エンタープライズ管理ガイド › PUPM の実装計画 › 実装時の考慮事項 › PUPM SDK › パスワード コンシューマ SDK アプリケーションがパスワードを取得する方法

パスワード コンシューマ SDK アプリケーションがパスワードを取得する方法

パスワード コンシューマ SDK を使用すると、特権アカウント パスワードを取得、チェックイン、およびチェックアウトするアプリケーションを作成できます。 パスワード コンシューマ SDK を使用するには、以下の手順に従う必要があります。

• アプリケーションが動作するエンドポイントに CA Access Control をインストールする
• アプリケーション用のパスワード コンシューマを CA Access Control エンタープライズ管理 に定義する

PUPM SDK には、次の 2 種類があります。

• Java PUPM SDK
• .NET PUPM SDK

パスワード コンシューマ SDK アプリケーションは、PUPM エージェントと通信します。PUMP エージェントは、メッセージ キューを使用して CA Access Control エンタープライズ管理 と通信します。 PUPM エージェントは、SSL 通信およびポート 7243 を使用してメッセージ キューと通信します。

以下のプロセスでは、パスワード コンシューマ SDK アプリケーションがパスワードを取得する方法を示します。

1. アプリケーションは、PUPM エージェントにパスワード要求を送信します。
2. PUPM エージェントは、パスワード要求を受信します。 CA Access Control は、アプリケーションを実行するユーザの ID を検証し、キャッシュを確認します。 以下のいずれかのイベントが発生します。
   • パスワード要求がキャッシュされる場合、PUPM エージェントは特権アカウント パスワードをアプリケーションに送信します。 このステップで、プロセスが終了します。 CA Access Control エンタープライズ管理 では、パスワード要求の監査レコードは書き込まれません。
   • パスワード要求がキャッシュされない場合、PUPM エージェントはパスワード要求およびアプリケーションの実行ユーザ名を CA Access Control エンタープライズ管理 に送信します。
3. CA Access Control エンタープライズ管理 は要求を受信し、アプリケーションに特権アカウント パスワードの取得権限を与えるパスワード コンシューマが存在することを確認します。

   パスワード コンシューマは、アプリケーションのパス、アプリケーションが要求できる特権アカウント、アプリケーションを実行できるユーザ、およびアプリケーションを実行できるホストを指定します。

4. 以下のいずれかのイベントが発生します。
   • アプリケーションにパスワード取得権限が付与されている場合、CA Access Control エンタープライズ管理 は PUPM エージェントに特権アカウント パスワードを送信します。
   • アプリケーションにパスワード取得権限が付与されていない場合、CA Access Control エンタープライズ管理 は PUPM エージェントにエラー メッセージを送信します。

   どちらの場合も、CA Access Control エンタープライズ管理 はイベントに関する監査レコードを書き込みます。

5. PUPM エージェントは、特権アカウント パスワードまたはエラー メッセージをアプリケーションに送信します。

   アプリケーションが初めて特権アカウント パスワードを取得した場合、PUPM エージェントはパスワードをキャッシュします。

注： 特権アカウント パスワードが変更された場合、CA Access Control エンタープライズ管理 はパスワード変更イベントをエンドポイントにブロードキャストします。 エンドポイントがブロードキャスト メッセージを受信すると、PUPM エージェントは特権アカウント パスワードをキャッシュから削除します。