CLI での承認プロセス リクエストの表示
パスワード表示ポリシーで承認プロセスを指定すると、パスワード表示のリクエストが承認者に送信されます。
capam32
CLI を使用して、パスワード表示リクエストを行う
パスワード表示ポリシーで承認プロセスを指定すると、パスワード表示のリクエストが承認者に送信されます。
このような場合、操作から返される XML コマンド文字列は、以下となります。
- 操作が成功したことを示す、400 のステータス コードが含まれます
- リクエストが処理に転送されたことを示す警告メッセージを除くすべてのアカウント詳細を除外します
以下の手順に従います。
- ターゲット アカウント ID を取得するターゲット アカウントを検索します。Windows: capam_command adminUserID=admin capam=mycompany.com cmdName=searchTargetAccount ^ TargetAccount.userName=dualaccount Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=searchTargetAccount \ TargetAccount.userName=dualaccount
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。ID の値を書き留めておきます。この例は、1005です。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <TargetAccount> <privileged>true</privileged> <aliases /> <password>{1}3d2876d75f730fcf7b00f974816aa97b</password> <lastUsed /> <passwordViewPolicyID>1013</passwordViewPolicyID> <accessType /> <cacheBehavior>useCacheFirst</cacheBehavior> <cacheDuration>30</cacheDuration> <compoundServerList>[]</compoundServerList> <lastVerified /> <lastViewed /> <targetApplicationID>1001</targetApplicationID> <userName>dualaccountnew</userName> <compoundAccount>false</compoundAccount> <passwordVerified>false</passwordVerified> <synchronize>false</synchronize> <targetApplication /> <cacheAllow>true</cacheAllow> <targetServerAlias /> <ID>1005</ID> <Attribute.extensionType>mssql</Attribute.extensionType> <Attribute.useOtherAccountToChangePassword>false </Attribute.useOtherAccountToChangePassword> <Attribute.cspm_serverkeyid>1</Attribute.cspm_serverkeyid> <Attribute.descriptor1 /> <Attribute.descriptor2 /> <createDate>Tue Nov 16 12:44:50 UTC 2010</createDate> <createUser>admin</createUser> <extensionType>mssql</extensionType> <hash>FIRqOhKpXV1sg1rsroJzlYHmzH4=</hash> <updateDate>Tue Nov 16 12:44:50 UTC 2010</updateDate> <updateUser>admin</updateUser> </TargetAccount> </cr.result> </CommandResult>
- パスワードを表示します。前のコマンドの出力によって提供された ID を使用します。Windows: capam_command adminUserID=admin capam=mycompany.com cmdName=viewAccountPassword ^ TargetAccount.ID=1005 reason=Poweroutagereason reasonDetails=Recover Tuesday pm ^ PasswordViewRequest.requestPeriodStart="2010-11-16 16:58" ^ PasswordViewRequest.requestPeriodEnd="2010-11-16 17:05" Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=viewAccountPassword \ TargetAccount.ID=1005 reason=Poweroutagereason reasonDetails=Recover Tuesday pm \ PasswordViewRequest.requestPeriodStart="2010-11-16 16:58" \ PasswordViewRequest.requestPeriodEnd="2010-11-16 17:05"
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.warningCode>4625</cr.warningCode> <cr.warningMessage>This account has dual authorization enabled. A request to view the password has been e-mailed to the approvers of this account on your behalf. </cr.warningMessage> </CommandResult>
CLI を使用して、リクエストの許可、拒否、期限切れ処理を行う
以下の手順に従い、
updatePasswordViewRequestStatus
コマンドを使用して、CLI からパスワード表示リクエストの承認または拒否を行います。以下の手順に従います。
- ターゲット アカウント ID を取得するターゲット アカウントを検索します。capam_command adminUserID=admin capam=mycompany.com cmdName=searchPasswordViewRequestByApprover
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。ID の値を書き留めておきます。この例では、4です。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <PasswordViewRequest> <status>1</status> <targetAccountID>1</targetAccountID> <startDate/> <endDate/> <requestorID>3</requestorID> <approverID>-1</approverID> <ID>4</ID> <createDate>Wed Sep 10 14:42:20 UTC 2008</createDate> <createUser>req1</createUser> <hash>RLMwHaMdENv9mlFnoSsoSOJezJw=</hash> <updateDate>Wed Sep 10 15:42:20 UTC 2008</updateDate> <updateUser>req1</updateUser> <extensionType/> </PasswordViewRequest> </cr.result> </CommandResult>
- 承認または拒否するには、パスワード表示リクエストのステータスを変更します。前のコマンドの出力によって提供された ID を使用します。Windows: capam_command adminUserID=admin capam=mycompany.com ^ cmdName=updatePasswordViewRequestStatus PasswordViewRequest.ID=4 ^ PasswordViewRequest.status=approved Linux: capam_command adminUserID=admin capam=mycompany.com \ cmdName=updatePasswordViewRequestStatus PasswordViewRequest.ID=4 \ PasswordViewRequest.status=approved
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <PasswordViewRequest> <status>1</status> <targetAccountID>1</targetAccountID> <startDate>Wed Sep 10 15:47:00 UTC 2008</startDate> <endDate>Wed Sep 10 16:02:00 UTC 2008</endDate> <requestorID>3</requestorID> <approverID>1</approverID> <ID>1</ID> <createDate>Wed Sep 10 14:42:20 UTC 2008</createDate> <createUser>req1</createUser> <hash>Yc5gR/IpPVh8evYKGipQYa9AGXU=</hash> <updateDate>Wed Sep 10 15:47:09 UTC 2008</updateDate> <updateUser>admin</updateUser> <extensionType/> </PasswordViewRequest> </cr.result>
以下の手順に従い、
expirePasswordViewRequestCmd
コマンドを使用して、CLI からパスワード表示リクエストの期限切れ処理を行います。以下の手順に従います。
- ターゲット アカウント ID を取得するターゲット アカウントを検索します。capam_command adminUserID=admin capam=mycompany.com cmdName=searchPasswordViewRequestByApprover
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。ID の値を書き留めておきます。この例では、4です。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> <PasswordViewRequest> <status>1</status> <targetAccountID>1</targetAccountID> <startDate/> <endDate/> <requestorID>3</requestorID> <approverID>-1</approverID> <ID>4</ID> <createDate>Wed Sep 10 14:42:20 UTC 2008</createDate> <createUser>req1</createUser> <hash>RLMwHaMdENv9mlFnoSsoSOJezJw=</hash> <updateDate>Wed Sep 10 15:42:20 UTC 2008</updateDate> <updateUser>req1</updateUser> <extensionType/> </PasswordViewRequest> </cr.result> </CommandResult>
- 承認または拒否するには、パスワード表示リクエストのステータスを変更します。前のコマンドの出力によって提供された ID を使用します。Windows: capam_command adminUserID=admin capam=mycompany.com cmdName=expirePasswordViewRequestCmd ^ PasswordViewRequest.ID=4 Linux: capam_command adminUserID=admin capam=mycompany.com cmdName=expirePasswordViewRequestCmd \ PasswordViewRequest.ID=4
- プロンプトでパスワードを入力します。認証情報マネージャは、以下の XML コマンド文字列を返します。<CommandResult> <cr.itemNumber>0</cr.itemNumber> <cr.statusCode>400</cr.statusCode> <cr.statusDescription>Success.</cr.statusDescription> <cr.result> </cr.result>
CLI を使用して、リクエストの承認または拒否の理由を更新する
GUI を使用したパスワード表示リクエストの承認または拒否を行うときの
[理由]
ドロップダウン リストに入力する理由は、setSystemProperty
コマンドを使用して更新できます。承認理由のリストを更新するには、以下を使用します。
Windows: cspmserver_admin cmdName=setSystemProperty propertyName=viewPasswordApprovalReasons ^ propertyValues=reason1|reason2 Linux: cspmserver_admin cmdName=setSystemProperty propertyName=viewPasswordApprovalReasons \ propertyValues=reason1|reason2
拒否理由のリストを更新するには、以下を使用します。
Windows: cspmserver_admin cmdName=setSystemProperty propertyName=viewPasswordDenialReasons ^ propertyValues=reason1|reason2 Linux: cspmserver_admin cmdName=setSystemProperty propertyName=viewPasswordDenialReasons \ propertyValues=reason1|reason2
|
文字で複数の理由を区切ります。