|
|
|
特権アカウントをチェックアウトできず、アカウントへの即時アクセスを必要としないユーザは、特権アカウント リクエストをサブミットできます。 ユーザのマネージャは、その特権アカウント リクエストを承認または拒否できます。 このトピックでは、特権アカウント リクエスト タスクを実行するために必要な特権アクセス ロールについて説明します。
重要: ユーザには、エンドポイント タイプ上でタスクを実行するためのエンドポイント特権アクセスロールが必要です。 エンドポイント特権アクセス ロールは、ユーザが特権アクセス アカウントを使用してタスクを実行できるエンドポイントのタイプを指定します。 たとえば、Windows エージェントレス エンドポイント特権アクセス ロールをユーザに割り当てた場合、そのユーザは、Windows エンドポイント上で特権アカウントを使用するエンドポイント タスクを実行できます。 ユーザに Break Glass、特権アカウント リクエスト、または PUPM ユーザ ロールを割り当てた場合は、同時にエンドポイント特権アクセスロールも割り当てる必要があります。そのようにしない場合、ユーザはタスクを完了できません。
以下のプロセスでは、ユーザが実行できる特権アカウント リクエスト タスクに特権アクセス ロールがどのような影響を与えるかについて説明します。
注: 特権アカウント リクエストを受信するには、PUPM 承認者ロールが付与されており、かつユーザのマネージャである必要があります。
特権アカウント リクエスト ロールを持つユーザは、特権アカウントをチェックアウトできません。
他のユーザは、特権アカウント リクエストを承認または拒否できません。 特権アカウント リクエスト ロールを持つユーザは、PUPM 承認者がリクエストの承認を選択するまで特権アカウントをチェックアウトできません。
特権アカウント リクエスト ロールを持つユーザに特権アカウント例外が付与され、そのユーザは特権アカウントをチェックアウトおよびチェックインできます。
特権アカウント リクエスト ロールを持つユーザは、特権アカウントをチェックアウトできなくなります。
以下の図に、ユーザが実行できる特権アカウント リクエスト タスクに特権アクセス ロールがどのような影響を与えるかを示します。
例: 特権アカウント リクエストの実行および応答
あなたはシステム マネージャ ロールを持っています。 あなたは Alice に対して、特権アカウント リクエスト ロールおよび SSH Device 接続エンドポイント特権アクセス ロールを割り当てます。 Bob は Alice のマネージャであり、あなたは Bob に PUPM 承認者ロールを割り当てます。
CA Access Control エンタープライズ管理 にログインした Alice には、UNIX エンドポイントで特権アカウント リクエストをサブミットするタスクだけが表示されます。 Alice は、UNIX エンドポイントで example_ux アカウントの特権アカウント リクエストをサブミットします。
CA Access Control エンタープライズ管理 にログインした Bob には、特権アカウント リクエストに応答するタスクだけが表示されます。 Bob は、Alice の特権アカウント リクエストを許可し、その有効期限を午後 6 時までと指定します。 これで、Alice は example_ux 特権アカウントをチェックアウトできるようになりました。 午後6 時で特権アカウント例外は期限切れになり、Alice は example_ux 特権アカウントをチェックアウトできなくなります。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |