エンタープライズ管理ガイド特権アカウントの実装 › 特権アカウントのセットアップ方法

前のトピック: 特権アカウントの実装

次のトピック: 特権アカウントの検出

特権アカウントのセットアップ方法

特権ユーザ パスワード管理(PUPM)は、組織内で最も強力な権限を持つアカウントに関連付けられたすべてのアクティビティを保護、管理、追跡するプロセスです。 特権アカウント パスワードの使用を開始する前に、CA Access Control エンタープライズ管理 を PUPM 用にセットアップするいくつかの手順を完了する必要があります。 その後、定義した特権アカウントの使用を開始できます。

以下のプロセスでは、特権アカウントをセットアップするためにユーザが完了する必要があるタスクについて説明します。 各プロセス手順を完了するには、指定されたロールが必要です。 システム マネージャ管理ロールが割り当てられているユーザは、このプロセスのすべての CA Access Control エンタープライズ管理 タスクを実行できます。

注: このプロセスを開始する前に、電子メール通知が CA Access Control エンタープライズ管理 内で有効であることを確認します。 CA Access Control エンタープライズ管理 がユーザにパスワードを表示できない場合、代わりに電子メールでユーザにパスワードを送信します。

特権アカウントをセットアップするには、以下の手順に従います。

  1. PUPM ターゲット システム マネージャは、パスワード ポリシーを作成します。 パスワード ポリシーは、特権アカウント パスワードのルールおよび制限事項を設定します。
  2. PUPM ターゲット システム マネージャは、CA Access Control エンタープライズ管理 でエンドポイントを作成します。 エンドポイントは、特権アカウントによって管理されるデバイスです。 CA Access Control エンタープライズ管理 でエンドポイントを作成するか、PUPM フィーダを使用して、エンドポイントをインポートできます。
  3. PUPM ターゲット システム マネージャは、各エンドポイントの特権アカウントを作成します。 特権アカウントを作成することにより、CA Access Control エンタープライズ管理 はアカウントを管理できます。 CA Access Control エンタープライズ管理 で特権アカウントを作成するか、PUPM フィーダを使用して、特権アカウントをインポートできます。
  4. (オプション)システム マネージャはログイン アプリケーションを作成します。また、PUPM ターゲット システム マネージャは、ログイン アプリケーションを使用するために PUPM エンドポイントを変更します。 ログイン アプリケーションによって、ユーザは CA Access Control エンタープライズ管理 から特権アカウントにログインできます。
  5. PUPM ポリシー マネージャは、特権アクセス ロールのメンバ ポリシーを変更します。 メンバ ポリシーは、ロール内のタスクを実行できるユーザを定義します。

    注: Active Directory をユーザ ストアとして使用する場合は、各メンバ ポリシーを変更して、それぞれが対応する Active Directory グループを指すようにすることをお勧めします。 このようにすると、対応する Active Directory グループでユーザを追加または削除することによって、ロール内でユーザを追加または削除できます。 この結果、管理上のオーバーヘッドが大幅に減少します。

  6. (組み込みユーザ ストア) PUPM ユーザ マネージャは、各ユーザのマネージャを指定します。

    注: ユーザによる特権アカウント リクエストは、マネージャのみが承認できます。 ユーザ ストアとして Active Directory を使用する場合は、Active Directory に各ユーザのマネージャが指定されていることを確認します。

  7. (オプション)システム マネージャは、Unicenter Service Desk への接続を設定します。

    Unicenter Service Desk との統合により、特権アカウント リクエストに対して複数の承認プロセスを作成できます。

以下の図に、各プロセス手順を実行する特権アクセス ロールを示します。

次のフローチャートに、特権アクセス アカウントのセットアップ プロセスの各手順を実行する特権アクセス ロールを示します。