アクセサに関する情報の格納場所
内容
capamsc141
内容
Privileged Access Manager
が使用するユーザおよびグループに関する情報は、製品のデータベースとホスト オペレーティング システムの両方に格納されます。ホスト オペレーティング システム内の情報は、「エンタープライズ ユーザ ストア
」、または単に「エンタープライズ ストア
」と呼ばれます。デフォルトでは Privileged Access Manager
は、エンタープライズ ストアを使用しないように設定されています。エンタープライズ ストアに定義されているユーザおよびグループ メンバシップから情報を検索して使用するように、Privileged Access Manager
を設定することもできます。製品が独自のデータベースに定義されているユーザまたはグループを検出できない場合に役立ちます。Privileged Access Manager
はエンタープライズ ストアの情報を使用しますが、エンタープライズ ストアに書き込みを行うのは、ネイティブ環境で selang コマンドが使用された場合のみです。権限をチェックする際、
Privileged Access Manager
は必ず自身のデータベースに定義されているアクセサをチェックしてから、エンタープライズ ストアをチェックします。製品のデータベースに定義されているユーザと同じ名前のエンタープライズ ユーザがいる場合、Privileged Access Manager
はそのエンタープライズ ユーザを無視します。Privileged Access Manager
がユーザ レコードを見つける方法ユーザがログインすると、
Privileged Access Manager
はそのユーザに関連付けられているレコードを見つけるまで、以下の順序で検索を実施します。Privileged Access Manager
:- データベースに定義されているユーザを検索します。
- 自身のキャッシュで、そのエンタープライズ ユーザを検索します。ネットワークが停止した場合は、オペレーティング システム(OS)により、ユーザは OS 内にキャッシュされた認証情報を使用してログインできます。Privileged Access Managerキャッシュの目的は、このような場合に、製品がエンタープライズ ユーザのレコードを使用できるようにすることでもあります。
- オペレーティング システムを使用して、その名前のユーザのエンタープライズ ユーザ ストアを検索します。
- そのユーザに関連付けられているレコードがデータベースとエンタープライズ ストアのどちらにも見つからない場合、Privileged Access Managerは _undefined ユーザ レコード内の属性をそのユーザに割り当てます。
エンタープライズ ユーザ ストアとの統合
capamsc141
通常は、エンタープライズ ユーザ ストアに定義されているグループとユーザを使用するように
Privileged Access Manager
を設定します。エンタープライズ ユーザまたはグループを参照するアクセス ルールの作成時、またはユーザのオペレーティング システムへのログイン時に、Privileged Access Manager
は自身のデータベースにそのユーザまたはグループのレコードを作成します。これらのレコードには、XUSER クラス(エンタープライズ ユーザの場合)または XGROUP クラス(エンタープライズ グループの場合)が割り当てられます。これらのクラスは、
Privileged Access Manager
がアクセス ルールを適用する場合に必要とするプロパティを保持しています。Privileged Access Manager
が必要に応じて作成するため、手動で管理する必要はありません。CA Access Control がエンタープライズ ユーザ ストアから取得するエンタープライズ ユーザまたはエンタープライズ グループのプロパティは、名前およびグループ メンバシップ のプロパティのみです。