|
|
|
エンドポイント上で管理タスクを実行するときには特権アクセスをチェックアウトし、エンドポイント上でのタスクが完了したら特権アクセスをチェックインします。
重要: ユーザには、エンドポイント タイプ上でタスクを実行するためのエンドポイント特権アクセスロールが必要です。 エンドポイント特権アクセス ロールは、ユーザが特権アクセス アカウントを使用してタスクを実行できるエンドポイントのタイプを指定します。 たとえば、Windows エージェントレス エンドポイント特権アクセス ロールをユーザに割り当てた場合、そのユーザは、Windows エンドポイント上で特権アカウントを使用するエンドポイント タスクを実行できます。 ユーザに Break Glass、特権アカウント リクエスト、または PUPM ユーザ ロールを割り当てた場合は、同時にエンドポイント特権アクセスロールも割り当てる必要があります。そのようにしない場合、ユーザはタスクを完了できません。
以下のプロセスでは、ユーザが実行するチェックアウトおよびチェックイン タスクに特権アクセスロールがどのような影響を与えるかについて説明します。
特権アカウントがチェックアウトされます。
注: Break Glass チェックアウトを実行した場合、CA Access Control はロール所有者に通知メッセージを送信します。 ロール所有者は、監査目的でこのメッセージに情報を追加するように選択できます。
特権アカウントがチェックインされます。
次の図に、ユーザが実行するチェックアウトおよびチェックイン タスクに特権アクセス ロールが与える影響を示します。
例: 特権アカウントのチェックアウト
あなたはシステム マネージャ ロールを持っています。 あなたは Joe に対して、PUPM ユーザ ロールおよび Windows エージェントレス接続エンドポイント特権アクセス ロールを割り当てます。 CA Access Control エンタープライズ管理 にログインした Joe には、Windows エンドポイント上で特権アカウントをチェックアウトおよびチェックインするタスクだけが表示されます。
例: 特権アカウントの Break Glass
あなたはシステム マネージャ ロールを持っています。 あなたは Fiona に対して、Break Glass ロールおよび Oracle Server 接続エンドポイント特権アクセス ロールを割り当てます。 Fiona は、Oracle エンドポイントへの即時アクセスを必要としています。 CA Access Control エンタープライズ管理 にログインした Fiona には、Oracle エンドポイント上でアカウントの Break Glass チェックアウトを実行するタスクだけが表示されます。 Fiona は、Oracle 特権アカウントの Break Glass チェックアウトを実行し、 CA Access Control は Break Glass ロール所有者に通知メッセージを送信します。
注: デフォルトでは、Break Glass ロール所有者はシステム マネージャ管理ロールです。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |