コンポーネント
内容
capamsc141
内容
Privileged Access Manager
には以下のコンポーネントが含まれています。- データベース(seosdb)
- 2 つのドライバ(seosdrv および drveng)
- 複数のサービス(Watchdog、Agent、Engine(seosd)、Policy Model、タスクの委任など)
- グラフィカル ユーザ インターフェース
データベース
データベースには、以下の要素の定義が格納されます。
- 組織内のユーザおよびグループ
- 保護が必要なシステム リソース
- ユーザおよびグループによるシステム リソースへのアクセスを管理するルール
ドライバ
ドライバは、以下のタスクを実行することによって、
Privileged Access Manager
のファイルとレジストリ キーをすべて保護します。- ファイルを開く要求、レジストリ キーにアクセスする要求、プロセスを終了する要求、およびネットワーク アクティビティを実行する要求をインターセプトする
- これらの要求をPrivileged Access ManagerEngine に渡し、要求の許可または拒否の決定を受け取る
- この決定をオペレーティング システムの元のシステム コールに転送する。オペレーティング システムは、ドライバから受け取った応答に基づいて処理を継続します。
サービス
Watchdog
Watchdog は、他の
Privileged Access Manager
サービスが実行されていることを常時チェックします。Watchdog は、他のサービスが停止していることを検出すると(ただし、停止することはほとんどありません)、ただちにそのサービスを再開します。Agent
エージェントは以下のタスクを実行します。
- TCP/IP 上の専用アプリケーション プロトコルを介してPrivileged Access Managerクライアントと通信する
- Privileged Access Managerユーザのセキュリティを管理する
エンジン
エンジンは以下のタスクを実行します。
- すべてのデータベース更新の管理を含むデータベースの管理を行う
- ドライバおよびエージェントから受け取ったアクセス要求を許可するかどうかを決定する
- Watchdog サービスが実行中かどうかをチェックし、実行停止を検出した場合は Watchdog サービスを再開する
Engine は、データベース アクセス要求を処理し、
かつ
アクセス許可の決定を行うことによって、効率的なサービスを作成します。Policy Model
何百、何千ものデータベースを個別に管理することは、現実的ではありません。そのため、
Privileged Access Manager
には、1 台のコンピュータから多数のコンピュータを管理できるコンポーネントである Policy Model サービスが用意されています。Policy Model サービスの使用は任意ですが、このサービスを使用すると、大規模なサイトでの管理を大幅に簡略化できます。Policy Model データベース(PMDB)は、この Policy Model サービスと共に使用します。PMDB には、他の
Privileged Access Manager
データベースと同様に、ユーザ、グループ、保護されているリソース、およびリソースへのアクセスを管理するルールが保存されています。さらに、PMDB にはサブスクライバ端末のリストが含まれています。サブスクライバ端末は PMDB にリンクされた端末であるため、PMDB への変更はサブスクライバ データベースに自動的に送信されます。ユーザは、組織に適用する基本的なセキュリティ ポリシーを作成し、必要なすべてのルールを単一のデータベース(Policy Model データベース)に実装できます。サブスクライバには、Windows 端末と UNIX 端末の両方を含めることができるため、最小限の管理作業で一定のルールを保証できます。
PMDB は、システム管理者またはセキュリティ管理者が更新します。PMDB によってすべての更新内容が PMDB からサブスクライバにバッチ モードで伝達されるため、管理者は他の作業を行うことができます。
PMDB のサブスクライバには、別の PMDB とローカル データベースの 2 種類があります。また、この PMDB には、データベースの更新内容の伝達先となるサブスクライバの一覧が保存されています。この機能によって、PMDB の階層を構築できます。ローカル データベースは、端末に定義されているユーザ、グループ、およびリソースを保護するために使用できます。
selang
コマンド ライン言語の selang を使用すると、
Privileged Access Manager
のすべての機能を実行できます。selang のコマンドを使用するには、コマンド プロンプト ウィンドウを開き、selang を起動します。selang はスクリプトでも使用できます。selang とそのコマンドの詳細については、「リファレンス ガイド」の「selang コマンド言語」の章を参照してください。
エンドポイント管理
Privileged Access Manager
では、2 つの方法で、企業内のリソースを管理し、リソースにアクセスするユーザを制御することができます。- selang:Privileged Access Managerコマンド言語。selang コマンド言語を使用すると、Privileged Access Managerデータベースで定義を行うことができます。selang コマンド言語は、コマンド定義言語です。selang の使い方の詳細については、「selang リファレンス ガイド」を参照してください。
- - エンドポイント管理インターフェース。Privileged Access Managerエンドポイント管理この Web ベースのインターフェースでは、中央の管理サーバからリモートのエンドポイントを管理することができます。Privileged Access Managerエンドポイント管理のインストールの詳細については、「実装ガイド」を参照してください。