パスワードアクション通知
パスワード アクション通知機能を利用すると、パスワードに対して何らかのアクションが実行されるたびに、管理者の希望に応じてリソース ユーザーや他のユーザーに通知を送信できます。たとえば、パスワードがアクセスまたは変更されたとき、パスワード共有が変更されたとき、パスワードの有効期限が切れたとき、パスワード ポリシーに違反したとき、またはパスワードが同期していないときです。前述のように、特定のイベントの発生時に電子メール通知が送信されるように構成できます。
通知に加え、特にパスワード共有が変更される、またはパスワードの有効期限が切れるとき、パスワードリセット操作をPAM360が自動的に実行するように構成することもできます。パスワード アクション通知は、リソース グループ レベルでのみ構成できます。
本書では、次のトピックについて説明します:
1.リソースグループへのパスワード操作通知の構成
- グループタブに進み、操作通知を有効にする必要があるグループについて、Actions操作アイコンをクリックし、[通知を構成]をドロップダウンリストから選択します。
- ポップアップフォームが開きます。通知を送信したいアクションをクリックします。さまざまなパスワード アクションは次のとおりです:
- パスワードにアクセス - ユーザーがパスワードを表示したとき。
- パスワードの変更 - パスワードが変更されたとき。
- パスワード共有の変更 - パスワード共有権限が変更されたとき。
- パスワードの有効期限が切れた - パスワードの有効期限が切れたとき。
- パスワード ポリシー違反 - パスワードが定義されたパスワード ポリシーに違反している場合。
- パスワードの同期除外 - に保存されているパスワードがリソースのものと異なるとき。
- 必要なパスワード アクションの通知を有効にするには、以下で説明するように、各アクションの受信者のリストを指定する必要があります:
- 所有者 - パスワードの所有者。
- パスワードにアクセスできるユーザー - 所有者によってパスワードが共有されており、いずれかのアクセス権限 (表示のみ / 変更 / フル アクセス) を持つユーザー。これは、この通知が生成された時点でパスワードへのアクセス権を持っているユーザーにのみ適用されます。
- ユーザー - 上記2人の受信者以外の他の個別ユーザー。このオプションに対するリンクをクリックすると、目的のユーザーを選択できます。
- ユーザーグループ - 個別ユーザーグループのユーザー。このオプションに対するリンクをクリックすると、必要なユーザー グループを選択できます。
- 電子メール アドレスを指定 - 電子メール エイリアスまたは電子メール アドレスの指定されたリストに通知を生成します。複数のメールアドレスの場合は、エントリをカンマで区切ります。
- 上記以外、SNMPトラップをネットワーク管理システム生成できます。[パスワード操作を構成]ウインドウでこれらのオプションを選択する前に、[管理者] >> [SNMPトラップ]で、これらの設定をグローバル構成していることを確認します。こちらの関連ヘルプドキュメントを参照してください。
2.通知とあわせたパスワードリセット操作の構成
- 通知送信に加え、操作[パスワード共有が変更されました、パスワードの有効期限が切れました]および[パスワードポリシーに違反しました]に自動パスワードリセットを有効にするオプションもあります。
例えば、
- パスワード共有が削除されても、パスワードを自動リセットする場合は、チェックボックス[共有が削除されたときにパスワードをリセット]を選択して、対応することができます。
- パスワードの有効期限が切れたとき - パスワードポリシーの定義時に有効期間が早めに設定している場合、[有効期限切れ時にパスワードをリセット]を有効にすることができます。
- パスワードが関連づけられたポリシーに違反している場合は、[パスワード ポリシー違反]で[違反時にパスワードをリセット]を有効にします。
- 必要な通知とリセットオプションを有効にしたら、[保存]をクリックします。
注記:
- 上記のすべてのアクションで、電子メール通知は指定された受信者に送信されます。電子メールの内容をカスタマイズするオプションがあります。全詳細は、メールテンプレートを参照してください。
- パスワードリセット操作は、エージェントベースまたはエージェントレスモードを使って、現在サポートされている、および/または正しく構成されている対象者のパスワードにのみ適用および実行できます。