Справочник по REST API управления привилегированным доступом

Диспетчер удостоверений Майкрософт (MIM) 2016 добавляет новый сценарий, который называют управлением привилегированным доступом (PAM). PAM предоставляет организации более строгий контроль над правами доступа привилегированных учетных записей пользователей, таких как администратор систем или служб, к конфиденциальным ресурсам. PAM управляет доступом привилегированных учетных записей, предоставляя права доступа на ограниченное время, по требованию (JIT), когда они необходимы.

Пользователь может запросить у службы MIM привилегированных прав доступа одним из двух способов:

• С помощью REST API PAM.
• С помощью командлета PAM PowerShell New-PAMRequest.

В этом руководстве описывается использование API-интерфейса REST PAM. Дополнительные сведения об использовании командлета PowerShell см. в разделе Руководство по лаборатории тестирования: демонстрация управления привилегированным доступом с помощью Microsoft Identity Manager, доступное на сайте connect.

Ресурсы и операции REST API PAM

REST API PAM работает со следующими ресурсами:

• Роль PAM. Роль PAM связывает коллекцию пользователей с коллекцией прав доступа. Права доступа определяются с помощью ссылки на группы безопасности. У каждой роли PAM есть список учетных записей пользователей, называемых кандидатами, которые имеют право на повышение роли PAM. Вы можете выполнять следующие действия с ролями PAM.

  • Получение ролей PAM

• Запрос PAM. Пользователь, который хочет повысить уровень прав доступа к роли PAM, должен отправить запрос PAM и получить утверждение для запроса на повышение прав. Объект запроса PAM отслеживает жизненный цикл этого запроса в службе MIM. Вы можете выполнять следующие операции с запросами PAM.

  • Создание запроса PAM
  • Получение запроса PAM
  • Закрытие запроса PAM

• Ожидание запроса PAM: используется для утверждения или отклонения запросов PAM, отправленных пользователями. Вы можете выполнять следующие операции с ожидающими запросами PAM.

  • Получение ожидающего запроса PAM
  • Утверждение или отклонение ожидающего запроса PAM

• Сеанс PAM. При использовании REST API PAM клиент (например, веб-браузер) имеет сеанс с конечной точкой REST API PAM. В этом сеансе клиент проходит проверку подлинности в конечной точке REST API. Вы можете выполнять следующие операции с сеансами PAM.

  • Получение сведений о сеансе PAM

Дополнительные сведения о службе см. в разделе Сведения о службе REST API PAM.

Пример портала PAM на GitHub

Одним из способов узнать, как использовать REST API PAM, является использование примера портала PAM, примера веб-приложения, использующего API. Код для портала примеров PAM можно найти в репозитории примеров PAM на сайте GitHub. Развертывание примера описывается в руководстве по лаборатории тестирования PAM.