Privileged Access Management interfejsu API REST

Microsoft Identity Manager (MIM) 2016 dodano nowy scenariusz o nazwie Privileged Access Management (PAM). Usługa PAM umożliwia organizacji większą kontrolę nad prawami dostępu do poufnych zasobów dla kont użytkowników o wysokim poziomie uprawnień, takich jak administratorzy systemu lub usługi. Program PAM kontroluje dostęp do konta z wysokim poziomem uprawnień, zapewniając ograniczone czasowo prawa dostępu just in time (JIT), gdy są potrzebne prawa dostępu.

Użytkownik może poprosić MIM Service o uprzywilejowane prawa dostępu (podniesienie uprawnień) na jeden z dwóch sposobów:

  • Przy użyciu interfejsu API REST usługi PAM.
  • Za pomocą polecenia cmdlet programu PowerShell New-PAMRequest PAM.

Tematy w tym przewodniku opisują interfejs API REST usługi PAM. Aby uzyskać więcej informacji na temat korzystania z polecenia cmdlet programu PowerShell, zobacz Przewodnik po laboratorium testowym:demonstrowanie Privileged Access Management przy użyciu programu Microsoft Identity Manager , dostępnego w witrynie connect.

Zasoby i operacje interfejsu API REST usługi PAM

Interfejs API REST usługi PAM działa na następujących zasobach:

  • Rola PAM:rola PAM kojarzy kolekcję użytkowników z kolekcją praw dostępu. Prawa dostępu są definiowane przez odwołanie do grup zabezpieczeń. Każda rola pam ma listę kont użytkowników, nazywanych kandydatami, które są uprawnione do podnieść uprawnienia do roli PAM. Na rolach pam można wykonywać następujące operacje:

  • Żądanie PAM:użytkownik, który chce podnieść uprawnienia dostępu roli PAM, musi przesłać żądanie PAM i uzyskać zatwierdzenie dla żądania, aby podnieść jego uprawnienia. Obiekt żądania PAM śledzi cykl życia tego żądania w usłudze MIM Service. Na żądaniach PAM można wykonywać następujące operacje:

  • Oczekujące żądanie PAM:służy do zatwierdzania lub odrzucania żądań PAM przesłanych przez użytkowników. Na oczekujących żądaniach PAM można wykonywać następujące operacje:

  • Sesja usługi PAM:w przypadku korzystania z interfejsu API REST usługi PAM klient (na przykład przeglądarka internetowa) ma sesję z punktem końcowym interfejsu API REST usługi PAM. W tej sesji klient jest uwierzytelniany w punkcie końcowym interfejsu API REST. Na sesjach pam można wykonywać następujące operacje:

Aby uzyskać bardziej szczegółowe informacje na temat usługi, zobacz Szczegóły usługi interfejsu API REST usługi PAM.

Przykładowy portal pam w witrynie GitHub

Jednym ze sposobów na nauczenia się korzystania z interfejsu API REST usługi PAM jest użycie przykładowego portalu USŁUGI PAM, przykładowej aplikacji internetowej korzystającej z interfejsu API. Kod przykładowego portalu PAM można znaleźć w przykładowym repozytorium PAMw GitHub . Sposób wdrażania przykładowego portalu można znaleźć w przewodniku po laboratorium testowym usługi PAM.