企业管理指南 › 规划您的 PUPM 实施 › 特权访问角色和特权帐户 › 特权访问角色如何影响特权帐户请求任务

特权访问角色如何影响特权帐户请求任务

如果用户无法签出特权帐户而且不需要对该帐户进行即时访问，用户可以提交特权帐户请求。 经理可以批准或拒绝特权帐户请求。 该主题说明了用户需要哪种特权访问角色来执行特权帐户请求任务。

重要说明！ 用户必须有端点特权访问角色才能在端点类型上执行任务。 端点特权访问角色使用授权访问帐户指定用户可以执行任务的端点类型。

例如，如果您将 Windows 端点特权访问角色分配给用户，用户可以在使用特权帐户的 Windows 端点上执行端点任务。 如果您将“紧急情况”、“特权帐户请求”或“PUPM 用户”角色分配给用户，您还必须为其分配端点特权访问角色，否则用户将不能完成任何任务。

以下过程说明了特权访问角色如何影响用户可以执行的特权帐户请求任务：

1. 具有“特权帐户请求”角色的用户请求对特权帐户的访问。
2. CA Access Control 将特权帐户请求发送给用户的经理，该经理还具有“PUPM 批准人”角色。

   注意：用户必须具有“PUPM 批准人”角色并且是用户的经理才能接收特权帐户请求。

3. 具有“PUPM 批准人”角色的用户对特权帐户请求作出响应，并执行以下操作之一：
   • 拒绝特权帐户请求。

     具有“特权帐户请求”角色的用户无法签出特权帐户。

   • 保留特权帐户请求。

     没有其他用户可以批准或拒绝特权帐户请求。 具有“特权帐户请求”角色的用户无法签出特权帐户，直到“PUPM 批准人”选择批准该请求。

   • 批准特权帐户请求。

     具有“特权帐户请求”角色的用户被授予特权帐户异常，并且可以签出和签入特权帐户。

4. 特权帐户异常由于以下某项原因而到期：
   • 到达了在特权帐户异常中指定的截止时间。
   • 具有“PUPM 目标系统管理员”角色的用户删除特权帐户异常。

   具有“特权帐户请求”角色的用户无法再签出特权帐户。

下图说明了特权访问角色如何影响用户可以执行的特权帐户请求任务：

示例：提出特权帐户请求和对其作出响应

您具有“系统管理员”角色。 您为 Alice 分配“特权帐户请求”角色和 SSH 设备连接端点特权访问角色。 Bob 是 Alice 的经理，您为 Bob 分配“PUPM 批准人”角色。

Alice 登录到 CA Access Control 企业管理，仅会看到让她针对 UNIX 端点上的帐户提交特权帐户请求的任务。 Alice 针对 UNIX 端点上的 example_ux 帐户提交特权帐户请求。

Bob 登录到 CA Access Control 企业管理，仅会看到让他回应特权帐户请求的任务。 Bob 批准 Alice 的授权访问请求，并指定特权帐户异常在下午 6 点之前有效。 现在，Alice 可以签入和签出 example_ux 特权帐户。 下午 6 点时，特权帐户异常到期，而 Alice 不能再签出 example_ux 特权帐户。