Bestellen von PAM Zugriffsanforderungen
Über die Bestellung der Standardprodukte können Zugriffsanforderungen auf privilegierte Objekte eines PAM Systems erstellt werden. Die Produkte sind mehrfach bestellbare Ressourcen.
Tabelle 29: Standardobjekte für das Bestellen von Zugriffsanforderungen
Produkte: |
API-Schlüssel-Anforderung: Zur Anforderung von API-Schlüsseln für Konten in einem PAM System.
Kennwortanforderung: Zur Anforderung von Kennwörtern für Konten in einem PAM System.
Remote-Desktop-Anwendungsanforderung: Zur Anforderung von Remote-Desktop-Anwendungen für Assets in einem PAM System.
Remote-Desktop-Sitzungsanforderung: Zur Anforderung von Remote-Desktop-Sitzungen für Assets in einem PAM System.
SSH-Schlüssel-Anforderung: Zur Anforderung von SSH-Schlüsseln für Konten in einem PAM System.
SSH-Sitzungsanforderung: Zur Anforderung von SSH-Sitzungen für Assets in einem PAM System.
Telnet-Sitzungsanforderung: Zur Anforderung von Telnet-Sitzungen für Assets in einem PAM System. |
Servicekatagorie: |
Privilegierte Zugriffsanforderungen |
Regal: |
Identity & Access Lifecycle | Privilegierter Zugriff |
Entscheidungsverfahren: |
PG - Eigentümer der bestellten privilegierten Zugriffsanforderung |
Entscheidungsrichtlinie/ Entscheidungsworkflow: |
Entscheidung der Bestellungen von privilegierten Zugriffen |
Der Besteller übergibt Informationen zur gewünschten Zugriffsanforderung, wie Produkt und Asset oder Konto, auf das zugegriffen werden soll sowie den Zeitraum für den Zugriff. Der Eigentümer des privilegierten Objektes, für das der Zugriff angefordert wird, genehmigt die Bestellung. Im PAM System wird eine entsprechende Zugriffsanforderung erstellt.
In der Bestellung wird vermerkt, ob die Zugriffsanforderung im PAM System erstellt werden konnte und ob die Zugriffsanforderung im PAM System genehmigt wurde. Der Status einer Zugriffsanforderung im PAM System wird zyklisch über den Zeitplan Auslesen des Status von privilegierten Zugriffsanforderungen geprüft.
Wurde die Zugriffsanforderung genehmigt, kann sich der Benutzer am PAM System anmelden und das angeforderte Kennwort abholen oder die angeforderte Sitzung starten.
Voraussetzungen
-
Das PAM Benutzerkonto des Bestellers besitzt das Nutzungsrecht, um die Zugriffsanforderung zu bestellen.
-
In den Zugriffsanforderungsrichtlinien ist die Option Wirksam für One Identity Manager aktiviert. Damit können Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kotntogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie bestellt werden.
-
Den bestellbaren Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen ist als Eigentümer eine Anwendungsrolle unter Privileged Account Governance | Asset- und Konteneigentümer zugewiesen.
-
Den Anwendungsrollen sind Identitäten zugewiesen.
-
Der Zeitplan Auslesen des Status von privilegierten Zugriffsanforderungen ist aktiviert. Passen Sie bei Bedarf den Zeitplan im Designer an.
- Die URL der PAM Webanwendung ist an der Appliance eingetragen. Damit können sich die Benutzer aus dem Web Portal heraus am PAMSystem anmelden, um das Kennwort abzuholen oder die Sitzung zu starten.
Ausführliche Informationen zur Konfiguration des IT Shops finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zum Bestellen von Zugriffsanforderungen im Web Portal finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
Verwandte Themen
Eigentümer von PAM Objekten
Die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten, PAM Verzeichniskonten, PAM Assetgruppen und PAM Kontogruppen müssen einer Anwendungsrolle unter der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
Das Entscheidungsverfahren PG - Eigentümer der bestellten privilegierten Zugriffsanforderung berücksichtigt die Anwendungsrolle bei der Ermittlung der Entscheider. Das Entscheidungsverfahren OP - Eigentümer eines privilegierten Objektes berücksichtigt die Anwendungsrolle bei der Ermittlung der Attestierer.
Ausführliche Informationen zu Genehmigungsverfahren finden Sie im One Identity Manager Administrationshandbuch für IT Shop und im One Identity Manager Administrationshandbuch für Attestierungen.
Detaillierte Informationen zum Thema
Automatische Ermittlung der Eigentümer
Die Genehmiger von Zugriffsanforderungsrichtlinien werden initial automatisch die Eigentümer der PAM Assets, PAM Assetkonten, PAM Verzeichniskonten, PAM Assetgruppen und PAM Kontogruppen. Diese Zuordnung erfolgt einmalig, wenn zu einem PAM Objekt eine Zugriffsanforderungsrichtlinie ermittelt werden kann.
-
Je Zugriffsanforderungsrichtlinie wird eine neue Anwendungsrolle für die Eigentümer unter der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer erstellt.
-
Die Genehmiger einer Zugriffsanforderungsrichtlinie werden in die Anwendungsrolle aufgenommen.
-
Die Anwendungsrolle wird an die PAM Assets, PAM Assetkonten, PAM Verzeichniskonten, PAM Assetgruppen und PAM Kontogruppen, die im Bereich der Richtlinie liegen, zugewiesen.
-
Sind mehrere Zugriffsrichtlinien für ein PAM Objekt definiert, erfolgt die Ermittlung der gültigen Anwendungsrolle über die Nutzungsrechte der Zugriffsanforderungsrichtlinien. Die Eigentümer für ein PAM Objekt werden nach folgender Reihenfolge bestimmt:
-
Anwendungsrolle der Zugriffsanforderungsrichtlinie, deren Nutzungsrecht die niedrigste Priorität hat
-
Anwendungsrolle der Zugriffsanforderungsrichtlinie mit der niedrigsten Priorität
HINWEIS:
-
Eine Anwendungsrolle für die Eigentümer wird einem PAM Objekt nur automatisch zugewiesen, wenn dem PAM Objekt noch keine Anwendungsrolle zugewiesen ist. Eine bestehende Zuweisung wird nicht geändert.
-
Die Eigentümer werden nur initial ermittelt. Änderungen der Genehmiger einer Zugriffsanforderungsrichtlinie werden nicht automatisch in die zugehörige Anwendungsrolle übernommen. Ändern Sie bei Bedarf die Zuordnung der Identitäten zur Anwendungsrolle manuell.
-
Für Zugriffsanforderungsrichtlinien, die im One Identity Safeguard automatisch genehmigt werden, können keine Eigentümer ermittelt werden. In diesem Fall weisen Sie die Identitäten manuell an die Anwendungsrolle zu.
Verwandte Themen
Identitäten manuell als Eigentümer von PAM Objekten festlegen
Zusätzlich zur automatischen Ermittlung der Eigentümer können Sie die Eigentümer manuell festlegen.
Um Identitäten manuell als Eigentümer festzulegen
-
Melden Sie sich als Zielsystemverantwortlicher am Manager an.
-
Wählen Sie in der Kategorie Privileged Account Management > Basisdaten zur Konfiguration > Asset- und Konteneigentümer die Anwendungsrolle.
-
Wählen Sie die Aufgabe Identitäten zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
Verwandte Themen