PAM360のManageEngine ADManager Plusとの統合
本書では、PAM360をManageEngine ADManager Plusと統合するプロセスについて説明します。本書の終わりには、以下について学ぶことになります:
- 統合の主な利点
- 統合はどのように機能しますか?
- 統合を実行するための前提条件
- 統合を構成する手順
- アカウントをADManager Plusセキュリティグループにマッピングする手順
- トラブルシューティングのヒント
1.統合の主な利点
ManageEngine PAM360は、IT管理者および技術担当者がActive Directoryオブジェクトとグループを管理し、レポートを生成できる管理およびレポートソリューションであるManageEngine ADManager Plusと統合されます。
PAM360-ADManager Plus統合では、ADManager PlusサーバーからActive Directory(AD)セキュリティグループのドメインユーザーのタイムリーな昇格と委任を実行できます。ADManager Plus統合を利用することで、ドメインアカウントでPAM360ユーザーのアクセスコントロールを実行し、.ドメインアカウントに時間どおりの特権昇格ができます。PAM360インターフェイスから直接、ADセキュリティグループのアカウントを追加および削除できます。統合が完了すると、Active Directoryサーバーのすべてのセキュリティグループは、PAM360から利用できるようになります。
ADManager PlusでのADグループ管理についての詳細は、ここをご覧ください。
2.統合はどのように機能しますか?
PAM360は、ADManager PlusからAPI経由で、およびADManager Plusのサーバー詳細を使ってデータを取得します。ADManager Plusに一覧表示されているADセキュリティグループは、PAM360に統合および一覧表示されます。PAM360にインポートされたADfドメインユーザーは、ADManager Plusから入力されたセキュリティグループへのアクセスを制御できます。
3.統合を実行するための前提条件
統合を開始する前に、以下の前提条件がすべて満たされているかどうかを確認してください:
- PAM360は、HTTPS経由のみの接続をサポートするため、サーバーで有効なSSL証明書のインポートは必須です。ここに記載の手順にしたがって、サーバーに証明書をインポートします。
- 証明書のコモンネームは、アクティブなADMP Serverのホスト名と一致している必要があります。
- PAM360の少なくとも1人の認証管理者は、ADMPの有効な技術担当者である必要があります。
4.統合を構成する手順
PAM360-ADManager Plus統合に関連するすべての構成をPAM360ポータルから実行できます。統合を実行するには、ADManager Plusがインストールされているマシンのホスト名とポート詳細を入力します。必要な詳細をすべて入力し、構成を保存したら、PAM360は、ADManager Plusと接続のセットアップを試行します。接続が正常に完了したら、ドメイン詳細がADManager Plusから取り込まれ、PAM360データベースに保存され、統合が確立されます。
- [管理者] >> [統合] >> [ManageEngine]の順に移動します。PAM360と統合されたすべてのManageEngine製品の統合ビューが表示されます。
- 表示されるページで、統合をそれぞれ有効化したか、無効化したかに基づいて、ADManager Plusブロックが、下のオプションとあわせて表示されます:
ManageEngine Integration 役割を持つユーザーのみに、[統合]の下に [ManageEngine] オプションが表示されます。
ボタンと定義:
| Sl.No: | ボタン | 定義 |
|---|---|---|
1 |
|
統合が無効になっている場合、このオプションが表示されます。このボタンをクリックして、ADManager Plusサーバーの必要な詳細を入力し、統合を有効にします。 |
2 |
|
統合が有効になっている場合、このオプションが表示されます。このボタンをクリックして、ADManager Plusホスト名とポート詳細を更新します。 |
3 |
|
統合が有効になっている場合、このオプションが表示されます。統合を無効にするには、このボタンをクリックします。 |
- [有効化]をクリックして、以下の詳細を構成します:
- ADManager Plusホスト名を入力します。
- ADManager Plusサーバーのポートを入力します。
- [有効化]をクリックして、設定を保存します。
- 次に、ADManager Plus Webコンソールにアクセスし、[管理者] -> [統合] -> [PAM360]の順に移動し、チェックボックス[PAM360と厳格な統合を有効化]を有効にして、設定を保存します。
PAM360 - ADManager Plus統合はこれで有効にあります。ADセキュリティグループへのドメインアカウントのマッピングに進みます。
5.アカウントをADManager Plusセキュリティグループにマッピングする手順
PAM360-ADManager Plus統合が完了したら、下の手順にしたがって、ポリシー構成を実行します。.ポリシー統合オプションでは、ドメインアカウントをセキュリティグループに時間どおりに昇格できます(ADセキュリティグループはすでにドメインコントローラーに存在し、拡張機能では、ADManager Plusにも存在します。)
- [リソース] >> [リソースを追加]の順に移動し、ADドメインコントローラーをPAM360にリソースとして追加します。
- 必要なリソースの横の[リソース操作]をクリックし、[アクセスコントロールを構成]をクリックします。
- 承認管理者タブで、ここに一覧表示されている認証済管理者の少なくとも1人がADManager Plusの有効な技術担当者でもあることを確認します。これは、ポリシー構成の変更が適用されたら、選択したリソースへのアクセス要求の承認を促進するためです。
- ポリシー構成タブで、[選択]をクリックして、ADManager Plusで利用可能なADグループをすべて一覧表示します。
- リソースを追加する先のグループを選択し、[保存]をクリックします。選択したグループボックスに、選択されたグループを表示できます。
- [アカウントをセキュリティグループに昇格]オプションを選択し、[保存してアクティブ化]をクリックします。
次に、リソースがパスワードユーザー/パスワード監査者機能でユーザーと共有されると、パスワードアクセスまたは昇格を要求できます。この要求は、ユーザーロールが以下の基準を満たしているかぎり、認証済管理者リストの管理者が承認または拒否できます:
- 特権昇格を指定されたユーザーは、PAM360に管理者ロール(すなわち、以下のユーザーロールのいずれか:特権管理者、管理者、およびパスワード管理者)が必要で、ADManager Plusでは、下の権限のいずれかがあるユーザーロールが必要です:ユーザー修正とグループ修正。ただし、PAM360で特権昇格を受け取るユーザーは、ADManager Plusに特別権限は不要です。PAM360のユーザーロールについての詳細は、ここをクリックしてください。
重要な注記:
- ADManager Plusでグループ構成に直接行った変更により、PAM360の変更は無視されます。
例:
- グループメンバーシップオートメーション操作をこの統合で実行するには、ADManager Plusのプロフェショナルエディションを使用している必要があります。これは、グループオートメーション機能jがそのエディションでのみサポートされているためです。
6.トラブルシューティングのヒント
- 証明書が正しくインポートされているかどうかを確認してください。
- 2 台のマシン間の接続を確認します。接続は双方向である必要があります。
- グループが[アクセスlコントロール] >> [ポリシー構成],で表示されない場合は、PAM360 Windows Domainコントローラーリソースのドメイン名フィールドをチェックしてください。