comprendre les composants de MIM PAM

Privileged Access Management maintient un accès administratif distinct des comptes d’utilisateur quotidiens à l’aide d’une forêt distincte.

Notes

l’approche PAM fournie par MIM est destinée à être utilisée dans une architecture personnalisée pour les environnements isolés où l’accès Internet n’est pas disponible, lorsque cette configuration est requise par la réglementation, ou dans des environnements isolés à fort impact tels que des laboratoires de recherche hors ligne et des environnements de contrôle et d’acquisition de données déconnectés. Si votre Active Directory fait partie d’un environnement connecté à Internet, consultez sécurisation de l’accès privilégié pour plus d’informations sur l’emplacement de démarrage.

Cette solution s’appuie sur des forêts parallèles :

  • CORP : forêt d’entreprise à usage général qui inclut un ou plusieurs domaines. Même si vous pouvez avoir plusieurs forêts CORP, les exemples de ces articles, par souci de simplicité, partent du principe qu’il y a une forêt unique avec un domaine unique.
  • PRIV : forêt dédiée créée spécialement pour ce scénario PAM. Cette forêt comprend un domaine qui accueille des groupes et des comptes privilégiés, masqués par rapport à un ou plusieurs domaines CORP.

La solution MIM configurée pour PAM inclut les composants suivants :

  • Service MIM : implémente la logique métier permettant d’effectuer des opérations de gestion des identités et des accès, notamment la gestion des comptes privilégiés et le traitement des demandes d’élévation.
  • MIM portal: portail basé sur SharePoint, hébergé par SharePoint 2013 ou version ultérieure, qui fournit une interface utilisateur de gestion et de configuration des administrateurs.
  • MIM base de données de Service: stockée dans SQL Server 2012 ou version ultérieure, et contient les données d’identité et les métadonnées requises pour MIM Service.
  • Service de surveillance PAM et Service de composants PAM : deux services qui gèrent le cycle de vie des comptes privilégiés, et qui aident PRIV AD à prendre en charge le cycle de vie de l’appartenance aux groupes.
  • Applets de commande PowerShell : permettent d’indiquer au service MIM et à PRIV AD les utilisateurs et groupes correspondant aux utilisateurs et groupes de la forêt CORP pour les administrateurs PAM. Elles permettent également aux utilisateurs finals qui effectuent des demandes de type « juste-à-temps » d’accéder aux privilèges d’un compte d’administration.
  • API REST PAM et exemple de portail : pour les développeurs qui intègrent MIM dans le scénario PAM avec des clients personnalisés à des fins d’élévation, sans devoir utiliser PowerShell ou SOAP. L'utilisation de l'API REST est illustrée par un exemple d'application web.

Une fois installé et configuré, chaque groupe créé par la procédure de migration dans la forêt PRIV est un groupe principal étranger qui reflète le groupe dans la forêt CORP d’origine. Le groupe principal étranger fournit les utilisateurs qui sont membres de ce groupe avec le même SID dans leur jeton Kerberos que le SID du groupe dans la forêt CORP. Par ailleurs, quand le service MIM ajoute des membres à ces groupes dans la forêt PRIV, ces appartenances ont une durée limitée.

Ainsi, quand un utilisateur demande une élévation à l'aide des applets de commande PowerShell, si sa demande est approuvée, le service MIM ajoute son compte de la forêt PRIV à un groupe de la forêt PRIV. Quand l'utilisateur se connecte avec son compte privilégié, son jeton Kerberos contient un identificateur de sécurité (SID) identique au SID du groupe dans la forêt CORP. Dans la mesure où la forêt CORP est configurée pour approuver la forêt PRIV, le compte avec élévation de privilèges, utilisé pour accéder à une ressource de la forêt CORP, apparaît pour une ressource vérifiant l'appartenance à un groupe Kerberos comme un membre des groupes de sécurité de cette ressource. Cela est dû à l'authentification inter-forêts Kerberos.

En outre, ces appartenances ont une durée limitée. Ainsi, après un délai préconfiguré, le compte d'administration de l'utilisateur cesse de faire partie du groupe dans la forêt PRIV. Ce compte ne permet donc plus d'accéder à des ressources supplémentaires.