セキュアオフラインアクセスのパスワードのエクスポート
PAM360には、セキュアオフラインアクセスとパスワード情報の安全保存について、複数のエクスポートオプションがあります。
- 基本オプションは、リソース名、アカウント名、およびパスワード等のパスワード情報のスプレッドシートへの平文でのエクスポートです。
- 暗号化したHTMLファイルにエクスポートするオプションは、さらに安全です。
注記:また、PAM360で、Dropbox, Box、およびAmazon S3サービスを含む、クラウドストレージサービスとの統合により、ユーザーモバイル機器への暗号化されたHTMLファイルの自動同期化ができます。 ユーザー向けのクラウドストレージオプションの有効化方法についての詳細。
上のオプションでは両方とも、オフラインアクセスにリソース、アカウントおよびパスワードをエクスポートできます。管理者は、組織内でどのオプションを使用するかを決定できます。また、要件に基づいて、個別ユーザーまたはユーザーグループに対してエクスポートを有効または無効にできます。ただし、エクスポートにユーザー別設定を構成する前に、すべてのユーザーにその機能をグローバルに有効にする必要があります。
1.エクスポート/オフラインアクセス向けにグローバルに設定を構成する手順
- [管理者] >> [設定] >> [エクスポート/オフラインアクセス]の順に移動します。
- 表示されるダイアログボックスで、パスワードエクスポートに関連する異なるオプションが表示されます。
- デフォルトでは、2つのオプション - パスワードの.xlsへの平文でのエクスポートおよびパスワードの暗号化されたHTML file,ファイルへのエクスポートは、すべてのユーザーおよび管理者に鵜有効になります。各チェックボックスの選択を解除して、これらのオプションを無効にすることができます。
- リソースの平文での.xlsファイルへのエクスポート
このオプションでユーザーと管理者は、リソースの詳細を平文でスプレッドシートにエクスポートできます。ただし、[エクスポート/オフラインアクセス] UIウインドウに、別のオプション[パスワードを平文でエクスポートしたファイルに含める]が表示されます。このオプションは、パスワードが平文で.xlsファイルに印刷されるを防止するため、グローバルに無効にできます。別のオプション[ファイルベースの追加フィールドに保存したFileStore, KeyStore、LicenseStoreのリソースの種類とファイルを含める]では、平文でエクスポートしているときにファイルを含めることができるかどうか選択できるようになります。
- パスワードの暗号化したHTMLファイルとしてのエクスポート
注記:管理者がPAM360全体のすべてのエクスポート操作について暗号化を有効にした場合、XLSファイルはパスワード保護付きでエクスポートされます。ユーザーは、アクセスが必要な場所のどこでも、暗号化パスフレーズを供給する必要があります。PAM360にログインし、右上の[マイプロファイル]アイコンをクリックし、および[設定をエクスポート]をドロップダウンメニューから選択して、パスフレーズを表示またはコピーできます。
- 暗号化したHTMLファイルを、インターネット接続があるときにも、パスワードを表示するように、パスワードをエクスポートできます。このオフラインオプションは非常に安全です。ファイルのコンテンツは、パスワードの絵九kスポート前に、ユーザーが入力する必要があるパスフレーズとあわせて、AES-256ビットアルゴリズムを使って、暗号化されます。PAM360では、このパスフレーズをどこにも保存することはなく、またどこかに保存/書き込むことを推奨もしません。HTMLファイルは、パスフレーズなしで開くことはできません。パスフレーズを忘れた場合は、別のHTMLファイルをエクスポートすることができます。パスフレーズは、空白スペースを含め、最大32文字まで可能です。
- ユーザーがHTMLファイルに強いパスフレーズを設定したことを確認するため、暗号化したHTMLオプションを有効にする場合は、デフォルトでは複雑性ポリシーを設定します。デフォルトポリシーは、オフラインパスワードファイルです。このポリシーを変更するには、PAM360の他の3つのデフォルトパスワードポリシーまたはあなたが作成したカスタムポリシー(該当する場合)のいずれかを選択できます。必要なポリシーは、[パスワードUIをエクスポート]ウインドウの暗号化パスフレーズポリシーフィールドで選択できます。
- リソースの平文での.xlsファイルへのエクスポート
- 非アクティビティログアウト:ブラウザでパスワードを表示しているときに、オフラインファイルからユーザーが自動ログアウトされる、非アクティビティログアウト期間を分単位で指定することもできます。テキストフィールド許可された休止期間についてタイムアウト期間を指定できます。
- 組織の要件にあわせて各種エクスポートオプションを有効化/無効化したら、[保存]をクリックします。
これで、PAM360のすべてのユーザーと管理者の全体で、設定が有効になります。
2.リソースのエクスポート手順
パスワードは、PAM360管理者が構成した設定にしたがって、ユーザーと管理者がエクスポートできます。
リソースをエクスポートするには、[リソース] >> [エクスポート]の順に移動します
オプション1-リソースの平文でのスプレッドシートへのエクスポート
リソースを平文でエクスポートするには、リソースタブにあるボタンExport[エクスポート]をクリックし、[平文で]をドロップダウンから選択します。
リソースは、ファイルにエクスポートされ、ポップアップ表示されます。ファイルを安全な場所に(.xls)形式で保存します。
オプション2-リソースの暗号化したHTMLファイルとしてのエクスポート
リソースを暗号化したHTMLファイルとしてエクスポートするには、
- リソースタブにあるボタン[エクスポート]をクリックし、[暗号化されたHTMLとして]をドロップダウンから選択します。
- 開いたダイアログボックスで、管理者が実行したパスワードポリシーにしたがって、パスフレーズを指定します。パスフレーズは、オフラインアクセス用に(AES 256)HTMLファイルを暗号化するのに使用します。
- ファイルは、同じパスフレーズを入力するだけで、Webブラウザで開くこともできます。PAM360では、パスフレーズをどこにも保存することはないため、パスフレーズを忘れた場合、ファイルを開くことはできません。また、パスフレーズをどこかに保存または書き留めることは推奨しません。
- パスフレーズを確認し、パスワードをエクスポートする理由も入力します。
リソースは、ファイルにエクスポートされ、ポップアップ表示されます。ファイルを安全な場所に(.html)形式で保存します。
3.エクスポート/オフラインアクセス向けのユーザー別設定
特定のユーザーが1つまたはすべてのパスワードエクスポートオプションを持つことを制限し、個別ユーザーのみがこの許可を得るようにするには、ユーザー別設定を、[ユーザー]タブに移動し、設定変更対象の希望のユーザーを選択し、および[他の操作] >> [オフラインアクセス設定を変更]の順にクリックして、変更することができます。また、その個別ユーザーで[ユーザー操作]アイコンをクリックし、[エクスポート/オフラインアクセス]をドロップダウンから選択して、個別ユーザーへの変更を実行することもできます。
3.1 ユーザーに制限を課す
エクスポートpスワードオプションを有効/無効にしているとき、ユーザーに詳細な制限を課すこともできます。
- ユーザーに平文でのパスワードのエクスポートを許可しているとき、エクスポート理由の指定を求めることができます。ここで入力した理由は、監査トレイルとして記録されます。また、ユーザーにリソース名とユーザーアカウントの詳細のみのエクスポートを許可し、平文でのパスワードのエクスポートを防止することができます。
- パスワードを暗号化したHTMLとしてエクスポートする場合、セキュリティ上の理由から、管理者は、指定期間経過後、エクスポートしたパスワードの自動リセットを実行できます。
- 暗号化したHTMLファイルをユーザーのモバイル機器に自動同期化する場合、管理者は、指定時間経過後、ユーザーのデバイスからHTMLファイルの自動削除を実行できます。HTMLファイルのユーザーのデバイスからの削除後すぐに、エクスポートしたパスワードを自動リセットするオプションもあります。
3.2 セキュリティ上の理由の最小権原モデル
セキュリティ上の理由から、ユーザーにPAM360は、最小権限モデルを採用しています。例えば、特定のユーザーが3つのユーザーグループの一部で、グループの1つにグループレベル制限があるとします - グループのメンバーは平文でパスワードをエクスポートする許可がありません。上のシナリオでは、ユーザーが個人レベルで平文でのパスワードエクスポート許可を得ていても、そのユーザーが参加するグループの1つに課される制限が優先されます。このルールは、上の説明のとおり、すべての種類の制限に適用されます。