ダイアログ ボックスで、学習ツール アプリケーションおよびビルド バージョンを識別します。 |
学習ツール: XML スクリプト コントロール
アイコンとツールヒント | 説明 | |
1 組の <window></window> タグは、 Privileged Access Manager の単一レベルの一連の XML コマンドをブラケットで囲み、RDP アプリケーションのウィンドウを操作します。 </window> タグの上で、各スクリプト コントロールはシーケンスの最後に属性を持つ 1 つの XML タグが含まれる行を挿入します。 テキスト編集プログラムと同様に、XML タグの行をコピー アンド ペーストできるので、行は必要なときに必要な場所へ移動できます。 | ||
カメラのアイコン | 画面の検証 | トランスペアレント ログイン アプリケーションの画面イメージの一部が以前に保存したスクリーン キャプチャと一致しているかを検証するタグの挿入を許可します。 使用法
注: キャプチャされたイメージの一部がアプリケーションの呼び出しごとに異なっておらず、ウィンドウがアクティブでも非アクティブでも一致していることを確認します。 |
例: (省略): <checkimg content="iVBORuu ... C6kYII=" /> | ||
時計のアイコン | スリープ | ミリ秒の数の設定可が能なスクリプトを一時停止させるタグの挿入を許可します。 使用法: 選択時に、スリープ タイム タグの追加のポップアップ ウィンドウを表示してミリ秒数を指定します。次にスクリプトの最後にタグを挿入します。 |
例: <sleep time="500" /> | ||
キーボード無効アイコン | 入力の停止 | トランスペアレント ログイン スクリプトの実行中にユーザ入力(キーボードおよびマウス イベント)を無効化するタグの挿入を許可します。入力の停止によって、複数のブラウザ タブを使用しているときのユーザ パスワードの再挿入を防ぐことができます。この例では、10 秒間ユーザ入力を停止します。 注: このステートメントをスクリプトの先頭に配置します。 |
例: <inputfreeze action="enable"/> <sleep time="10000"/> <inputfreeze action="disable"/> | ||
Windows アイコンを複製します。 | ウィンドウをアクティブ化します。 | フォーカスに名前付きのウィンドウを配置するタグの挿入を許可します。 使用法: 選択時に、このタグをスクリプトの最後に挿入します。 |
例: <activate /> | ||
マウスのアイコン | マウスのクリック | <click> タグの挿入を許可します。以下の指定位置でのマウス クリックが有効になります。 コントロール ビューアを使用して特定された指定のボタン。または ターゲット ウィンドウの中心、または 左から「x」ピクセル、ターゲット ウィンドウの上部から「y」ピクセルで指定された場所。 |
例: ボタン: <click id="[CLASS:TEdit; INSTANCE:2]" /> 例: ウインドウの中心: <click pos="center" /> 例: 場所: <click x="123" y="72" /> |
アイコンとツールヒント | 説明 | |
鉛筆とページ | テキスト入力 | これらのデータ タイプのひとつをサブミットするタグの挿入を許可します。
|
エレメント タイプ | エレメント ID | 値のタイプ | 値 | ||
テキスト フィールド | コントロール ビューアによって決定されています。手順の例を参照してください。 | テキスト | このフィールドに入力する文字列 | ||
ユーザ名、もしくは パスワード、またはホスト | true 指定された値の種類に対し、TLA は、ターゲット アカウント記録を通じてユーザ ポリシーに関連付けられた値を送信します。 | ||||
コンボ ボックス | テキスト | (ドロップダウン) リスト オプションに一致する文字列 | |||
インデックス | 指定されて(ドロップダウン) リスト オプションの順序の位置を選択する整数値 | ||||
キーストローク | ウィンドウ または、なし | テキスト | 指定されたように: (a) 文字列、および (b) キーストロークのタグ: (i) ダイアログ ボックスのフィールドに 以下の指定のキーだけを入力します: • 次を含む: .ENTER、.ESCAPE、TAB • 次のように表示される: {ENTER}、{ESCAPE}、{TAB} • XML タグごとに 1 つのみ許可されます。 (ii) キー シーケンスを入力します。 例: {F1} を入力 4 つのキー: .{+ .F + 1 +} + | ||
ユーザ名、もしくは パスワード、または ホスト | true 指定された値の種類に対し、TLA は、 Privileged Access Manager ポリシーで指定された RDP アプリケーション用に選択されたターゲット アカウント内の値を送信します。 | ||||
エレメント タイプ | エレメント ID | オン | |||
チェック ボックス | コントロール ビューアによって決定された | True または False | |||
ラジオ ボタン | True |
例: (「テキスト フィールド」、「テキスト」ダイアログ ボックスのオプションを使用): 以下のタグは、ID が指定したテキスト フィールドに、テキスト文字列「123」(引用符なし)を挿入します。 <edit id="[CLASS:TEdit; INSTANCE:1]" text="123" /> | ||
チェックマーク アイコン | エレメントの検証 | エレメントの存在を確認または拒否するタグの挿入を許可します。オプションで、指定された状態のエレメント(たとえば、特定の文字列が含まれるテキスト フィールド)を検証します。 |
エレメント タイプ: テキスト フィールド | コンボ ボックス | チェック ボックス | ラジオボタン エレメント ID: コントロール ビューアを通じて取得された GUI 機能のコード識別情報です。 値: リテラル。範囲: チェック ボックスとラジオ ボタン:クリック済(のみ)。 例: 以下のタグは、識別されたラジオ ボタンが選択されていることを確認します。 <verify component="radiobutton" id="[CLASS:TRadioButton; INSTANCE:3]" /> コンポーネントが確認されていない場合は、TLC スクリプトが停止します。 |
学習ツール:
ユーティリティアイコンとツールヒント | 説明 | |
虫眼鏡を含むページ | コントロール ビューアの実行 | サード パーティの学習ツール アプリケーション AutoIt Control ビューア バージョン 1.1 (バンドルされています)を実行します。 このアプリケーションは、スクリプト コマンドで必要な場合は、エレメント ID を決定することに使用できます。(その他のコントロール ビューア機能は、 Privileged Access Manager の使用に必要ありません。) 使用法: (コントロールまたはウィジェットの識別するため): 手順の手順 9 ~ 10 内の例を参照してください。 使用法: (ウィンドウ名の識別のため): <window id= ""> XML タグ(TLC の先頭行)を入力します。
例: <window id="[CLASS:PuTTYConfigBox; INSTANCE:1]" /> |
フィンガープリント | アプリケーション フィンガープリントを取得する | RDP アプリケーションのフィンガープリント アプリケーションを表示、計算します、トランスペアレントなログイン試行時に使用できます。 使用法
|
再生のアイコン | デバッグ | トランスペアレントログイン設定パネル (ウィンドウの本文)で、現在ステージングされている TLC スクリプトを実行します。 使用法: 上記の手順のステップ 17 の例を参照してください。 |
学習ツール:ファイル コントロール
アイコンとツールヒント | 説明 | |
ドロップダウン リスト | 名前によってフィルタ/(設定名) | トランスペアレント ログインの設定 フィールド (ウィンドウの本文) にステージングされた設定の名前を表示します。 |
(構成リスト) | このドロップダウン リストでは、トランスペアレント ログイン設定他を表示します: (a) すべての学習ツールのステージング (b) 名称 (文字列) の入力によってフィルタ 学習ツールが RDP 接続の後に起動された場合、これらの設定は、 Privileged Access Manager のサービス、[RDP アプリケーション]、[トランスペアレント ログイン設定]で管理されている完全セットからコピーされます。初期設定のセットが、それらのアプリケーションの最新のバージョンに対応するいくつかのサンプルの設定(たとえば、PuTTY や WinSCP)を含めることができます。 | |
プラス記号を含むページ | 新しい設定の追加 |
|
重複したページ | 設定のコピー |
|
X を含むページ | 設定の削除 |
|
非アクティブ - 灰色のフロッピー ディスク アクティブ - 青のフロッピー ディスク | 設定の保存 | アクティブな場合、現在表示されている設定を Privileged Access Manager に保存します。 |
非アクティブ - 灰色のフロッピー ディスク アクティブ - 青のフロッピー ディスク | 変更をすべて保存 | アクティブな場合、学習ツール ドロップダウンにステージングされている(現在保存されているバージョンとは異なる)すべての設定を Privileged Access Manager に保存します。 |
サイクルの矢印 | すべてリフレッシュ | 現在保存されているすべての Privileged Access Manager TLC を学習ツールにロードします。学習ツールに保存されていない設定がある場合、それらは消去されます。 |
RDP アプリケーションの設定
学習モードの使用後、ターゲットとする RDP アプリケーションに適用できるトランスペアレント ログイン設定が
Privileged Access Manager
に保存されています。以下の手順に従います。
- [サービス]-[トランスペアレント ログイン設定]に移動します。ここで、学習ツールで作成した設定が使用できることを確認できます。
- 設定の行アイテムを選択し、学習ツールで作成されたものであることを確認します。あるいは、[追加]ボタンをクリックして空のテンプレートを開き、そこに入力することによって、何もない状態から設定ファイルを作成できます。設定ファイルは、学習ツールを使用して作成されたかどうかに左右されません。
- [サービス]-[RDP アプリケーション管理]に戻ります。
- [追加]ボタンをクリックすると、空のテンプレートが開きます。
- [RDP アプリケーション名]に名前を入力します。この名前は、ユーザが自分の[アクセス]ページからこのリンクにアクセスした場合に役立ちます。
- [パスの起動]で、アプリケーションのローカル ターゲット ドライブの場所の Windows のパス名を指定します。
- (オプション) -[ユーザに対して非表示]を選択します。このオプションは、RDP アクセス方法でユーザが RDP アプリケーションにアクセスするように設定し、RDP アプリケーションへの個々のアクセスをユーザに許可しない場合に選択します。
- [トランスペアレント ログイン]タブで、[トランスペアレント ログイン]ボックスを選択します。
- (オプション)[アプリケーション フィンガープリント]フィールドに、学習ツールを使用中に生成した SHA-1 ダイジェストを貼り付けます。
- [OK]を選択します。新しい行により、トランスペアレント ログインを実行するために使用されるこの RDP アプリケーションのウィンドウが識別されます。Privileged Access Managerが指定されたウィンドウのタイトルを識別した後に、トランスペアレント ログインを実行する関連設定、またはPrivileged Access Managerによって提供された認証情報が要求されるその他の動作を実行します。
- RDP アプリケーションの GUI に表示されているウィンドウのタイトルを入力します。
- 現在管理対象となっているトランスペアレント ログイン設定ファイル(手順 2 を参照)のドロップダウン リストから、[トランスペアレント ログインの設定]フィールドに適切な設定を選択します。
- この RDP アプリケーションへのセッション中に限らず、このターゲット デバイスへの RDP セッション(Windows デスクトップへのアクセス)中にこの設定をユーザが利用できるようにする場合は、[RDP セッション]チェックボックスをオンにします。ユーザが RDP サーバに接続すると、トランスペアレント ログイン エージェントがロードされ、バックグラウンドで実行されます。設定済みの RDP アプリケーションが起動すると、トランスペアレント ログイン エージェントで検出され、続行に必要な情報が自動的に入力されます。このオプションは、手順 7 で[ユーザに対して非表示]を使用した場合に有効にします。
- RDP アプリケーションを使用してトランスペアレント ログイン設定を複数指定する場合は、[ウィンドウの追加]を使用して複数の行アイテムを作成できます(たとえば、PuTTY を使用すると、代替ターゲットまたは別のログイン パラメータを指定できます)。
- [保存]を選択します。
- Privileged Access Managerデバイスでの Windows RDP サーバのデバイス レコードを、この RDP アプリケーションを使用するように編集すると、[サービス]にリストされます。
- ポリシーのアクティブ化を続行します。
ポリシーのアクティベート
トランスペアレント ログイン RDP アプリケーション サービスを
Privileged Access Manager
ポリシーに関連付ける場合は、ターゲット デバイス上でトランスペアレント ログイン エージェントによって使用されるターゲット アカウントを指定できます。これらのターゲット アカウントは、トランスペアレント ログイン認証情報と呼ばれます。これらは、学習ツールで生成されたトランスペアレント ログイン スクリプトの「ユーザ名」および「パスワード」属性に入力するために使用されます。これらは、トランスペアレント RDP アプリケーションに関連付けられます。 以下の手順に従います。
- トランスペアレント ログイン RDP アプリケーションが正しいターゲット デバイスと関連付けられていることを確認します。サービスをデバイスと関連付けるには、以下の手順に従います。
- [ポリシー]-[ポリシーの管理]に移動します。[追加]ボタンを選択して新しいポリシーを作成するか、[更新]ボタンを選択して既存のポリシーにトランスペアレント ログイン RDP アプリケーション サービスを追加します。
- このポリシーでトランスペアレント ログインを有効にします。[トランスペアレント ログイン]タブで[有効]チェックボックスをオンにします。
- [サービス]タブを選択します。
- [利用可能なサービス]でトランスペアレント ログイン RDP アプリケーション サービスを見つけ、そのサービスを選択します。右矢印アイコンを使用して、サービスを[選択されたサービス]領域に移動します。
- ポリシー デバイスへの自動ログイン用のログイン ターゲット アカウントを選択します。[ターゲット アカウント]列で、灰色の虫眼鏡アイコンを選択します。
- トランスペアレント ログイン RDP アプリケーション サービスを選択すると、タブの下半分にサービスの詳細が入力されます。このサービスのトランスペアレント ログイン認証情報が不要である場合は、[OK]を選択してポリシーを保存します。
- タブの右下の[トランスペアレント ログイン認証情報]の隣にある虫眼鏡アイコンを選択します。
- 選択したトランスペアレント ログイン RDP アプリケーション サービスで使用できるようにするアカウントを選択します。[OK]を選択します。これらは、エンド ユーザが[アクセス]ページからトランスペアレント ログイン アプリケーションにアクセスするときに使用できるように、トランスペアレント ログイン エージェントが提供するアカウントです。
キャッシュ
セキュリティ ニーズに応じて、また学習ツールの使用と、トランスペアレントなログイン設定のテスト後に、トランスペアレントなログイン キャッシュが有効になります。この機能は、学習ツール(使用している場合)、トランスペアレント ログイン エージェント、および RDP サーバ上のコントロール ビューア(学習ツールを使用している場合)をキャッシュします。デバイスでログインするたびに(一時的なローカル ドライブ上に)ロードする必要がないため、アプリケーションのスタートアップ時刻が短くなります。
設定
キャッシュをオンにするには、
[全体設定]
、[アプレットのカスタマイズ]
、[トランスペアレント ログイン キャッシュ]
を[有効]に設定します。Usage
特定のターゲットでのログイン時に、キャッシュされた各アプリケーションの RDP 初期化コンソール内のキャッシュ ストレージの確認を参照してください。
ユーザ エクスペリエンス
自動化が進行し、およびスクリプトが完了すると変更内容の表示が停止され、スクリプト ウィンドウおよびアプリケーション インターフェースが簡単に表示されます。
以下の RDP アプリケーション リンク PuTTY の選択に従い、ユーザは、RDP サーバのホストでの以下のログインのシーケンスを参照します。
- RDP セッションの初期化用のコンソールが表示されます。
- ローカルの仮想ドライブで実行されている、トランスペアレントなログイン エージェント (TLA) 用のコンソールが表示されます。
- RDP アプリケーション(PuTTY)が呼び出され、(この場合は)設定 GUI がトランスペアレント ログイン スクリプトにより自動入力およびアクティブ化され、後に 2 番目のインターフェース(PuTTY コンソール)を呼び出します。
- RDP アプリケーション(PuTTY)が新しいウィンドウ(コンソール インターフェース)を呼び出して、トランスペアレントなログイン スクリプトを継続することによって自動入力されます。スクリプトが完了した後、コンソール インターフェースはユーザにアクセスの準備ができます。
監査
アクセス試行の監査のために、ログおよびセッション記録を使用することができます。
- ログPrivileged Access Managerは、各アクセス試行を以下のように記録します。
2016-03-11 01:16:27 super login Win 2008 R2 (32-bit) Xsuite user transparently logged into RDP Application "putty.exe" to "PuTTY Configuration" window as "dev"
- セッション記録セッションの記録では、セカンダリ トランスペアレント ログイン試行の場所がマークされます。Windows への RDP 接続の場合は、これらの試行は[イベント]リストに、そしてタイムライン上の赤い矢印でマークされます。タイムラインをクロス オーバー中に、[イベント]リスト、左下の[情報]ボックス、およびポップアップ ウィンドウで、行項目からツールヒントとしてイベントの詳細を参照できます。ユーザが Internet Explorer を使用する場合、トランスペアレント ログインのアクティビティが正常に記録されるために、管理者はすべて同等のPrivileged Access Managerアドレスを設定する必要があります。例: ブラウザ セキュリティ設定でのクラスタ VIP 名と VIP アドレス。「セッション記録の設定」を参照してください。