エンタープライズ管理ガイド › SAM の実装計画 › パスワード コンシューマ › パスワード コンシューマがパスワードをオンデマンドで取得する方法
パスワード コンシューマがパスワードをオンデマンドで取得する方法
パスワード コンシューマでは、関連付けられた特権アカウントが別のアプリケーションに対して認証する際に、SAM からパスワードが取得されます。 パスワードをオンデマンドで取得するパスワード コンシューマでは、CA ControlMinder エンタープライズ管理 との通信にメッセージ キューを使用する SAM Agent にパスワード要求が転送されます。
ソフトウェア開発キット、データベース、および Windows 実行ユーザのパスワード コンシューマは、パスワードをオンデマンドで取得します。 スクリプト内のハードコードされたパスワードを置き換える場合は、パスワードをオンデマンドで取得するパスワード コンシューマを使用します。 アプリケーションにより認証を目的としてパスワードが提供される場合は常に、SAM により、ハードコードされたパスワードが特権アカウント パスワードで置き換えられます。
注: オンデマンドでパスワードを取得するパスワード コンシューマを使用するには、SAM 統合機能を有効にした SAM エンドポイント上に CA ControlMinder をインストールする必要があります。
以下のプロセスでは、パスワード コンシューマにより特権アカウント パスワードがオンデマンドで取得される方法が説明されています。
- アプリケーションでは、ユーザ認証を必須とするシステムへの接続が試みられる場合に、ハードコードされたパスワードが使用されます。
- パスワード コンシューマにより、接続の試行がインターセプトされます。
たとえば、OCI パスワード コンシューマでは、Oracle データベースへの接続の試行がインターセプトされます。
- SAM Agent によりキャッシュが確認されます。 以下のいずれかのイベントが発生します。
- 要求がキャッシュされる場合、SAM Agent によりパスワード コンシューマへ特権アカウント パスワードが転送されます。 パスワード コンシューマでは、ハードコードされたパスワードが特権アカウント パスワードに置き換えられます。 アプリケーションでは、システムへのログインに特権アカウント パスワードが使用されます。 このステップで、プロセスが終了します。 CA ControlMinder エンタープライズ管理 では、パスワードの取得に関しては監査レコードには書き込まれません。
- 要求がキャッシュされない場合、SAM Agent により CA ControlMinder エンタープライズ管理 へパスワード要求が転送されます。
- CA ControlMinder エンタープライズ管理 によりメッセージが受け取られ、パスワード コンシューマが特権アカウント パスワードを取得する権限を付与されているかどうかが確認されます。
- 以下のいずれかのイベントが発生します。
- パスワード コンシューマがパスワードを取得する権限を付与されている場合、CA ControlMinder エンタープライズ管理 では SAM Agent に特権アカウント パスワードが送信されます。 SAM Agent により、ハードコードされたパスワードが特権アカウント パスワードに置き換えられます。 アプリケーションでは、システムへのログインに特権アカウント パスワードが使用されます。 CA ControlMinder エンタープライズ管理 により、イベントに関して監査レコードに書き込まれます。
- パスワード コンシューマがパスワードを取得する権限を付与されていない場合、CA ControlMinder エンタープライズ管理 では SAM Agent にエラー メッセージが送信されます。 SAM Agent ではアプリケーションにパスワードが転送されないため、アプリケーションでは、システムへのログインにハードコードされたパスワードが使用されます。
Copyright © 2013 CA.
All rights reserved.
|
|