端末統合の動作のしくみ
端末統合により、セキュリティとアカウンタビリティを強化するため、ユーザの エンドポイントを SAM に統合できます。
cminder12902jp
端末統合により、セキュリティとアカウンタビリティを強化するため、ユーザの
Privileged Identity Manager
エンドポイントを SAM に統合できます。以下のプロセスでは、端末統合の動作のしくみが説明されています。
- ユーザは、Privileged Identity Managerエンタープライズ コンソールで特権アカウント パスワードのチェックアウトに自動ログインを使用します。
- Privileged Identity Managerエンタープライズ コンソールでは、DMS からエンドポイントの詳細が取得され、プレログイン メッセージがメッセージ キューに送信されます。 メッセージには、特権アカウントの名前、アカウントをチェックアウトしたユーザの名前、およびエンドポイントの名前が含まれています。
- Privileged Identity Managerエンドポイント上の SAM エージェントでは、メッセージ キューからプレログイン メッセージが取得されます。
- ユーザがエンドポイントへのログインに特権アカウントを使用する際、Privileged Identity Manager許可エンジンにより特権アカウントのローカル データベース レコードが確認され、以下のアクションが実行されます。
- このエンジンにより、アカウントがログインの前にアカウントのチェックアウトを必要とするかどうか、つまり、ユーザがエンドポイントにログインするために自動ログインを使用する必要があるかどうかが確認されます。 以下のいずれかのイベントが発生します。
- アカウントのチェックアウトが必要で、SAM エージェントでは特権アカウント用のプレ ログイン メッセージが受け取られていない場合、エンジンによりログイン試行が拒否されます。
- アカウント チェックアウトが必要で、SAM エージェントで特権アカウント用のプレ ログイン メッセージが受け取られている場合、ログインを阻止する追加の制限、たとえば TERMINAL 制限が存在しないならば、エンジンによりログインが許可されます。
- アカウントのチェックアウトが必要ではなく、追加の制限が存在しない場合、エンジンによりログインが許可されます。
- エンジンにより、許可の判断を下すためにユーザの元の ID を使用する必要があるかどうかが確認されます。 以下のいずれかのイベントが発生します。
- ユーザの元の ID を使用する必要がある場合、エンジンでは元のユーザ名を使用してリソース アクセス要求が評価され、監査レコードが書き込まれます。
- ユーザの元の ID が使用されない場合、エンジンでは特権アカウント名を使用してリソース アクセス要求が評価され、監査レコードが書き込まれます。