导出密码,进行安全离线访问
PAM360提供多个导出选项,用于安全离线访问和保存密码信息。
- 基本选项是将密码信息(如资源名、帐户名和密码)以纯文本形式导出到电子表格中。
- 更安全的选项是将密码导出到加密的HTML文件。
注意:此外,PAM360还支持与Dropbox、Box、Amazon S3等云存储服务集成,将加密后的HTML文件自动同步到用户的移动设备上。
在以上两个选项中,您都可以导出资源、帐户和密码以供离线访问。管理员可以决定在他们的组织中使用哪个选项。此外,还可以根据需要对特定的用户或用户组启用或禁用导出功能。但需注意,针对特定用户的导出设置,应先启用全局导出功能。
全局配置设置,请参考以下步骤:
- 导航到管理 >> 设置 >> 导出密码/离线访问。
- 页面将打开一个新窗口,显示与密码导出相关的不同选项。
- 默认情况下,所有用户、管理员都可以使用两个选项——将密码以明文形式导出到.xls、将密码导出到加密的html文件。您可以通过取消选择相应的复选框来禁用这些选项。
- 以纯文本形式将资源导出到.xls文件
此选项允许用户和管理员以纯文本形式将资源详细信息导出到电子表格中。 在导出/离线访问设置页面,您还能看到另一个选项在导出文件中包含纯文本密码,您可以全局禁用此选项,防止密码以纯文本形式打印到.xls 文件;还有一个选项包括保存在FileStore, KeyStore, LicenseStore资源类型中的文件,以及保存在文件附加字段中的文件,该选项允许您在导出纯文本文件时选择是否包含这些文件。
注意:如果管理员对PAM360的所有导出操作都启用了加密设置,那么导出XLS文件时将需要设置密码保护。用户必须在每次访问时提供加密密码。登录PAM360,点击右上角的“我的个人资料”图标,在下拉菜单中选择“导出设置”,即可查看或复制密码。
- 以加密的HTML文件形式导出密码
您可以将密码导出为加密的HTML 文件,导出后即使没有互联网连接的情况下,也可以查看密码。 此离线选项非常安全,文件的内容使用用户设置的密码短语,采用AES-256算法加密。PAM360不会在任何地方存储这个密码,我们也建议您不要在任何地方存储/备份该密码。只有该密码才可以打开此HTML文件,如果忘记了密码,您可以重新设置密码短语,然后导出一个新的HTML文件。该密码短语支持长达32个字符,包括空格。
为了确保用户为他们的 HTML 文件设置强密码,如果启用了加密的HTML选项,默认情况下会设置密码复杂性策略。 默认策略为Offline Password File,若要更改密码策略,您可以选择PAM360 的另外三个密码策略,也可以选择您创建的自定义策略(如果有)。 您可在“导出密码界面”窗口的“加密密码策略”中选择需要的策略。
此外,您还可以在导出设置中设置用户的非活动周期,当用户在浏览器中查看html页面时,如果在超过设置的时间内没有任何操作,系统将自动从离线文件注销用户的登录状态。 您可以在文本字段允许的非活动周期下设置超时周期(分钟)。
- 当您开启/关闭各种导出选项并保存后,这些设置将对PAM360中的所有用户和管理员全局生效。
对特定用户设置导出/离线访问
若要限制某些用户的导出/离线访问权限,您可以导航到用户选项卡,选择要更改设置的用户,点击更多操作 >>更改离线访问设置来对特定的用户的导出权限进行更改设置。此外,您也可以点击具体用户的用户操作图标,然后从下拉列表中选择导出/离线访问来为单个用户执行更改。
对用户进行限制
在启用/禁用导出密码选项时,还可以对用户进行细粒度限制。
- 当用户以明文形式导出密码时,您可以强制他们指定导出的原因,此处输入的原因将记录为审计跟踪。 此外,您可以只允许用户单独导出资源名称和用户帐户详细信息,可以防止他们以明文形式导出密码。
- 在以加密HTML格式导出密码的情况下,出于安全考虑,管理员可以在一定时间后自动重置导出的密码。
- 如果需要将加密后的HTML文件自动同步到用户的移动设备上,管理员可以在一段时间后强制用户移动设备上的HTML文件自动删除。还有一个选项供您选择,即从用户设备删除HTML文件后,系统自动重置导出的密码。
基于安全原因的最小权限模型
出于安全考虑,PAM360对用户采用了“最小特权”模式。例如,我们假设某用户属于三个用户组,其中一个组有组级别的限制——组的成员不允许以明文形式导出密码。在上面的场景中,即使用户拥有个人级别以明文形式导出密码的权限,但对其所在的组施加的限制将会有限应用。此规则适用于上述所有类型的限制。
导出资源的步骤
密码可由用户和管理员根据PAM360管理员配置的设置导出。
要导出资源,请导航到资源 >> 导出
选项 1- 以纯文本形式将资源导出
以纯文本形式导出资源,请参考以下步骤:
- 点击资源选项卡按钮,选择导出,从下拉列表中选择导出纯文本。
资源将以xls格式被导出。
选项 2- 将资源导出为加密的 HTML 文件
要将资源导出为加密的 HTML 文件,请参考以下步骤:
- 点击资源选项卡,选择导出按钮,然后从下拉列表中选择导出为加密的HTML文件。
- 在打开的对话框中,根据管理员强制执行的密码策略来指定加密口令。 密码将用于加密(AES 256)离线访问HTML文件。
- 您可以使用以上密码口令在任何web浏览器中打开该文件。PAM360不会将密码存储在任何地方,因此如果您忘记了密码,则无法打开该文件。我们也建议您不要在任何地方存储或备份此密码。
- 确认密码并输入导出密码的原因。
资源将以html格式被导出。