密码使用方按需获取密码的方式

当关联的特权帐户验证其他应用程序时，密码使用方从 SAM 检索密码。按需获取密码的密码使用方将密码请求转发到 SAM 代理，该代理使用消息队列与 CA ControlMinder 企业管理进行通信。

“软件开发工具包”、“数据库”和“Windows 运行身份”密码使用方按需获取密码。您使用按需获取密码的密码使用方来替换脚本中的硬编码密码。无论何时应用程序提供密码用于身份验证时，SAM 都会将硬编码密码替换成特权帐户密码。

注意：您必须在启用了“SAM 集成”功能的 SAM 端点上安装 CA ControlMinder 才能使用按需获取密码的密码使用方。

以下过程说明了密码使用方按需获取特权帐户密码的方式：

应用程序使用硬编码密码来尝试连接到需要用户身份验证的系统。
密码使用方会拦截连接尝试。
例如，OCI 密码使用方会拦截连接到 Oracle 数据库的尝试。
SAM 代理检查缓存。会出现以下情况之一：
- 如果请求已缓存，SAM 代理将特权帐户密码转发给密码使用方。密码使用方将硬编码密码替换成特权帐户密码。应用程序使用特权帐户密码登录到系统。该过程在此步骤完成。 CA ControlMinder 企业管理不写入密码检索的审核记录。
- 如果请求没有缓存，SAM 代理会将密码请求转发给 CA ControlMinder 企业管理。
CA ControlMinder 企业管理接收消息并检查密码使用方是否有权获取特权帐户密码。
会出现以下情况之一：
- 如果密码使用方有权获取密码，CA ControlMinder 企业管理会将特权帐户密码发送到 SAM 代理。 SAM 代理将硬编码密码替换为特权帐户密码。应用程序使用特权帐户密码登录到系统。 CA ControlMinder 企业管理写入事件的审核记录。
- 如果密码使用方无权获得密码，CA ControlMinder 企业管理会将错误消息发送到 SAM 代理。 SAM 代理不将密码转发给应用程序，因此应用程序使用硬编码密码登录到系统。