Privileged Access Management REST API 參考

Microsoft Identity Manager (MIM) 2016 加入一個稱為 Privileged Access Management (PAM) 的新案例。 PAM 可讓組織更充分掌控極高權限使用者帳戶 (例如系統或服務管理員) 對於敏感資源的存取權。 在需要存取權限時，PAM 會即時 (JIT) 提供有限時間的存取權限，以此來控制極高權限帳戶的存取權。

使用者有兩種方法可以向 MIM 服務要求特殊存取權限 (提高權限)：

• 使用 PAM REST API。
• 使用 PAM PowerShell New-PAMRequest Cmdlet。

本指南中的主題描述 PAM REST API。 如需使用 PowerShell Cmdlet 的詳細資訊，請參閱測試實驗室指南：使用連線網站上提供的 Microsoft Identity Manager 示範特殊許可權存取管理。

PAM REST API 資源和作業

PAM REST API 會在下列資源上運作：

• PAM 角色：PAM 角色會將使用者集合與存取權限集合產生關聯。 存取權限是經由參考安全性群組而定義。 每個 PAM 角色都有一份使用者帳戶清單，稱為候選項目，這些項目有資格提升為 PAM 角色。 您可以對 PAM 角色執行下列作業：

  • 取得 PAM 角色

• PAM 要求：想要提高 PAM 角色存取權限的使用者必須提交 PAM 要求，並取得要求提高許可權的核准。 PAM 要求物件會在 MIM 服務中追蹤這項要求的生命週期。 您可以對 PAM 要求執行下列作業：

  • 建立 PAM 要求
  • 取得 PAM 要求
  • 關閉 PAM 要求

• 擱置的 PAM 要求：用來核准或拒絕使用者已提交的 PAM 要求。 您可以對 PAM 待決要求執行下列作業：

  • 取得 PAM 待決要求
  • 核准或拒絕 PAM 待決要求

• PAM 會話：使用 PAM REST API 時，用戶端 (例如，網頁瀏覽器) 具有 PAM REST API 端點的會話。 在此會話中，用戶端會向 REST API 端點進行驗證。 您可以對 PAM 工作階段執行下列作業：

  • 取得 PAM 工作階段資訊

如需服務的詳細資訊，請參閱 PAM REST API 服務詳細資料。

GitHub 上的 PAM 範例入口網站

瞭解如何使用 PAM REST API 的其中一種方式是使用 PAM 範例入口網站，這是使用 API 的範例 Web 應用程式。 在 GitHub 上的 PAM 範例儲存機制中，您可以找到 PAM 範例入口網站的程式碼。 您可以在「PAM 測試實驗室指南」中了解如何部署範例入口網站。