エンタープライズ管理ガイド › SAM の実装計画 › 特権アクセス ロールおよび特権アカウント › 特権アクセス ロールの使用
特権アクセス ロールの使用
企業の要件に応じて SAM をセットアップする前に、以下のポイントを考慮する必要があります。
- ユーザ ストアとして Active Directory を使用し、各ロールのメンバ ポリシーを変更して、それぞれが Active Directory のグループを指すようにすることをお勧めします。 この方法でセットアップしたロールからユーザを追加または削除するには、Active Directory グループからユーザを追加または削除します。 これにより、管理上のオーバーヘッドが減少します。
- ユーザ ストアとして Active Directory を使用する場合は、CA ControlMinder エンタープライズ管理 を使用してユーザまたはグループを作成または削除できません。 ユーザおよびグループの作成と削除は、Active Directory 内だけで行うことができます。
- あるロールに対してメンバ ポリシーが定義されている場合、SAM ユーザ マネージャがそのロールをユーザに割り当て、ユーザがそのメンバ ポリシーに適合しないときには、CA ControlMinder はそのユーザにロールを割り当てません。 メンバ ポリシーで定義されるルールは、SAM ユーザ マネージャによる割り当てに優先します。
- 特権アカウント リクエストに応答するには、SAM 承認者ロールを持っており、かつ要求ユーザのマネージャである必要があります。 組み込みユーザ ストアを使用すると、CA ControlMinder エンタープライズ管理 では、ユーザの作成タスクおよびユーザの変更タスクでユーザのマネージャを指定できます。
- CA ControlMinder では、そのまま使用できる Break Glass、SAM 承認者、特権アカウント リクエスト、および SAM ユーザ ロールがすべてのユーザに割り当てられます。 この動作を変更するには、各ロールのメンバ ポリシーを変更します。
- ロールのスコープ ルールを変更して、そのロールがアクセスできる特定のエンドポイントおよび特権アカウントを定義できます。 スコープ ルールを使用すると、組織全体の特権アカウントへのアクセスを詳細に指定できます。 スコープ ルールは、ロールのメンバ ポリシーで定義します。
詳細情報:
メンバ ポリシー
|
Copyright © 2013 CA.
All rights reserved.
|
|
