Dokumentacja interfejsu API REST usługi Privileged Access Management

Microsoft Identity Manager (MIM) 2016 dodaje nowy scenariusz o nazwie Privileged Access Management (PAM). Usługa PAM umożliwia organizacji większą kontrolę nad prawami dostępu do wysokich uprzywilejowanych kont użytkowników, takich jak administratorzy systemu lub usługi, do poufnych zasobów. Usługa PAM kontroluje dostęp do konta o wysokim poziomie uprawnień, zapewniając ograniczone prawa dostępu w czasie( just in time, JIT), gdy są potrzebne prawa dostępu.

Użytkownik może poprosić usługę MIM o uprzywilejowane prawa dostępu (podniesienie uprawnień) na jeden z dwóch sposobów:

• Za pomocą interfejsu API REST usługi PAM.
• Za pomocą polecenia cmdlet New-PAMRequest programu PowerShell usługi PAM.

Tematy przedstawione w tym przewodniku opisują interfejs API REST usługi PAM. Aby uzyskać więcej informacji na temat używania polecenia cmdlet programu PowerShell, zobacz Przewodnik po laboratorium testowym: Demonstrowanie usługi Privileged Access Management przy użyciu Microsoft Identity Manager, dostępnego w witrynie łączenia.

Zasoby i operacje interfejsu API REST usługi PAM

Interfejs API REST usługi PAM działa na następujących zasobach:

• Rola PAM: rola PAM kojarzy kolekcję użytkowników z kolekcją praw dostępu. Prawa dostępu są definiowane przez odwołanie do grup zabezpieczeń. Każda rola PAM ma listę kont użytkowników, nazywanych kandydatami, które mają prawo podnieść poziom uprawnień do roli PAM. Na rolach usługi PAM można wykonać następujące operacje:

  • Pobieranie ról PAM

• Żądanie paM: użytkownik, który chce podnieść poziom uprawnień dostępu do roli PAM, musi przesłać żądanie paM i uzyskać zatwierdzenie żądania podniesienia uprawnień. Obiekt żądania PAM śledzi cykl życia tego żądania w usłudze MIM. Następujące operacje można wykonać na żądaniach PAM:

  • Tworzenie żądania PAM
  • Pobieranie żądań PAM
  • Zamykanie żądania PAM

• Oczekujące żądanie PAM: służy do zatwierdzania lub odrzucania żądań PAM przesłanych przez użytkowników. Na oczekujących żądaniach PAM można wykonać następujące operacje:

  • Pobieranie oczekujących żądań PAM
  • Zatwierdzanie lub odrzucanie oczekującego żądania PAM

• Sesja usługi PAM: w przypadku korzystania z interfejsu API REST usługi PAM klient (na przykład przeglądarka internetowa) ma sesję z punktem końcowym interfejsu API REST usługi PAM. W tej sesji klient jest uwierzytelniany w punkcie końcowym interfejsu API REST. Na sesjach usługi PAM można wykonać następujące operacje:

  • Pobieranie informacji dotyczących sesji PAM

Aby uzyskać bardziej szczegółowe informacje o usłudze, zobacz Szczegóły usługi INTERFEJSu API REST usługi PAM.

Przykładowy portal usługi PAM w witrynie GitHub

Jednym ze sposobów, aby dowiedzieć się, jak używać interfejsu API REST usługi PAM, jest przykładowa aplikacja internetowa korzystająca z interfejsu API. Kod przykładowego portalu PAM można znaleźć w przykładowym repozytorium PAM w witrynie GitHub. Możesz dowiedzieć się, jak wdrożyć przykładowy portal w przewodniku po laboratorium testowym usługi PAM.