PAM360のスーパー管理者

デフォルトでは、PAM360には、個別の権限レベルがある事前定義済のユーザーロールがバンドルされています:

  • 特権管理者
  • 管理者
  • パスワード管理者
  • パスワード監査人
  • パスワードユーザー
  • 接続ユーザー

スーパー管理者は、PAM360が直接提供するユーザー管理ロールではありませんが、管理者がPAM360のすべてのリソースに制限なくアクセスできる特権昇格です。管理者をスーパー管理者に昇格でき、完了すると、他の管理者が作成および所有するすべてのリソースに無条件で完全特権アクセスできるようになります。

メモ:スーパー管理者特権は、特権管理者、管理者、パスワード管理者、および管理者権限があるカスタムロール等の管理者レべルロールがあるユーザーにのみ提供できます。

  1. 管理者をスーパー管理者に昇格させる手順
  2. スーパー管理者ロールを作成するユースケースシナリオ

1.管理者をスーパー管理者に昇格させる手順

管理者をPAM360のユーザーインターフェイスからスーパー管理者ロールに昇格させるには2つの方法があります:

  1. 管理者ユーザーの追加または編集時
  2. カスタムロールの作成時

1.1 管理者ユーザーの追加または編集時

下の手順にしたがって、ユーザーの追加時点または既存の管理者ユーザーの属性を編集して、スーパー管理者に特権を付与します。

  1. [ユーザー]タブに移動します。
  2. [ユーザーを追加] >> [手動で追加]の順にクリックするか、 既存のユーザーの横の[ユーザー操作] >> [ユーザーを編集]オプションの順にクリックします。
    3. super-admin
  3. 開いたウインドウで、アクセスレベルが管理者であることを確認し、[システムのすべてのパスワード]をアクセススコープとして選択します。[保存]をクリックします。

これで、このユーザーは、スーパー管理者として昇格し、同内容がメールで通知されます。詳細は、ユーザーの追加およびユーザーの編集をクリックしてください。.

super-admin

1.2 カスタムロールの作成時

カスタム管理者ロールを作成し、選択した他の機能とあわせて、そこにスーパー管理者権限を付与できます。下の手順にしたがって、カスタムロールを作成します:

  1. [管理者] >> [カスタマイズ] >> [ロール]の順に移動し、[ロールを追加]をクリックします。
  2. ロールを追加ウインドウで、[スーパー管理者権限を有効化]チェックボックスをクリックします。このオプションで、管理者ロールがPAM360のスーパー管理者に昇格します。
    3. super-admin
  3. このカスタムロールが今後、ユーザーに割り当てられる場合、前の手順で説明したとおり、ユーザー属性を編集し、アクセススコープを[システムのすべてのパスワード]に変更します。

2.スーパー管理者ロールを作成するユースケースシナリオ

ケースI:PAM360のすべてのリソースへのアクセス権を取得する

PAM360データベースに保存されているすべてにアクセスする必要がある場合、組織のCIO/CEOのactive directory(AD)またはLDAPアカウント等の組織階層の上部のマネージャをPAM360のスーパー管理者に昇格させることができます。この場合、二要素認証(TFA)がそのPAM360アカウントで有効にしておくのがよいでしょう。これで、ADアカウントが危殆化される場合でも、PAM360のTFAを通過しないで、リソースへのアクセスに使用できなくなります。

ケースII:予備措置の緊急用アカウントとして

管理者権がある従業員の突然解雇等の緊急事態のため、またはサーバー管理者が休暇中にユーザーがそのアカウントへのアクセス権を失ったときにサーバーでセキュリティ対策を実施するため、実行予備措置としてスーパー管理者アカウントを作成しておくことをお勧めします。ただし、この目的ではスーパー管理者を1人のみ作成し、アクセスに厳しい制限をかけておくことが重要です。

PAM360へのスーパー管理者1人以上の追加を無効にでき、既存のスーパー管理者アカウントへのログインアクセスを制限できます。この操作は、スーパー管理者のみが実施できます。手順にしたがって、PAM360への他のスーパー管理者の追加を無効にします:

  1. PAM360にローカル認証アカウントを作成します。
  2. active directoryまたはLDAPから管理者アカウントをインポートし、ローカル管理者アカウントをスーパー管理者に昇格させます。
  3. スーパー管理者を使ってログインし、[管理者] >> [認証] >> [スーパー管理者]の順に移動し、オプション[スーパー管理者の作成を拒否]をクリックします。
    4. スーパー管理者の作成を拒否
  4. スーパー管理者アカウントの使用を制限するには、[管理者] >> [設定] >> [全般設定]の順に移動します。
  5. 左ペインの[ユーザー管理]をクリックし、オプション[ローカル認証を無効化]を選択します。このオプションで、スーパー管理者アカウントのローカル認証は無効になります。
    6. スーパー管理者の作成を拒否

ローカル認証オプションが無効になると、ログインページではもう利用できなくなり、デフォルトの管理者アカウントを使ってPAM360にログインできません。緊急時にこのアカウントへのアクセスを復元するには、サポートチームに連絡し、ローカル認証オプションのログインページに戻し、デフォルトの管理者アカウントを使って、パスワードを復元します。

ケースIII:リソースグループの所有権を一括転送する

PAM360で、スーパー管理者権限があるユーザーは、リソースグループの所有権を一括転送できます。管理者をスーパー管理者に昇格させるには、手順1を参照してください。スーパー管理者権限を使って、リソースグループを一括転送する方法については、ここをクリックしてください。