特権アクセス ロールおよび特権アカウント

目次
cminder12902jp
目次
特権アクセス ロールは、各ユーザが
Privileged Identity Manager
エンタープライズ コンソールで実行できる SAM タスクと、各ユーザがチェックインおよびチェックアウトできる特権アカウントを指定するために使用します。
Privileged Identity Manager
エンタープライズ コンソールには、定義済みの特権アクセス ロールが用意されています。 定義済みのロールを自分の組織に合わせて変更することも、または新しいロールを作成することもできます。
ユーザが
Privileged Identity Manager
エンタープライズ コンソールにログインすると、それぞれのロールに対応するタスクと特権アカウントだけが表示されます。
特権アクセス ロールの使用
企業の要件に応じて SAM をセットアップする前に、以下のポイントを考慮する必要があります。
  • ユーザ ストアとして Active Directory を使用し、各ロールのメンバ ポリシーを変更して、それぞれが Active Directory のグループを指すようにすることをお勧めします。 この方法でセットアップしたロールからユーザを追加または削除するには、Active Directory グループからユーザを追加または削除します。 これにより、管理上のオーバーヘッドが減少します。
  • ユーザ ストアとして Active Directory を使用する場合は、
    Privileged Identity Manager
    エンタープライズ コンソールを使用してユーザまたはグループを作成または削除できません。 ユーザおよびグループの作成と削除は、Active Directory 内だけで行うことができます。
  • あるロールに対してメンバ ポリシーが定義されている場合、SAM ユーザ マネージャがそのロールをユーザに割り当て、ユーザがそのメンバ ポリシーに適合しないときには、
    Privileged Identity Manager
    はそのユーザにロールを割り当てません。 メンバ ポリシーで定義されるルールは、SAM ユーザ マネージャによる割り当てに優先します。
  • 特権アカウント要求に応答するには、SAM 承認者ロールを持っており、かつ要求ユーザのマネージャである必要があります。 組み込みユーザ ストアを使用すると、
    Privileged Identity Manager
    エンタープライズ コンソールでは、ユーザの作成タスクおよびユーザの変更タスクでユーザのマネージャを指定できます。
  • Privileged Identity Manager
    では、そのまま使用できる Break Glass、SAM 承認者、特権アカウント リクエスト、および SAM ユーザ ロールがすべてのユーザに割り当てられます。 この動作を変更するには、各ロールのメンバ ポリシーを変更します。
  • ロールのスコープ ルールを変更して、そのロールがアクセスできる特定のエンドポイントおよび特権アカウントを定義できます。 スコープ ルールを使用すると、組織全体の特権アカウントへのアクセスを詳細に指定できます。 スコープ ルールは、ロールのメンバ ポリシーで定義します。
特権アクセス ロールがチェックアウトおよびチェックイン タスクに与える影響
エンドポイント上で管理タスクを実行するときには共有アカウントをチェックアウトし、エンドポイント上でのタスクが完了したら共有アカウントをチェックインします。
重要:
ユーザがエンドポイント タイプに対してタスクを実行するには、エンドポイント特権アクセス ロールが必要です。 エンドポイント特権アクセス ロールは、ユーザが特権アクセス アカウントを使用してタスクを実行できるエンドポイントのタイプを指定します。
たとえば、Windows エンドポイント特権アクセス ロールをユーザに割り当てた場合、そのユーザは、Windows エンドポイント上で共有アカウントを使用するエンドポイント タスクを実行できます。 ユーザに Break Glass、特権アカウント要求、または SAM ユーザ ロールを割り当てる場合には、そのユーザにエンドポイント特権アクセス ロールを割り当てます。このロールを割り当てないと、ユーザはタスクを完了できません。
以下のプロセスでは、ユーザが実行するチェックアウトおよびチェックイン タスクに特権アクセス ロールがどのような影響を与えるかについて説明します。
  1. 共有アカウントのチェックアウトは、以下のいずれかの方法で行います。
    • SAM ユーザ ロールが割り当てられたユーザは、アカウントをチェックアウトします。
    • Break Glass ロールが割り当てられたユーザは、Break Glass チェックアウトを実行します。
    • アプリケーション(たとえば CLI のパスワード コンシューマ)により、
      Privileged Identity Manager
      のエンドポイント上でアカウントがチェックアウトされます。
    共有アカウントがチェックアウトされます。 注: ユーザが Break Glass チェックアウトを実行した場合、
    Privileged Identity Manager
    はロール所有者に通知します。 ロール所有者は、監査目的でこのメッセージに情報を追加するように選択できます。
  2. 共有アカウントのチェックインは、以下のいずれかの方法で行います。
    • SAM ユーザ ロールが割り当てられたユーザは、アカウントをチェックインします。
    • Break Glass ロールが割り当てられたユーザは、アカウントをチェックインします。
    • Privileged Identity Manager
      エンドポイント上のアプリケーションは、アカウントをチェックインします。
    • SAM ターゲット システム マネージャ ロールが割り当てられたユーザは、アカウントのチェックインを強制します。
    共有アカウントがチェックインされます。
次の図に、ユーザが実行するチェックアウトおよびチェックイン タスクに特権アクセス ロールが与える影響を示します。
How privileged access roles affect the check in and check out tasks that users perform
例: 共有アカウントのチェックアウト
あなたはシステム マネージャ ロールを持っています。 あなたは Joe に対して、SAM ユーザ ロールおよび Windows エージェントレス接続エンドポイント特権アクセス ロールを割り当てます。
Privileged Identity Manager
エンタープライズ コンソールにログインした Joe には、Windows エンドポイント上で共有アカウントをチェックアウトおよびチェックインするタスクだけが表示されます。
例: 共有アカウントの Break Glass
あなたはシステム マネージャ ロールを持っています。 あなたは Fiona に対して、Break Glass ロールおよび Oracle Server 接続エンドポイント特権アクセス ロールを割り当てます。 Fiona は、Oracle エンドポイントへの即時アクセスを必要としています。
Privileged Identity Manager
エンタープライズ コンソールにログインした Fiona には、Oracle エンドポイント上でアカウントの Break Glass チェックアウトを実行するタスクだけが表示されます。 Fiona は、Oracle 特権アカウントの Break Glass チェックアウトを実行し、
Privileged Identity Manager
は Break Glass ロール所有者に通知メッセージを送信します。
注:
デフォルトでは、Break Glass ロール所有者はシステム マネージャ管理ロールです。
特権アクセス ロールが共有アカウント要求タスクに与える影響
共有アカウントをチェックアウトできず、アカウントへの即時アクセスを必要としないユーザは、共有アカウント要求をサブミットできます。 マネージャは、その要求を承認または拒否できます。 このトピックでは、共有アカウント要求タスクを実行するために必要な特権アクセス ロールについて説明します。
重要:
ユーザがエンドポイント タイプに対してタスクを実行するには、エンドポイント特権アクセス ロールが必要です。 エンドポイント特権アクセス ロールは、ユーザが特権アクセス アカウントを使用してタスクを実行できるエンドポイントのタイプを指定します。
たとえば、Windows エンドポイント特権アクセス ロールをユーザに割り当てた場合、そのユーザは、Windows エンドポイント上で共有アカウントを使用するエンドポイント タスクを実行できます。 ユーザに Break Glass、特権アカウント要求、または SAM ユーザ ロールを割り当てる場合には、そのユーザにエンドポイント特権アクセス ロールも割り当てます。このロールを割り当てないと、ユーザはタスクを完了できません。
以下のプロセスでは、ユーザが実行できる共有アカウント要求タスクに特権アクセス ロールがどのような影響を与えるかについて説明します。
  1. 特権アカウント要求ロールが割り当てられたユーザが、共有アカウントへのアクセスを要求します。
  2. Privileged Identity Manager
    は、ユーザのマネージャ(同時に SAM 承認者ロールを持つ)に共有アカウント要求を送信します。
    注:
    ユーザが共有アカウント要求を受信するには、SAM 承認者ロールが付与されていて、ユーザのマネージャである必要があります。
  3. SAM 承認者ロールを持つユーザは、要求に応えて以下の
    いずれか
    を行います。
    • 共有アカウント要求を拒否する。
      特権アカウント要求ロールを持つユーザは、共有アカウントをチェックアウトできません。
    • 特権共有要求を保留する。
      他のユーザは、要求を承認または拒否できません。 特権アカウント要求ロールを持つユーザは、SAM 承認者が要求の承認を選択するまで、共有アカウントをチェックアウトできません。
    • 共有アカウント要求を承認する。
      特権アカウント要求ロールを持つユーザに、共有アカウント例外が付与され、そのユーザはアカウントをチェックアウトおよびチェックインできます。
  4. 共有アカウント例外は、以下のいずれかの理由で期限切れになります。
    • 共有アカウント例外で指定された有効期限に到達した。
    • SAM ターゲット システム マネージャ ロールが割り当てられたユーザが共有アカウント例外を削除した。
    特権アカウント要求ロールを持つユーザは、共有アカウントをチェックアウトできなくなります。
次の図は、ユーザが実行できる共有アカウント要求タスクに対して、特権アクセス ロールがどのように影響するのかを説明しています。
How privileged access roles affect shared account request tasks
例: 共有アカウント要求の実行および応答
あなたはシステム マネージャ ロールを持っています。 共有アカウント要求ロールおよび SSH デバイス接続エンドポイント特権アクセス ロールを Alice に割り当てます。 Bob は Alice のマネージャであり、あなたは Bob に SAM 承認者ロールを割り当てます。
Privileged Identity Manager
エンタープライズ コンソールにログインした Alice には、UNIX エンドポイントで共有アカウント要求をサブミットするタスクだけが表示されます。 Alice は、UNIX エンドポイントで example_ux アカウントの共有アカウント要求をサブミットします。
Privileged Identity Manager
エンタープライズ コンソールにログインした Bob には、共有アカウント要求に応答するタスクだけが表示されます。 Bob は、Alice の共有アカウント要求を許可し、共有アカウント例外の有効期限を午後 6 時までと指定します。 これで、Alice は example_ux アカウントをチェックアウトできるようになりました。 午後6 時で共有アカウント例外は期限切れになり、Alice は example_ux アカウントをチェックアウトできなくなります。
Break Glass プロセス中に発生するイベント
管理権限がないアカウントへの即時アクセスが必要な場合、ユーザは Break Glass チェックアウトを実行します。
Break Glass アカウントは、ユーザ ロールに従ってユーザに割り当てられていない共有アカウントです。 しかし、必要であれば、ユーザはそのアカウント パスワードを取得することができます。
Break Glass チェックアウト プロセスでは、Break Glass チェックアウト プロセスが発生したことを管理者に伝える通知メッセージがロール管理者に送信されます。しかし、管理者はこのプロセスを承認も停止もできません。
チェックアウトされた Break Glass アカウントが、[ホーム]タブの[Break Glass]オプションにある、ユーザの[マイ チェックアウト特権アカウント]タブに追加されます。
注:
Break Glass 特権アクセス ロールを持つユーザのみが、Break Glass プロセスを実行できます。
Break Glass の設定
Break Glass を設定するための手順は以下のとおりです。
  1. 管理者としてエンタープライズ管理コンソールにログインします。
  2. [ユーザおよびグループ]
    -
    [ロール]
    -
    [特権アクセス ロール]
    -
    [ロールの変更]
    に移動します。
  3. [Break Glass]
    を選択します。
  4. [メンバ]
    タブをクリックします。
  5. [スコープ ルール]
    の下に、以下のテキストが表示されます。
    Privileged Account where (Account Name = "nosuchaccount4" and Account Name = "nosuchaccount3")
    「nosuchaccount4」および「nosuchaccount3」を、Break Glass 権限を持つ特定のアカウント名または「*」に置き換えます。