共有アカウントをチェックアウトできず、アカウントへの即時アクセスを必要としないユーザは、共有アカウント要求をサブミットできます。 マネージャは、その要求を承認または拒否できます。 このトピックでは、共有アカウント要求タスクを実行するために必要な特権アクセス ロールについて説明します。
重要: ユーザには、エンドポイント タイプ上でタスクを実行するためのエンドポイント特権アクセスロールが必要です。 エンドポイント特権アクセス ロールは、ユーザが特権アクセス アカウントを使用してタスクを実行できるエンドポイントのタイプを指定します。
たとえば、Windows エンドポイント特権アクセス ロールをユーザに割り当てた場合、そのユーザは、Windows エンドポイント上で共有アカウントを使用するエンドポイント タスクを実行できます。 ユーザに Break Glass、特権アカウント要求、または SAM ユーザ ロールを割り当てた場合は、エンドポイント特権アクセス ロールも割り当てます。割り当てないと、ユーザはタスクを完了できません。
以下のプロセスでは、ユーザが実行できる共有アカウント要求タスクに特権アクセス ロールがどのような影響を与えるかについて説明します。
注: 共有アカウント要求を受信するには、SAM 承認者ロールが付与されていて、ユーザのマネージャである必要があります。
特権アカウント要求ロールを持つユーザは、共有アカウントをチェックアウトできません。
他のユーザは、要求を承認または拒否できません。 特権アカウント要求ロールを持つユーザは、SAM 承認者が要求の承認を選択するまで共有アカウントをチェックアウトできません。
特権アカウント要求ロールを持つユーザに共有アカウント例外が付与され、そのユーザはアカウントをチェックアウトおよびチェックインできます。
特権アカウント要求ロールを持つユーザは、共有アカウントをチェックアウトできなくなります。
以下の図に、ユーザが実行できる共有アカウント要求タスクに特権アクセス ロールがどのような影響を与えるかを示します。
例: 共有アカウント要求の実行および応答
あなたはシステム マネージャ ロールを持っています。 共有アカウント要求ロールおよび SSH デバイス接続エンドポイント特権アクセス ロールを Alice に割り当てます。 Bob は Alice のマネージャであり、あなたは Bob に SAM 承認者ロールを割り当てます。
CA ControlMinder エンタープライズ管理 にログインした Alice には、UNIX エンドポイントで共有アカウント要求をサブミットするタスクだけが表示されます。 Alice は、UNIX エンドポイントで example_ux アカウントの共有アカウント要求をサブミットします。
CA ControlMinder エンタープライズ管理 にログインした Bob には、共有アカウント要求に応答するタスクだけが表示されます。 Bob は、Alice の共有アカウント要求を許可し、共有アカウント例外の有効期限を午後 6 時までと指定します。 これで、Alice は example_ux アカウントをチェックアウトできるようになりました。 午後6 時で共有アカウント例外は期限切れになり、Alice は example_ux アカウントをチェックアウトできなくなります。
|
Copyright © 2013 CA.
All rights reserved.
|
|