Privileged Access Management REST API リファレンス
Microsoft Identity Manager (MIM) 2016 では、Privileged Access Management (PAM) と呼ばれる新しいシナリオが追加されています。 PAM を使用すると、組織は、システム管理者やサービス管理者などの高度な特権を持つユーザー アカウントの機密性の高いリソースへのアクセス権を、より制御できるようになります。 PAM は、アクセス権が必要なときに、ジャスト イン タイム (JIT) で期間限定のアクセス権を提供することで、高い権限を持つアカウントのアクセス権を制御します。
ユーザーは、次のいずれかの方法で、MIM サービスに特権アクセス権 (昇格) を求めることができます。
- PAM REST API を使用する。
- PAM PowerShell New-PAMRequest コマンドレットを使用します。
このガイドでは、PAM REST API について説明します。 PowerShell コマンドレットの使用の詳細については、「テスト ラボ ガイド: Microsoft Identity Managerを使用した特権アクセス管理のデモンストレーション」を参照してください。接続サイトで入手できます。
PAM REST API のリソースと操作
PAM REST API は、次のリソースで動作します。
PAM ロール: PAM ロールは、ユーザーのコレクションをアクセス権のコレクションに関連付けます。 アクセス権は、セキュリティ グループへの参照によって定義されます。 すべての PAM ロールには、PAM ロールへの昇格が許可されている、候補と呼ばれるユーザー アカウントの一覧があります。 PAM ロールでは、次の操作を実行できます。
PAM 要求: PAM ロールのアクセス権に昇格するユーザーは、PAM 要求を送信し、昇格要求の承認を取得する必要があります。 PAM 要求オブジェクトは、MIM サービスでのこの要求のライフサイクルを追跡します。 PAM 要求では、次の操作を実行できます。
保留中の PAM 要求: ユーザーによって送信された PAM 要求を承認または拒否するために使用されます。 保留中の PAM 要求では、次の操作を実行できます。
PAM セッション: PAM REST API を使用する場合、クライアント (Web ブラウザーなど) は PAM REST API エンドポイントとのセッションを持ちます。 このセッションでは、クライアントは REST API エンドポイントに対して認証されます。 PAM セッションでは、次の操作を実行できます。
サービスの詳細については、「 PAM REST API サービスの詳細」を参照してください。
GitHub の PAM サンプル ポータル
PAM REST API を使用する方法の 1 つは、PAM サンプル ポータル (API を使用する Web アプリケーションの例) を使用することです。 GitHub の PAM サンプル リポジトリで PAM サンプル ポータルのコードを検索することができます。 サンプル ポータルの展開方法は、PAM のテスト ラボ ガイドで確認できます。