ユーザーロールと許可の管理

PAM360は、機密パスワードのリポジトリの役割を持つため、データを保護するため、精緻なアクセス制限が重要です。PAM360は、ロールベースのアクセスコントロールによりこれを実現します。

本書の終わりには、以下について学ぶことになります：

1. 事前定義された役割
2. カスタムロール
   • 2.1 カスタムロールを追加する手順
   • 2.2 ロールフィルターを有効化する手順
   • 2.3 ユーザーのロールを変更
   • 2.4 カスタムロールを編集/削除
3. 管理者ライセンスが必要な操作のリスト
4. よくある質問
   

1.事前定義された役割

デフォルトでは、PAM360には、個別の権限セットと込みで事前定義済のロールが6個あります:

1. 特権管理者には、管理者と同じ権限があります。これに加え、プライバシー設定、IP制限、および緊急ソチで利用可能なプライバシーとセキュリティコントロールを構成する権限もあります。
2. 管理者は、PAM360アプリケーションをセットアップ、構成、および管理します。このロールがあるユーザーは、すべてのユーザー、リソースおよびパスワード関連の操作を管理でき、監査レコードとレポートにアクセスできます。ただし、同ユーザーが作成し、他のユーザーと共有したリソースとパスワードのみ表示できます。
3. パスワード管理者は、リソースとパスワード関連操作を実行できます。ただし、同ユーザーが作成し、他のユーザーと共有したリソースとパスワードのみ表示できます。
4. パスワード監査担当者にはパスワードユーザーと同じ権限があります。また、レコードとレポートを監査するアクセス権があります。
5. パスワードユーザーは、管理者および/またはパスワード管理者が共有するパスワードを表示できるのみます。これ以外に、このれらのロールがあるユーザーは、共有許可でその権限が付与されている場合、共有したパスワードを修正することができます。
6. 接続ユーザーにはパスワードユーザーと同じ権限があります。また、リモート接続を実行、ファイル転送を実行、一定のリモートアプリと関連づけられたリソースが管理者と共有されたときにリモートアプリにアクセスできます。リモートアプリについての詳細は、ここをクリックしてください。

ロール	操作
	ユーザーを管理	パスワードを管理	パスワードを管理	パスワードを表示	個人パスワードの管理	監査とレポートを表示	プライバシーとセキュリティコントロール	リモートアクセス、ファイル転送、およびリモートアプリアクセス
管理者
パスワード管理者
権限付き管理者
パスワードユーザー
パスワード監査担当者
接続ユーザー
ロールには関係なく、個人パスワードは、個人ユーザーには除外されたままになり、他のユーザーは、管理できません。

 

注記：管理者/パスワード管理者/特権管理者は、スーp-管理者にすることができます。スーパー管理者には、どのユーザーがリソースに追加したかには関係なく、PAM360に保存されたすべてのリソースを表示および管理する権限ｈがあります。セキュリティ上の理由から、ユーザーは、他のPAM360管理者によってのみ、スーパー管理者になることができます。スーパー管理者ロールの作成方法についての詳細は、ここをクリックしてください。

2.カスタムロール

PAM360で事前定義したロールに加え、管理者は、ユーザーにカスタムロールを作成することもできます。ロールカスタマイズオプションで、PAM360で利用可能な100以上の操作のリストから希望のオプションを選択して、新しいロールを最初から作成することができます。追加のセキュリティ対策として、カスタムロール作成向けにデュアルコントロールを実行します。1人の管理者が追加した新しいカスタムロールはいずれも、別の管理者による承認が必要です。

2.1 カスタムロールを追加する手順

新しい「カスタム」ロールを追加するには、以下の手順に従います：

1. [管理] >> [カスタマイズ] >> [ロール]の順に移動します。
   
2. ロールGUIで、［ロールを追加］をクリックします。新しいGUIウインドウが開きます。その中で、作成する新しいロールの名前と説明を、必要な内容にあわせて入力します。
3. 新しいロールをはじめから作成する場合は、このロールはPAM360で何ができるか、および何ができないかについてロールのスコープを定義する必要があります。これは、次の手順、すなわち、利用可能な操作のリストから希望のオプションを選択して、ロールのスコープを定義する手順です。これらの操作は、パスワードユーザー、組織、およびその他（GUIの左側の列に表示）等の各種セクションでカテゴライズされます。
   

要件にあわせて必要な操作を円卓する。理解を深めるため、ここで2つのカスタムロールの例と、各例で選択が必要な操作のリストを示します：

1.リソース追加とパスワードリセットのロール: このロールは、組織の中でリソースの一部のメンテナンスを行う技術担当者補佐に最適です。このロールでは、技術担当者は、エンドからリソース/アカウントを追加、所有するリソースを修正、パスワードをリセット、およびリソースにPAM360から接続できます。このタイプのロールに選択する基本操作は、以下のとおりです：

1. パスワード
   1. リソース
      1. リソース表示タブ
      2. 手作業で追加
      3. 編集
      4. 削除
      5. 報告
   2. アカウント
      1. リソースタブにアカウントを表示
      2. 手作業で追加
      3. 編集
      4. 削除
      5. 移動
   3. パスワードリセット
      1. アカウントのパスワード検証
      2. ローカルパスワードリセット
      3. リモートパスワードのリセット
2. リモートアクセス
   1. リモートアクセス
      1. 接続表示タブ
      2. マシンへのリモート接続
      3. 自動ログオンヘルパーを管理
      4. ファイル転送
         1. ファイルのアップロード
         2. ファイルをダウンロード
         3. ファイルを転送
      5. RemoteApp
         1. RemoteApp 自動ログオン
         2. RemoteAppの管理
         3. 接続設定の構成
3. カスタム設定
   1. カスタム設定
      1. パスワードをエクスポート
      2. ユーザーによる個人パスワード管理を許可

2.ユーザー管理ロール: PAM360への新しいユーザーの追加、ユーザープオファイルの編集/削除、ロールの変更、ユーザー間のリソース転送等、ユーザー管理のみを目的とするロールを作成する場合、リストから選択が必要な基本操作は以下のとおりです：

1. ユーザー
   1. Webユーザーを管理
      1. ユーザーを手動で追加
      2. ADからインポート
      3. LDAPからインポート
      4. Azureからインポートする
      5. ファイルからインポート
      6. 編集
      7. 削除
   2. APIユーザーを管理
   3. ユーザーロールを変更
   4. ユーザーが所有するリソースを転送
   5. ユーザーレポート
2. ユーザー認証プロトコル
   1. Active Directoryを管理
   2. Azure ADを管理
   3. RADIUS認証を管理
   4. 二要素認証を管理
   5. LDAPを管理
   6. SAMLシングルサインオンを管理
   7. スマートカード認証を管理
   8. ユーザーエージェント（ブラウザアドオン/モバイルアプリ）からアクセスを管理
3. ユーザーグループ
   1. 追加
   2. ユーザーをユーザーグループに/から追加/削除
   3. ユーザーグループレポート
   4. 削除
   5. ユーザーグループ設定を管理

上の例以外に、適切な操作を選択してエンタープライズニーズにあわせてロールをカスタマイズできます。

オプション手順ただし、新しいロールをはじめから作成しない場合、以前作成したPAM360の事前定義済ロールまたはカスタムロールのいずれかを［既存のロールをテンプレートとして使用］で新しいロールの基本テンプレートとして選択できます。ドロップダウンからロールを選択したら、そのロールにプレセットされている許可レベルがその新しいロールに適用されます。

2.2 ロールフィルターを有効化する手順

ロールフィルターオプションで、ユーザー追加GUIのアクセスレベルフィールドに表示されるロールのリストを選択できます。ロールフィルターを使って、新しく追加された、またはロールを変更されたユーザーに割当が必要なロールを制限できます。

ロールフィルターを有効化する手順は以下のとおりです：

1. ［管理者］ >> ［ロール］ >> ［ロールフィルター］の順に移動します。［ロールフィルターを有効化］ボックスにチェックを入れます。
2. これで、どのロールを有効/無効にするか、各ボックスで並べ替えるかを決定できます。有効化したボックスのロールのみ、新しいユーザー追加またはロール変更中に表示されます。完了したら、［保存］をクリックします。ロールフィルターが適用されます。
   

2.3 ユーザーにロールを変更する手順

下の手順にしたがって、異なるユーザーに割り当てられたロールを一括で簡単に変更できます

1. ［管理者］ >> ［ロール］ >> ［ロールを変更］の順に進みます。
2. 開いた新しいGUIウインドウで、個別ロールに属するすべてのユーザーのリストを初めに表示する場合、テーブル上のフィルターを使って、そのロールを選択します。そのロールに関連づけられたユーザーが表示されます。ロールの変更が必要なユーザーを選択します。
3. 次に、選択したユーザーに割当が必要なロールを選択し、［ロールを変更］をクリックします。
   

2.4 カスタムロールを編集/削除する手順

1. カスタムロールを編集/修正するには、特定ロールの横の［編集］アイコンをクリックし、必要な変更を実行します。続いて、［プレビューと保存］をクリックします。編集内容を検証して、［保存］をクリックします。ロールを適用する前に、編集内容も、別の管理者による承認待ちのキューに入ります。ロールの編集の承認待ちは、個別ロールの横にある[承認待ち]オプションをクリックして表示できます。下の画像で、赤色はロールから削除された操作、また青色はロールに追加された操作を指します。
2. ロールを削除するには、［削除］アイコンをクリックします。削除する前に、その特定ロールに関連づけられたユーザーを別のロールに転送するよう求められます。ユーザーを別のロールにマッピングした後、［保存と削除］をクリックします。
   

3.管理者ライセンスが必要な操作のリスト

ロールカテゴリ：パスワード

1. リソース
   • インポート
   • 検出
   • カスタマイズ
   • 編集
   • 転送
   • コピー
   • サービスアカウントとスケジュール設定したタスクを管理
2. アカウント
   • 検出
   • カスタマイズ
3. パスワードのリセット
   • パスワード検証 - 多数のアカウントを一括
   • パスワードリセット - 一括
4. リソースグループ
   • 追加
   • 削除
   • 転送
   • 編集
   • レポートを生成
5. アクセスコントロール
   • 構成
   • パスワードアクセス要求を承認
6. パスワードを共有
   • アカウントを共有(ユーザーおよびユーザーグループと)
   • リソースを共有(ユーザーおよびユーザーグループと)
   • リソースグループを共有(ユーザーおよびユーザーグループと)

1. ユーザー
   • Webユーザーを管理
     • ユーザーを手作業で追加
     • ADからインポート
     • LDAPからインポート
     • Azureからインポートする
     • ファイルからインポート
     • 編集
     • 削除
   • APIユーザーを管理
   • ユーザーロールを変更
   • ユーザーが所有するリソースを転送
   • アクセルコントロール権限を転送
   • レポートを生成
2. ユーザー認証プロトコル
   • Active Directoryを管理
   • Azure ADを管理
   • RADIUS認証を管理
   • 二要素認証を管理
   • LDAPを管理
   • SAMLシングルサインオンを管理
   • スマートカード認証を管理
   • ユーザーのブラウザ拡張機能/モバイルアクセスを管理
3. ユーザーグループ
   • 追加
   • 既存のグループを修正
   • 削除
   • ユーザーグループ設定を管理
   • レポートを生成

このカテゴリで指定したすべての操作には、管理者ライセンスが必要です。

1. リモートアクセス
   • 自動ログオンヘルパーを管理
2. リモートセッション
   • セッション記録を構成
   • アクティブセッションに参加
   • アクティブセッションを終了

• クエリレポートを生成

• データベースのバックアップ
• フェールオーバーサービス
• プロキシ設定
• SSL設定(サーバー設定)
• 高可用性
• メールサーバーの設定
• イベントロギング設定
• PAM360 Server設定(タブの環境設定、リブランド、ログレベル、全般設定を変更)

• メールテンプレートを管理
• パスワード リセット リスナーを管理
• パスワード管理API
• 発券システム統合を管理
• スケジュールを管理
• サポート情報を表示
• オフラインアクセスの設定を管理
• パスワードポリシーを管理
• リソースの種類を管理
• ランディングサーバーを管理
• ライセンスを管理
• カスタムロールを作成
• PAM360エージェントをダウンロード

4.よくある質問

1.一部の操作には、魔法の杖アイコンでマークされます。これはどういう意味ですか？

魔法の杖の後のオプションは、管理者の操作の資格があるものを指します。これらの杖のマークが付いた操作の1つで作成したカスタムロールは、管理者に等しいロールとみなされます。杖マークが付いた操作で。必要な分のカスタムロールが作成できますが、ロールは、PAM360のユーザーに割り当てられたときにのみ、ライセンスについてカウントされます。例えば、ライセンス付与により10管理者を持つことができ、杖マークが付いた操作が1つ以上あるカスタムロールがある場合、このロールをユーザーに割り当てると、PAM360インストールに割り当てられた10ライセンスのうち1としてカウントされます。

2.PAM360では誰がカスタムロールを作成できますか？

基本的に、カスタムロールの作成は、管理操作です。PAM360の事前定義済ロールの中では、管理者、特権管理者およびスーパー管理者（作成してある場合）のみ、カスタムロールの作成権限があります。それ以外に、カスタム設定で［カスタムロールを作成］オプションを選択して、未来のカスタムロール作成権限があるカスタムロールを認証することもできます。(下の画像を参照してください)

また、この新しいロールにスーパー管理者となる権限を付与する場合、「このロールでスーパー管理者機能を有効化」.ボックスにチェックを入れます。このオプションを有効にすると、このロールを割り当てられたユーザーが、ユーザー作成時にスーパー管理者となることができます

上で説明したすべての手順を完了した後、［プレビューと保存］をクリックします。プレビューボックスが開き、そのロールについて選択した操作が一覧表示されます。確認して、［保存］をクリックします。新しいロールが作成され、別の管理者による承認待ちとなります。承認保留中のロールを表示するには、［ロール要求］をクリックします。

ロールがレビューおよび承認されたら、希望のユーザーに割当を開始できます。新しいユーザーの開始とそのユーザーへのロールん割当方法についての詳細は、ここをクリックしてください。

3.カスタムロールを削除できません。なぜでしょうか？

ロールがすぐに削除できない場合が2つあります：

1. ユーザータイプロールの削除を検討してください。このロールに関連づけられた、削除前に別のロールに転送が必要な5つのユーザーがあります。転送に選択したロールは、ユーザータイプロールか、十分な管理者ライセンスがある場合は、管理者タイプロールの場合もあります。ただし、管理者ライセンスが残っている場合、ユーザーをユーザータイプロールから管理者タイプロールに転送することはできません。また、関連づけられたユーザーを転送する既存のユーザータイプロールがない場合、PAM360では、選択したロールを削除することができます。そのような場合、新しいユーザータイプのカスタムロールを作成するか、追加ライセンスを購入する必要があります。
2. 別のシナリオはロールが原因の場合があります。ロールフィルター設定を切り替え、フィルターの既存のユーザータイプロールをすべて無効にしたとします。これで、ユーザータイプロールの削除を試みると、フィルターにより、関連づけられたユーザーのみを管理者タイプロールに転送することができます。ただし、管理者ライセンスの残りがゼロの場合、転送を完了できないか、ロールを削除できません。そのような場合、ロールフィルター設定で少なくとも1つのユーザータイプロールを有効にするか、追加ライセンスを購入する必要があります。