エンドポイント上で管理タスクを実行するときには共有アカウントをチェックアウトし、エンドポイント上でのタスクが完了したらアカウントをチェックインします。
重要: ユーザには、エンドポイント タイプ上でタスクを実行するためのエンドポイント特権アクセスロールが必要です。 エンドポイント特権アクセス ロールは、ユーザが特権アクセス アカウントを使用してタスクを実行できるエンドポイントのタイプを指定します。
たとえば、Windows エンドポイント特権アクセス ロールをユーザに割り当てた場合、そのユーザは、Windows エンドポイント上で共有アカウントを使用するエンドポイント タスクを実行できます。 ユーザに Break Glass、特権アカウント要求、または SAM ユーザ ロールを割り当てた場合は、エンドポイント特権アクセス ロールを割り当てます。割り当てなければ、ユーザはタスクを完了できません。
以下のプロセスでは、ユーザが実行するチェックアウトおよびチェックイン タスクに特権アクセス ロールがどのような影響を与えるかについて説明します。
共有アカウントがチェックアウトされます。
注: ユーザが Break Glass チェックアウトを実行した場合、CA ControlMinder はロール所有者に通知します。 ロール所有者は、監査目的でこのメッセージに情報を追加するように選択できます。
共有アカウントがチェックインされます。
次の図に、ユーザが実行するチェックアウトおよびチェックイン タスクに特権アクセス ロールが与える影響を示します。
例: 共有アカウントのチェックアウト
あなたはシステム マネージャ ロールを持っています。 あなたは Joe に対して、SAM ユーザ ロールおよび Windows エージェントレス接続エンドポイント特権アクセス ロールを割り当てます。 CA ControlMinder エンタープライズ管理 にログインした Joe には、Windows エンドポイント上で共有アカウントをチェックアウトおよびチェックインするタスクだけが表示されます。
例: 共有アカウントの Break Glass
あなたはシステム マネージャ ロールを持っています。 あなたは Fiona に対して、Break Glass ロールおよび Oracle Server 接続エンドポイント特権アクセス ロールを割り当てます。 Fiona は、Oracle エンドポイントへの即時アクセスを必要としています。 CA ControlMinder エンタープライズ管理 にログインした Fiona には、Oracle エンドポイント上でアカウントの Break Glass チェックアウトを実行するタスクだけが表示されます。 Fiona は、Oracle 特権アカウントの Break Glass チェックアウトを実行し、 CA ControlMinder は Break Glass ロール所有者に通知メッセージを送信します。
注: デフォルトでは、Break Glass ロール所有者はシステム マネージャ管理ロールです。
|
Copyright © 2013 CA.
All rights reserved.
|
|