Privileged Access Management REST API参考

Microsoft 标识管理器 (MIM) 2016 添加了新方案，称为特权访问管理 (PAM)。 PAM 使组织可以对高特权用户帐户（例如系统或服务管理员）对敏感资源的访问权限具有更多的控制权。 PAM 通过在需要访问权限时实时 (JIT) 提供限时访问权限来控制高特权帐户的访问。

用户可以使用两种方式要求 MIM 服务提供特许访问权限（提升）：

• 使用 PAM REST API。
• 使用 PAM PowerShell New-PAMRequest cmdlet。

本指南中的主题介绍 PAM REST API。 有关使用 PowerShell cmdlet 的信息，请参阅测试实验室指南：使用 Privileged Access Management演示Microsoft Identity Manager，可在连接站点上获取。

PAM REST API资源和操作

PAM REST API对以下资源进行操作：

• PAM 角色：PAM 角色将用户集合与访问权限集合关联。 访问权限由对安全组的引用来定义。 每个 PAM 角色都具有有权提升到 PAM 角色的用户帐户（称为候选人）的列表。 你可以对 PAM 角色执行以下操作：

  • 获取 PAM 角色

• PAM 请求：想要提升 PAM 角色访问权限的用户必须提交 PAM 请求并获取提升请求的审批。 PAM 请求对象将在 MIM 服务中跟踪此请求的生命周期。 你可以对 PAM 请求执行以下操作：

  • 创建 PAM 请求
  • 获取 PAM 请求
  • 关闭 PAM 请求

• 挂起的 PAM 请求：用于批准或拒绝用户提交的 PAM 请求。 你可以对挂起的 PAM 请求执行以下操作：

  • 获取挂起的 PAM 请求
  • 批准或拒绝挂起的 PAM 请求

• PAM 会话：使用 PAM REST API时，客户端 (例如，Web 浏览器) 与 PAM REST API会话。 在此会话中，客户端向客户端终结点REST API身份验证。 你可以对 PAM 会话执行以下操作：

  • 获取 PAM 会话信息

有关服务的更多详细信息，请参阅 PAM REST API服务详细信息。

GITHUB 上的 PAM 示例门户

了解如何使用 PAM REST API一种方式是使用 PAM 示例门户，这是一个使用该 API 的示例 Web 应用程序。 可以在 GitHub 上的 PAM 示例存储库中找到 PAM 示例门户的代码。 你可以在 PAM 测试实验室指南中了解如何部署示例门户。