PAM360のManageEngine ADSelfService Plus (ADSSP)との統合

このドキュメントでは、PAM360をManageEngine ADSelfService Plus (ADSSP)と統合する手続きについて説明します。ここでは次のトピックについて説明します:

  1. 統合の主な利点
  2. 統合を実行するための前提条件
  3. 統合を構成する手順
  4. ドメインアカウントの詳細をマッピングする手順
  5. トラブルシューティングのヒント

1.統合の主な利点

ManageEngine PAM360は、統合型Webベースのセルフサービスパスワード管理とシングルサインオンソリューションであるManageEngine ADSSPと統合します。ADSSPは、セルフサービスパスワードリセット、セルフサービスアカウントロック解除等、アクティビティの実行時のドメインユーザーをサポートします。ADSSPは、PAM360を利用して、ドメインコントローラーパスワード、特に、特権アカウントを管理します。

以前は、ADSSP特権ドメインアカウントのリモートパスワードリセットをPAM360で実行したとき、新しいパスワードは手作業でADSSPに更新する必要がありました。そうでない場合、ADSSP は古いパスワードを保持したままになるため、AD ユーザーによるパスワードのリセット、アカウントのロック解除などのタスクの実行が制限されます。これにより、ヘルプ デスクへの問い合わせが増える可能性があります。PAM360-ADSSP統合により、ADSSPの特権ドメインアカウント詳細は、PAM360のドメインアカウントでマッピングされます。そのため、PAM360にマッピングされたADSelfService Plusの特権ドメインアカウントのパスワードが更新されると必ず、PAM360が ADSelfService Plusの特権ドメインアカウントのパスワードも自動更新します。

2.統合を実行するための前提条件

統合を開始する前に、以下の前提条件がすべて満たされているかどうかを確認してください。

  1. PAM360は、ADSSPが実行されているサーバーからアクセスできることが必要です。この検証のため、PAM360 Webクライアントは、ADSSP Serverから軌道を試行します。
  2. この統合が機能するには、ADSSP が保護された HTTP モードでのみ実行されている必要があります。 
  3. ADSSPがHTTPモードで実行されているため、システムのアイデンティティは、有効なSSL certificate,証明書からの認証が必要になり、これはPAM360証明書ストアにインポートが必要です。以下の手順に従ってください:
    1. PAM360 Serviceを停止します。
    2. コマンドプロンプトを開き、"<PAM360_Installation_Folder>/bin"ディレクトリに進みます。
    3. 次のコマンドを実行します:

      importCert.bat <ADSSP によって使用される証明書のパス> 

    4. PAM360サービスを再起動します。

3.統合を構成する手順

PAM360-ADSSP統合に関連する構成のすべてをPAM360ポータル自体から実行できます。統合を構成するには、ADSSP がインストールされているマシンの詳細を指定する必要があります。詳細には、ホスト名、ポート番号等が含まれます。必要事項をすべて入力し構成を保存したら、PAM360がADSSPと接続を設定しようとします。接続が正常に完了したら、ドメイン詳細がADSSPから取り込まれ、PAM360データベースに保存され、統合が確立されます。

手順は以下のとおりです:

  1. [管理] >> [統合] >> [ManageEngine] に移動します。

    2. メモ:"ManageEngine統合"ロールのユーザーのみ、ManageEngineオプションが統合に表示されます。

integ_me_products_sdp
  1. 表示されるページには、統合の無効化または有効化のそれぞれにあわせて、下のオプションと、ADSelfService Plusブロックが表示されます:
    integ_me_products_sdp

ボタンと定義:

Sl.No: ボタン 定義

1

有効化
統合が無効になっている場合、このオプションが表示されます。このボタンをクリックすると、ADSelfService Plus統合ウインドウがポップアップされます。

2

編集
このボタンをクリックすると、ADSelfService Plus統合ウインドウがポップアップされます。必要に応じて、構成の詳細を変更します。

3

無効化
統合が有効になっている場合、このオプションが表示されます。統合を無効にするには、このボタンをクリックします。
  1. [編集]ボタンをクリックすると、以下のウィンドウが表示されます:
    integ_me_products_sdp
  2. 以下の詳細を構成:
    1. ADSelfService Plus ホスト名を入力します。
    2. ADSelfService Plusをリッスンするポートを指定します。
    3. 管理者権限のみを持つ ADSSP ユーザーのユーザー名パスワードを入力します。
    4. [有効にする]をクリックします。

これで、統合が有効化され、ADSSPから取り込まれたドメイン詳細がPAM360データベースに保存されます。ADSSPのドメインアカウント詳細のPAM360でのマッピングに進みます。

4.ドメインアカウントの詳細をマッピングする手順

ADSSPの正しいドメインアカウントがPAM360のドメインアカウントでマッピングされていることを確認します。この場合のみ、ADSSP の適切なドメイン アカウントを使用してパスワードの自動更新が行われます。

  1. [リソース] >> [リソース アクション] に移動します。[ADSelfService Plus ドメインの詳細を設定する] オプションをクリックします。

    2. このオプションは次の場合のみ使用できます:

    - Windows Domainリソースの場合。

    - ADSSP統合が構成される場合。

  1. 選択されたリソース名がタイトルに付加されたウィンドウがポップアップ表示されます。デフォルトでは、PAM360のドメイン名が表示されます。 
    integ_me_products_sdp
    1. PAM360のドメイン名でマッピングする[ADSSPのドメイン名]を選択します。  ドメイン名が見つからない場合は、[取得]リンクをクリックして ADSSP からドメインをインポートします。
    2. ADSSPのドメインアカウント名 iPAM360のドメインアカウント名フィールドが、手順iで選択したADSSPのドメイン名に基づいて自動入力されます。PAM360に別のアカウントを選択することもできます。

      3. ADSSP-PAM360ドメインアカウント詳細で不一致が疑われる場合は、アラートメッセージでプロンプト表示されます。ADSSPの正しいドメインアカウント詳細をPAM360にマッピングしたか確認します。そうすることで初めて、ADSSP の適切なドメイン アカウントを使用してパスワードの自動更新が行われます。

  2. [保存]をクリックします。

PAM360 とADSSPのドメインアカウント詳細のマッピングが正常に完了したら、アカウントのパスワードリセットがPAM360で完了すると必ず、PAM360がADSSPのドメインアカウントのパスワードを自動更新します。

5.トラブルシューティングのヒント

  1. 証明書が正しくインポートされているかどうかを確認してください。
  2. 2 台のマシン間の接続を確認します。接続は双方向である必要があります。
  3. [Windows DC] >> [リソース操作] >> [ADSelf service plusドメイン詳細の構成]で、[取り込む]をクリックして、ドメイン詳細を取得します。失敗した場合は、<PAM360_Installation_Folder>/logsディレクトリにあるpam0ファイルで、エラーをチェックします。

関連項目: