PAM bileşenlerini anlamaUnderstand the components of PAM

Privileged Access Management, yönetim erişimini gündelik kullanıcı hesaplarından ayrı tutar.Privileged Access Management keeps administrative access separate from day-to-day user accounts. Bu çözüm, paralel ormanlara dayanır:This solution relies on parallel forests:

  • CORP: Bir veya birden çok etki alanı içeren, genel amaçlı şirket ormanınız.CORP: Your general-purpose corporate forest that includes one or more domains. Birden çok CORP ormanınız olabilir, ancak bu makalelerdeki örneklerde, sadeleştirme amacıyla tek etki alanı olan tek orman varsayılmıştır.While you may have multiple CORP forests, the examples in these articles assume a single forest with a single domain for simplicity.
  • PRIV: Özel olarak bu PAM senaryosu için oluşturulan, belirtilmiş bir orman.PRIV: A dedicated forest created especially for this PAM scenario. Bu ormanda, bir veya birden çok CORP etki alanına karşı gölgelendirilmiş ayrıcalıklı grupların ve hesapların tutulduğu bir etki alanı vardır.This forest includes one domain to accommodate privileged groups and accounts which are shadowed from one or more CORP domains.

PAM için yapılandırılan MIM çözümü şu bileşenleri içerir:The MIM solution as configured for PAM includes the following components:

  • MIM Hizmeti: Ayrıcalıklı hesap yönetimi ve yükseltme isteği işleme de içinde olmak üzere, kimlik ve erişim yönetimi işlemlerini gerçekleştirmek için iş mantığını uygular.MIM Service: implements business logic for performing identity and access management operations, including privileged account management and elevation request handling.
  • MIM Portalı: SharePoint 2013 tarafından barındırılan ve yönetici yönetim ve yapılandırma kullanıcı arabirimi sağlayan SharePoint tabanlı bir portal.MIM Portal: a SharePoint-based portal, hosted by SharePoint 2013, which provides an administrator management and configuration UI.
  • MIM Hizmeti Veritabanı: SQL Server 2012 veya 2014’te depolanır ve MIM Hizmeti için gereken kimlik verileriyle meta verileri barındırır.MIM Service Database: stored in SQL Server 2012 or 2014, and holds identity data and meta-data required for MIM Service.
  • PAM İzleme Hizmeti ve PAM Bileşen Hizmeti: Ayrıcalıklı hesapların yaşam döngüsünü yöneten ve grup üyeliği yaşam döngüsünde PRIV AD’ye yardımcı olan iki hizmet.PAM Monitoring Service and PAM Component Service: two services that manage the lifecycle of privileged accounts and assists the PRIV AD in group membership lifecycle.
  • PowerShell cmdlet’leri: MIM Hizmeti’ni ve PRIV AD’yi, PAM yöneticileri için CORP ormanındaki kullanıcı ve gruplara karşılık gelen kullanıcılar ve gruplarla doldurmak için ve yönetim hesabındaki ayrıcalıkları tam zamanında (JIT) kullanmak isteyen son kullanıcılar için.PowerShell cmdlets: for populating MIM Service and PRIV AD with users and groups that correspond to the users and groups in the CORP forest for PAM administrators, and for end users requesting just-in-time (JIT) use of privileges on an administrative account.
  • PAM REST API ve örnek portal: Yükseltme için özel istemcilerle ve PowerShell veya SOAP kullanmaya gerek kalmadan MIM’i PAM senaryosuna tümleştiren geliştiriciler için.PAM REST API and sample portal: for developers integrating MIM in the PAM scenario with custom clients for elevation, without needing to use PowerShell or SOAP. Örnek web uygulamasıyla REST API kullanımı gösterilmiştir.The use of the REST API is demonstrated with a sample web application.

Bir kez yüklendikten ve yapılandırıldıktan sonra, PRIV ormanında geçiş yordamıyla oluşturulan her grup, özgün CORP ormanındaki SID grubunu yansıtan, SIDHistory tabanlı bir gölge güvenlik grubudur (veya Windows Server vNext ile sonraki bir güncelleştirmede, yabancı sorumlu grubu).Once installed and configured, each group created by the migration procedure in the PRIV forest is a shadow SIDHistory-based security group (or in a later update with Windows Server vNext, a foreign principal group) mirroring the SID group in the original CORP forest. Üstelik, MIM Hizmeti PRIV ormanında bu gruplara üye eklediğinde, bu üyeliklerin zaman sınırlaması olur.Furthermore, when the MIM Service adds members to these groups in the PRIV forest, those memberships will be time limited.

Sonuç olarak, bir kullanıcı PowerShell cmdlet’lerini kullanarak yükseltme istediğinde ve isteği onaylandığında, MIM Hizmeti kullanıcının hesabını PRIV ormanında bir gruba ekler.As a result, when a user requests elevation using the PowerShell cmdlets, and their request is approved, the MIM Service will add their account in the PRIV forest to a group in the PRIV forest. Kullanıcı ayrıcalıklı hesabıyla oturum açtığında, Kerberos belirteci CORP ormanındaki grubun Güvenlik Tanımlayıcısı (SID) ile aynı SID değerini içerir.When the user logs in with their privileged account, their Kerberos token will contain a Security Identifier (SID) identical to the SID of the group in the CORP forest. CORP ormanı PRIV ormanına güvenecek şekilde yapılandırıldığından, CORP ormanındaki kaynağa erişmek için kullanılan yükseltilmiş hesap, Kerberos grup üyeliğindeki bir kaynak denetiminde o kaynağın güvenlik gruplarının üyesi olarak görünür.Since the CORP forest is configured to trust the PRIV forest, the elevated account being used to access a resource in the CORP forest appears, to a resource checking the Kerberos group memberships, be a member of that resource’s security groups. Bu, Kerberos ormanlar arası kimlik doğrulaması yoluyla sağlanır.This is provided via Kerberos cross-forest authentication.

Ayrıca, bu üyeliklerde zaman sınırlaması olduğundan, önceden yapılandırılmış bir süre sonunda kullanıcının yönetim hesabı artık PRIV ormanındaki grubun bir parçası olmayacaktır.Furthermore, these memberships are time limited so that after a preconfigured interval of time, the user’s administrative account will no longer be part of the group in the PRIV forest. Sonuç olarak, bu hesap artık ek kaynaklara erişim için kullanılamaz.As a result, that account will no longer be usable for accessing additional resources.