特権アクセスロールの使用

エンタープライズ管理ガイド › PUPM の実装計画 › 特権アクセスロールおよび特権アカウント › 特権アクセスロールの使用

特権アクセスロールの使用

企業の要件に応じて PUPM をセットアップする前に、以下のポイントを考慮する必要があります。

ユーザストアとして Active Directory を使用し、各ロールのメンバポリシーを変更して、それぞれが Active Directory のグループを指すようにすることをお勧めします。この方法でセットアップしたロールからユーザを追加または削除するには、Active Directory グループからユーザを追加または削除します。これにより、管理上のオーバーヘッドが減少します。
ユーザストアとして Active Directory を使用する場合は、CA Access Control エンタープライズ管理を使用してユーザまたはグループを作成または削除できません。ユーザおよびグループの作成と削除は、Active Directory 内だけで行うことができます。
あるロールに対してメンバポリシーが定義されている場合、PUPM ユーザマネージャがそのロールをユーザに割り当て、ユーザがそのメンバポリシーに適合しないときには、CA Access Control はそのユーザにロールを割り当てません。メンバポリシーで定義されるルールは、PUPM ユーザマネージャによる割り当てに優先します。
特権アカウントリクエストに応答するには、PUPM 承認者ロールを持っており、かつ要求ユーザのマネージャである必要があります。組み込みユーザストアを使用すると、CA Access Control エンタープライズ管理では、ユーザの作成タスクおよびユーザの変更タスクでユーザのマネージャを指定できます。
CA Access Control では、そのまま使用できる Break Glass、PUPM 承認者、特権アカウントリクエスト、および PUPM ユーザロールがすべてのユーザに割り当てられます。この動作を変更するには、各ロールのメンバポリシーを変更します。
ロールのスコープルールを変更して、そのロールがアクセスできる特定のエンドポイントおよび特権アカウントを定義できます。スコープルールを使用すると、組織全体の特権アカウントへのアクセスを詳細に指定できます。スコープルールは、ロールのメンバポリシーで定義します。

詳細情報：

メンバポリシー

このトピックについて CA Technologies に電子メールを送信する

特権アクセス ロールの使用

特権アクセスロールの使用