パスワード コンシューマがパスワードをオンデマンドで取得する方法

パスワード コンシューマでは、関連付けられた特権アカウントが別のアプリケーションに対して認証する際に、SAM からパスワードが取得されます。 パスワードをオンデマンドで取得するパスワード コンシューマでは、 エンタープライズ コンソールとの通信にメッセージ キューを使用する SAM エージェントにパスワード要求が転送されます。
cminder12901jp
パスワード コンシューマでは、関連付けられた特権アカウントが別のアプリケーションに対して認証する際に、SAM からパスワードが取得されます。 パスワードをオンデマンドで取得するパスワード コンシューマでは、
Privileged Identity Manager
エンタープライズ コンソールとの通信にメッセージ キューを使用する SAM エージェントにパスワード要求が転送されます。
ソフトウェア開発キット、データベース、および Windows 実行ユーザのパスワード コンシューマは、パスワードをオンデマンドで取得します。 スクリプト内のハードコードされたパスワードを置き換える場合は、パスワードをオンデマンドで取得するパスワード コンシューマを使用します。 アプリケーションにより認証を目的としてパスワードが提供される場合は常に、SAM により、ハードコードされたパスワードが特権アカウント パスワードで置き換えられます。
: オンデマンドでパスワードを取得するパスワード コンシューマを使用するには、SAM エンドポイント上に
Privileged Identity Manager
をインストールして SAM 統合機能を有効にする必要があります。
以下のプロセスでは、パスワード コンシューマにより特権アカウント パスワードがオンデマンドで取得される方法が説明されています。
  1. アプリケーションでは、ユーザ認証を必須とするシステムへの接続が試みられる場合に、ハードコードされたパスワードが使用されます。
  2. パスワード コンシューマにより、接続の試行がインターセプトされます。
    たとえば、OCI パスワード コンシューマでは、Oracle データベースへの接続の試行がインターセプトされます。
  3. SAM エージェントによりキャッシュが確認されます。 以下の
    いずれかの
    イベントが発生します。
    • 要求がキャッシュされる場合、SAM エージェントによりパスワード コンシューマへ特権アカウント パスワードが転送されます。 パスワード コンシューマでは、ハードコードされたパスワードが特権アカウント パスワードに置き換えられます。 アプリケーションでは、システムへのログインに特権アカウント パスワードが使用されます。 このステップで、プロセスが終了します。  
      Privileged Identity Manager
      エンタープライズ コンソールでは、パスワードの取得に関しては監査レコードには書き込まれません。
    • 要求がキャッシュされない場合、SAM エージェントにより
      Privileged Identity Manager
      エンタープライズ コンソールに対してパスワード要求が転送されます。
  4. Privileged Identity Manager
    エンタープライズ コンソールでメッセージを受信し、パスワード コンシューマが特権アカウント パスワードを取得する権限を付与されているかどうかが確認されます。
  5. 以下の
    いずれかの
    イベントが発生します。
    • パスワード コンシューマがパスワードを取得する権限を付与されている場合、
      Privileged Identity Manager
      エンタープライズ コンソールでは SAM エージェントに特権アカウント パスワードが送信されます。 SAM エージェントにより、ハードコードされたパスワードが特権アカウント パスワードに置き換えられます。 アプリケーションでは、システムへのログインに特権アカウント パスワードが使用されます。  
      Privileged Identity Manager
      エンタープライズ コンソールにより、イベントに関して監査レコードに書き込まれます。
    • パスワード コンシューマがパスワードを取得する権限を付与されていない場合、
      Privileged Identity Manager
      では SAM エージェントにエラー メッセージが送信されます。 SAM エージェントではアプリケーションにパスワードが転送されないため、アプリケーションでは、システムへのログインにハードコードされたパスワードが使用されます。