共有アカウントのセットアップ方法

目次
cminder12902jp
目次
共有アカウント管理(SAM)は、組織が組織内の最も強力なアカウントに関連したアクティビティをすべて保護、管理、追跡するプロセスです。 共有アカウント パスワードの使用を開始する前に、SAM 用に
Privileged Identity Manager
エンタープライズ コンソールをセットアップするいくつかの手順を完了する必要があります。 その後、定義した共有アカウントの使用を開始できます。
以下のプロセスでは、共有アカウントをセットアップするために企業のユーザが完了する必要があるタスクについて説明します。 各プロセス手順を完了するには、指定されたロールが必要です。 注: システム マネージャ管理ロールが割り当てられたユーザは、このプロセスのすべてのタスクを実行できます。
注:
このプロセスを開始する前に、電子メール通知が有効であることを確認します。 これにより、
Privileged Identity Manager
エンタープライズ コンソールは、ユーザにパスワードを表示できない場合、パスワードをユーザに電子メールで通知します。
共有アカウントをセットアップするには、以下の手順に従います。
  1. SAM ターゲット システム マネージャは、パスワード ポリシーを作成します。 パスワード ポリシーは、共有アカウント パスワードのルールおよび制限事項を設定します。
  2. SAM ターゲット システム マネージャは、
    Privileged Identity Manager
    エンタープライズ コンソールでエンドポイントを作成します。 エンドポイントは、共有アカウントによって管理されるデバイスです。
    Privileged Identity Manager
    エンタープライズ コンソールでエンドポイントを作成するか、SAM フィーダを使用して、エンドポイントをインポートできます。
  3. SAM ターゲット システム マネージャは、各エンドポイントの共有アカウントを作成します。 共有アカウントを作成することにより、SAM はアカウントを管理できます。
    Privileged Identity Manager
    エンタープライズ コンソールで共有アカウントを作成するか、SAM フィーダを使用して共有アカウントをインポートできます。
  4. (オプション)システム マネージャはログイン アプリケーションを作成します。また、SAM ターゲット システム マネージャは、ログイン アプリケーションを使用するためにSAM エンドポイントを変更します。 ログイン アプリケーションによって、ユーザは
    Privileged Identity Manager
    エンタープライズ コンソールを使用して共有アカウントにログインできます。
  5. SAM ポリシー マネージャは、特権アクセス ロールのメンバ ポリシーを変更します。 メンバ ポリシーは、ロール内のタスクを実行できるユーザを定義します。
    注:
    Active Directory をユーザ ストアとして使用する場合は、各メンバ ポリシーを変更して、それぞれが対応する Active Directory グループを指すようにすることをお勧めします。 このようにすると、対応する Active Directory グループでユーザを追加または削除することによって、ロール内でユーザを追加または削除できます。 この結果、管理上のオーバーヘッドが大幅に減少します。
  6. (組み込みユーザ ストア)SAM ユーザ マネージャは、各ユーザのマネージャを指定します。
    注:
    ユーザによる共有アカウント リクエストは、マネージャのみが承認できます。 ユーザ ストアとして Active Directory を使用する場合は、Active Directory に各ユーザのマネージャが指定されていることを確認します。
  7. (オプション)システム マネージャは、CA Service Desk Manager への接続を設定します。
    CA Service Desk Manage との統合により、特権アカウントのリクエストに対して複数の承認プロセスを作成できます。
以下の図に、各プロセス手順を実行する特権アクセス ロールを示します。
How privileged access roles affect shared account request tasks
特権アカウントの検出
一定の間隔で特権アカウント検出プロセスを実行して、エンドポイント上に新規特権アカウントがないかどうかスキャンすることをお勧めします。 特権アカウントの検出によって、複数の特権アカウントを同時に作成できます。
Privileged Identity Manager
エンタープライズ コンソールによってテーブルで検出されたアカウントが表示されます。これにより、すでに SAM で管理しているアカウントを容易に識別できます。
エンドポイント タイプ上で特権アカウントを初めて検出すると、CA Privileged Identity Manager エンタープライズ管理は特権アクセス ロールを自動的に作成します。 たとえば、Windows エージェントレス エンドポイント上で初めて特権アカウントを検出した場合、
Privileged Identity Manager
エンタープライズ コンソールは Windows エージェントレス接続エンドポイントの特権アクセス ロールを自動的に作成します。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールで、[特権アカウント]-[アカウント]-[特権アカウント検出ウィザード]をクリックします。
    [特権アカウント検出ウィザード: 特権アカウントの選択]ページが表示されます。
  2. リストから[エンドポイント タイプ]を選択します。
  3. 検索属性を選択し、フィルタ値を入力し、[検索]をクリックします。
    フィルタ条件に一致するエンドポイントのリストが表示されます。
  4. 管理する特権アカウントを選択します。
    以下のテーブル列見出しには説明が必要です。
    • 検出されたアカウント
      アカウントがすでに
      Privileged Identity Manager
      エンタープライズ コンソールに認識されているかどうかを指定します。 既知のアカウントには、
      Privileged Identity Manager
      エンタープライズ コンソールがすでに管理しているアカウント、および、エンドポイントを管理するために使用する管理者アカウントなどがあります。
    • エンドポイント管理者
      Privileged Identity Manager
      エンタープライズ コンソールで、エンドポイントの管理にそのアカウントを使用するかどうかを指定します。
      重要:
      エンドポイント管理者アカウントを選択する際には注意が必要です。
      Privileged Identity Manager
      エンタープライズ コンソールでは、管理する特権アカウントのパスワードを自動的に変更できます。 エンドポイント管理者アカウントを選択すると、エンドポイント上の特権アカウントにログインして管理する機能が失われます。
    [次へ]をクリックします。
    [特権アカウント検出ウィザード: 全般アカウントの詳細]ページが表示されます。
  5. ダイアログ ボックスの以下のフィールドに入力します。 以下のフィールドについて説明します。
    • 切断システム
      アカウントが切断システム由来のものかどうかを指定します。
      このオプションを選択すると、SAM はそのアカウントを管理しません。 代わりに、切断システムの特権アカウントのパスワード ボールトとしてのみ機能します。 パスワードを変更するたびに、管理対象エンドポイント上のアカウント パスワードも手動で変更する必要があります。
    • パスワード ポリシー
      特権またはサービス アカウントに適用するパスワード ポリシーを指定します。
    • チェックアウト期限
      チェックアウト アカウントが失効するまでの期間を分単位で指定します。
    • 排他特権アカウント
      常に単一ユーザのみがアカウントを使用できるようにするかどうかを指定します。
      排他特権アカウント
      は、アカウントを1 度に 1 ユーザのみが使用できるように特権アカウントを制限します。
      排他的セッションは、エンドポイント上で現在実行されているオープン セッションがない場合に、単一ユーザのみがアカウントを使用できることを指定します。
    • チェックアウト時にパスワードを変更
      特権アカウントがチェックアウトされるたびに、 でそのパスワードを変更するかどうかを指定します。
      : このオプションはサービス アカウントに適用されません。
    • チェックイン時にパスワードを変更
      ユーザまたはプログラムによって特権アカウントがチェックインされるたび、またはチェックアウト期間の失効時に、 そのパスワードを変更するかどうかを指定します。
      注:
      アカウントが排他的でない場合は、
      すべて
      のユーザがそのアカウントでチェックインしている場合にのみ、特権アカウント パスワードが作成されます。
    • サービス アカウント
      検出されたアカウントがサービス アカウントかどうかを指定します。
      注:
      さらに、サービス アカウント検出ウィザードを使用して、サービス アカウントを検出できます。
    [完了]をクリックします。
    特権アカウントを作成します。
特権またはサービス アカウントの作成
管理対象および切断システム上でアカウント パスワードを管理するために、特権およびサービス アカウントを作成します。 特権アカウントとサービス アカウントは、異なる目的で使用します。
  • ユーザに特権アカウント パスワードをチェックアウトおよびチェックインさせるために、特権アカウントを作成します。
  • CLI、データベースまたは Windows RunAs パスワード コンシューマをセットアップするには、特権アカウントを作成します。
  • Windows サービスおよび Windows スケジュール タスク パスワード コンシューマをセットアップするには、サービス アカウントを作成します。
    注:
    サービス アカウント パスワードはチェックアウトおよびチェックインできません。
複数のアカウントを作成するには、特権アカウント検出ウィザードおよびサービス アカウント検出ウィザードを使用して、エンドポイント上の特権およびサービス アカウントを検索します。 単一のアカウントを作成するには、このウィンドウに特権またはサービス アカウントの詳細を入力します。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールで [特権アカウント]-[アカウント]-[特権アカウントの作成] をクリックします。
    [特権アカウントの作成: 特権アカウントの選択]ページが表示されます。
  2. (オプション)既存の特権アカウントを選択し、そのコピーとして特権アカウントを以下のように作成します。
    1. [特権アカウント タイプのオブジェクトのコピーの作成]を選択します。
    2. 検索属性を選択し、フィルタ値を入力し、[検索]をクリックします。
      フィルタ条件に一致する特権アカウントのリストが表示されます。
    3. 新規特権アカウントのベースとして使用するオブジェクトを選択します。
  3. [OK]をクリックします。
    [特権アカウントの作成]タスク ページの[全般]タブが表示されます。 特権アカウントを既存のオブジェクトから作成した場合、ダイアログ ボックスのフィールドには、既存オブジェクトの値がすでにロードされています。
  4. [全般]タブで以下のフィールドに入力します。
    • 特権アカウント名
      ユーザがこの特権アカウントを参照するために使用する名前を定義します。
      注:
      RACF、ACF、および Top Secret などのメインフレーム システムには、大文字小文字を区別するユーザ名を使用します。 特権アカウント名は大文字で入力します。
    • 説明
      コメント、テキスト、または特権アカウントに関する任意の情報を追加するフリー テキスト領域を指定します。 
      注:
       [説明]フィールドは、
      Privileged Identity Manager
      12.9.02 Service Pack にテスト フィクス(RO92692)を適用した場合にのみ使用できます。 テスト フィクスは、http://support.ca.com からダウンロードできます。
    • 切断アカウント
      アカウントが切断システム由来のものかどうかを指定します。
      このオプションを選択すると、SAM はそのアカウントを管理しません。 代わりに、切断システムの特権アカウントのパスワード ボールトとしてのみ機能します。 パスワードを変更するたびに、管理対象エンドポイント上のアカウント パスワードも手動で変更する必要があります。
    • アカウント タイプ
      アカウントが共有(特権)アカウントかサービス アカウントかを指定します。
      注:
      サービス アカウントの作成時に、SAM はアカウント パスワードの変更を試行しません。
    • エンドポイント名
      特権またはサービス アカウントが存在する、定義済みのエンドポイントの名前を指定します。 指定したタイプのエンドポイントのリストを表示することができます。
    • エンドポイント タイプ
      特権またはサービス アカウントが存在するエンドポイントのタイプを指定します。
    • Container
      特権またはサービス アカウントのコンテナの名前を指定します。
      コンテナ
      は、そのインスタンスが他のオブジェクトの集合であるクラスです。 コンテナは、特定のアクセス ルールに従って、整理された方法でオブジェクトを格納するために使用されます。
    • パスワード ポリシー
      特権またはサービス アカウントに適用するパスワード ポリシーを指定します。
    • パスワード
      ユーザが新しい特権アカウントで使用するパスワードを定義します。
      注:
      新しいパスワードは、指定するパスワード ポリシーに準じる必要があります。
    • チェックアウト期限
      チェックアウト アカウントが失効するまでの期間を分単位で指定します。
    • 排他特権アカウント
      常に単一ユーザのみがアカウントを使用できるようにするかどうかを指定します。
      排他特権アカウント
      は、アカウントを1 度に 1 ユーザのみが使用できるように特権アカウントを制限します。
      排他的セッションは、エンドポイント上で現在実行されているオープン セッションがない場合に、単一ユーザのみがアカウントを使用できることを指定します。
    • チェックアウト時にパスワードを変更
      特権アカウントがチェックアウトされるたびに、そのパスワードを変更するかどうかを指定します。
      : このオプションはサービス アカウントに適用されません。
    • チェックイン時にパスワードを変更
      ユーザまたはプログラムによって特権アカウントがチェックインされるたび、またはチェックアウト期間の失効時に、そのパスワードを変更するかどうかを指定します。
      注:
      アカウントが排他的でない場合は、
      すべて
      のユーザがそのアカウントでチェックインしている場合にのみ、特権アカウント パスワードが作成されます。
    • ログイン アプリケーション チェックアウトのみ
      エンドポイントに対してログイン アプリケーションが定義されている場合にのみ、パスワードのチェックアウトを許可するかどうかを指定します。
      注:
      このオプションを有効に設定すると、ユーザはパスワードの表示やクリップボードへのコピーを実行できません。
  5. (オプション)[パスワード コンシューマ]タブに移動します。
    設定されている場合、 特権アカウントを使用するパスワード コンシューマを表示します。
  6. (オプション)[情報]タブをクリックして、タブ内のフィールドに値を入力します。
    このタブでエンドポイント固有の属性を指定すると、特権アクセス ロールを定義または変更するときにその属性を使用することができます。
    特権アクセス ロールのメンバが
    Privileged Identity Manager
    エンタープライズ コンソールにログインすると、そのユーザは、特権アクセス ロールで定義されている属性に従って、特権アクセス アカウントへのアクセスを取得します。
    • Owner
      エンドポイント所有者の名前を指定します。
    • 部署
      部署の名前を指定します。
      例:
      Development
    • カスタム 1 ~ 5
      エンドポイント固有のカスタム属性を指定します(最大 5 つ)。
    注:
    特権アクセス ロールのカスタム属性は、[メンバ]タブ、[メンバ ポリシー]セクション、[メンバ ルール]ウィンドウ内で指定します。
  7. [サブミット]をクリックします。
    新しい特権アカウントまたはサービス アカウントの作成方法