エンタープライズ管理ガイド › PUPM の実装計画 › パスワード コンシューマ › パスワード コンシューマがパスワードをオンデマンドで取得する方法

パスワード コンシューマがパスワードをオンデマンドで取得する方法

パスワード コンシューマでは、関連付けられた特権アカウントが別のアプリケーションに対して認証する際に、PUPM からパスワードが取得されます。 パスワードをオンデマンドで取得するパスワード コンシューマでは、CA Access Control エンタープライズ管理 との通信にメッセージ キューを使用する PUPM Agent にパスワード要求が転送されます。

ソフトウェア開発キット、データベース、および Windows 実行ユーザのパスワード コンシューマは、パスワードをオンデマンドで取得します。 スクリプト内のハードコードされたパスワードを置き換える場合は、パスワードをオンデマンドで取得するパスワード コンシューマを使用します。 アプリケーションにより認証を目的としてパスワードが提供される場合は常に、PUPM により、ハードコードされたパスワードが特権アカウント パスワードで置き換えられます。

注： オンデマンドでパスワードを取得するパスワード コンシューマを使用するには、PUPM 統合機能を有効にした PUPM エンドポイント上に CA Access Control をインストールする必要があります。

以下のプロセスでは、パスワード コンシューマにより特権アカウント パスワードがオンデマンドで取得される方法が説明されています。

1. アプリケーションでは、ユーザ認証を必須とするシステムへの接続が試みられる場合に、ハードコードされたパスワードが使用されます。
2. パスワード コンシューマにより、接続の試行がインターセプトされます。

   たとえば、OCI パスワード コンシューマでは、Oracle データベースへの接続の試行がインターセプトされます。

3. PUPM Agent によりキャッシュが確認されます。 以下のいずれかのイベントが発生します。
   • 要求がキャッシュされる場合、PUPM Agent によりパスワード コンシューマへ特権アカウント パスワードが転送されます。 パスワード コンシューマでは、ハードコードされたパスワードが特権アカウント パスワードに置き換えられます。 アプリケーションでは、システムへのログインに特権アカウント パスワードが使用されます。 このステップで、プロセスが終了します。 CA Access Control エンタープライズ管理 では、パスワードの取得に関しては監査レコードには書き込まれません。
   • 要求がキャッシュされない場合、PUPM Agent により CA Access Control エンタープライズ管理 へパスワード要求が転送されます。
4. CA Access Control エンタープライズ管理 によりメッセージが受け取られ、パスワード コンシューマが特権アカウント パスワードを取得する権限を付与されているかどうかが確認されます。
5. 以下のいずれかのイベントが発生します。
   • パスワード コンシューマがパスワードを取得する権限を付与されている場合、CA Access Control エンタープライズ管理 では PUPM Agent に特権アカウント パスワードが送信されます。 PUPM Agent により、ハードコードされたパスワードが特権アカウント パスワードに置き換えられます。 アプリケーションでは、システムへのログインに特権アカウント パスワードが使用されます。 CA Access Control エンタープライズ管理 により、イベントに関して監査レコードに書き込まれます。
   • パスワード コンシューマがパスワードを取得する権限を付与されていない場合、CA Access Control エンタープライズ管理 では PUPM Agent にエラー メッセージが送信されます。 PUPM Agent ではアプリケーションにパスワードが転送されないため、アプリケーションでは、システムへのログインにハードコードされたパスワードが使用されます。