Privileged Access Management REST API 參考

Microsoft Identity Manager (MIM) 2016 加入一個稱為 Privileged Access Management (PAM) 的新案例。 PAM 可讓組織更充分掌控極高權限使用者帳戶 (例如系統或服務管理員) 對於敏感資源的存取權。 在需要存取權限時,PAM 會即時 (JIT) 提供有限時間的存取權限,以此來控制極高權限帳戶的存取權。

使用者有兩種方法可以向 MIM 服務要求特殊存取權限 (提高權限):

  • 使用 PAM REST API。
  • 使用 PAM PowerShell New-PAMRequest Cmdlet。

本指南中的主題描述 PAM REST API。 如需使用 PowerShell Cmdlet 的詳細資訊,請參閱「測試實驗室指南:示範 Privileged Access Management 使用 Microsoft Identity Manager」(可在 connect 網站上取得)。

PAM REST API 資源和作業

PAM REST API 會在下列資源上運作:

  • Pam 角色: pam 角色會將使用者集合與存取權限集合產生關聯。 存取權限是經由參考安全性群組而定義。 每個 PAM 角色都有一份使用者帳戶清單,稱為候選項目,這些項目有資格提升為 PAM 角色。 您可以對 PAM 角色執行下列作業:

  • PAM 要求:想要提升為 pam 角色存取權限的使用者,必須提交 PAM 要求,並取得要提升的要求核准。 PAM 要求物件會在 MIM 服務中追蹤這項要求的生命週期。 您可以對 PAM 要求執行下列作業:

  • 暫止 pam 要求:用來核准或拒絕使用者所提交的 pam 要求。 您可以對 PAM 待決要求執行下列作業:

  • Pam 會話:使用 pam REST API 時,用戶端 (例如,網頁瀏覽器) 具有 PAM REST API 端點的會話。 在此會話中,用戶端會向 REST API 端點進行驗證。 您可以對 PAM 工作階段執行下列作業:

如需服務的詳細資訊,請參閱 PAM REST API 服務詳細資料

GitHub 上的 PAM 範例入口網站

瞭解如何使用 PAM REST API 的其中一種方式是使用 PAM 範例入口網站,這是使用 API 的範例 web 應用程式。 在 GitHub 上的 PAM 範例儲存機制中,您可以找到 PAM 範例入口網站的程式碼。 您可以在「PAM 測試實驗室指南」中了解如何部署範例入口網站。