Informations de référence sur l’API REST Privileged Access Management

Microsoft Identity Manager (MIM) 2016 ajoute un nouveau scénario appelé gestion des accès privilégiés (Privileged Access Management, PAM). PAM permet à une organisation d'avoir davantage de contrôle sur les droits des comptes d'utilisateur dotés de privilèges élevés (par exemple les administrateurs système ou administrateurs de services fédérés) pour l'accès aux ressources sensibles. PAM contrôle l'accès d'un compte doté de privilèges élevés en fournissant des droits d'accès à durée limitée, de type « juste-à-temps », quand ces droits d'accès sont nécessaires.

Un utilisateur peut demander au service MIM des droits d'accès privilégiés (élévation) de deux manières :

  • À l’aide de l’API REST PAM.
  • À l’aide de l’applet de commande PAM PowerShell New-PAMRequest.

Les rubriques de ce guide décrivent l'API REST PAM. pour plus d’informations sur l’utilisation de l’applet de commande PowerShell, consultez le Guide de laboratoire de Test : démonstration de l’Privileged Access Management à l’aide de Microsoft Identity Manager, disponible sur le site connect.

Ressources et opérations de l’API REST PAM

L’API REST PAM fonctionne sur les ressources suivantes :

  • Rôle PAM: un rôle PAM associe un regroupement d’utilisateurs à un ensemble de droits d’accès. Les droits d'accès sont définis par référence aux groupes de sécurité. Chaque rôle PAM possède une liste de comptes d'utilisateur, appelés candidats, qui bénéficient d'une élévation de privilèges pour le rôle PAM concerné. Vous pouvez effectuer les opérations suivantes sur les rôles PAM :

  • Demande PAM: un utilisateur qui souhaite élever les droits d’accès au rôle PAM doit soumettre une demande PAM et obtenir l’approbation de l’élévation de la demande. L'objet de demande PAM effectue le suivi du cycle de vie de cette demande dans le service MIM. Vous pouvez effectuer les opérations suivantes sur les demandes PAM :

  • Demande PAM en attente: permet d’approuver ou de rejeter les demandes PAM soumises par les utilisateurs. Vous pouvez effectuer les opérations suivantes sur les demandes PAM en attente :

  • Session PAM: lors de l’utilisation de l’API REST PAM, le client (par exemple, un navigateur Web) dispose d’une session avec le point de terminaison de l’API REST PAM. Dans cette session, le client est authentifié auprès du point de terminaison de l’API REST. Vous pouvez effectuer les opérations suivantes sur les sessions PAM :

Pour plus d’informations sur le service, consultez Détails du service de l’API REST PAM.

Exemple de portail PAM sur GitHub

L’une des méthodes pour apprendre à utiliser l’API REST PAM consiste à utiliser l’exemple de portail PAM, un exemple d’application Web qui utilise l’API. Vous pouvez trouver le code de l’exemple de portail PAM dans le dépôt d’exemples PAM sur GitHub. Vous pouvez apprendre à déployer l'exemple de portail dans le Guide de laboratoire de test PAM.