PAM360 MSP - 入门

概述

ManageEngine PAM360还提供了MSP版本,该版本是根据托管服务提供商(MSP)的特别要求设计的。 若您希望从单个控制台中单独管理客户端的密码或者为客户提供密码管理服务,您可以使用 MSP 版本。

MSP 管理员和客户之间可以安全地共享密码,确保用户只能访问他们拥有或与他们共享的密码。该解决方案提供了灵活性,可以将密码库的控制委托给MSP管理员、最终用户或两者兼而有之。

MSP版本遵循PAM360®的基本密码授权模型,这意味着,在任何时间,一个人只能查看拥有和共享密码。 作为MSP管理员,虽然您可以查看您管理的组织名称,但只有当您添加了所有客户的资源或他们与您共享资源时,您才能够查看与所有客户相关的数据。您的客户只能查看属于其组织的数据。

MSP - 入门

前提条件

要测试MSP版本,您需要部署单独的计算机。 如果您尝试在正在运行的PAM360的同一台计算机上安装MSP版本,则会卸载现有的PAM360。

开始

下载并安装 ManageEngine_PAM360_MSP.exe。

步骤 1:将用户添加到 MSP 组织

MSP管理流程从用户管理开始。第一步是将用户添加到您的MSP组织中,您应该指定一名管理员作为帐户管理员,点击了解如何添加用户

步骤 2:添加客户组织

添加用户后,您需要添加客户组织。 点击管理,您将找到名为组织的图标。 MSP要管理的组织应在PAM360这里注册。

您可以逐个手动添加客户组织,也可以从CSV文件批量导入所有组织。

手动添加组织

  1. 导航到管理 >> 组织
  1. 单击按钮添加组织


  1. 在打开的弹出窗口中,指定要添加的组织的名称。
  2. 显示名称:用来标识添加的组织的名称。
    • 此处只允许填写不带空格的字母或数字。
    • 名字应该是一个连续词组。
    • 您在此处输入的名称将会在PAM360的右上角的下拉菜单中显示。
    • 此外,显示名称将会在 PAM360登录URL中显示。

(例如,如果将"xyz"指定为显示名称,则组织的登录 URL 将 https://xyz"。)

  1. 账户管理员:您可以指定终端的任何管理员( MSP )作为要添加的组织"账户管理员"。 顾名思义,账户管理员将是被管理组织的联系人,并将具有代表组织添加和管理资源的权限。 在 PAM360 中具有"admin"角色的账号也能够管理组织的用户。 每个组织只能指定一个账户管理员,但是同一个管理员可以成为多个客户组织的账户管理员。
  2. 填写其他详细信息,如部门等

从 CSV 导入组织

您可以使用导入方式从CSV文件导入多个组织,CSV文件以逗号分隔有关组织名称、显示名称和其他详细信息条目,每个组织的条目应在一个新行中。 CSV 文件中的所有行应保持一致,并且具有相同数量的字段,这里支持扩展名为.txt 和 .csv 的CSV文件。

导入组织,请参考以下步骤:

  1. 导航到管理 >> 组织
  2. 单击从CSV中导入按钮。
  1. 在打开的弹出窗口中,选择文件格式。
  2. 浏览并选择您要导入的CSV 文件。
  3. 单击继续
  1. 在打开的弹出窗口中,您可以选择CSV文件中的字段映射到组织的属性。
  2. 最后,单击完成。 导入的每行结果都将被记录为审计记录。

授予管理组织机构权限

除了指定管理员为账户管理员外,您还可以给MSP组织的任何其他成员授予"管理组织"权限。 当您向管理员授予此权限时,他将具有客户组织的管理特权。 同样,如果权限授予密码管理员或密码用户,他们也将具有 相应的权限

出于安全原因,PAM360设置强制审批流程来管理组织机构权限。这意味着,虽然MSP 的任何管理员都可以有用户管理的权限,但前提是必须获得 MSP 组织的其他管理员的审批。 发起请求的人和正在启动请求的人不能为审批人。必须由第三位管理员审批。 这说明没有管理员能够为自己获取管理权限,或者在没有其他管理员批准的情况下将该权限授予其他任何人,这实质上意味着 MSP 组织应至少有三名管理员来执行此过程。

例如,假设管理员要为ABC组织的管理员提供管理权限,在这种情况下,管理员 A(申请)和管理员 B(管理员指定)都无法审批。 另一个管理员,比来说,管理员必须审批。

要授予组织的管理权限,请参考以下步骤:

  1. 登录到您的 MSP 帐户并导航到用户选项卡。
  2. 单击所需用户的用户操作图标,然后从下拉列表中选择组织管理
  3. 在打开的弹出式窗口中,选择所需的客户组织并移动到右侧。
  4. 选择审批人的姓名。
  5. 单击保存。审批完成后,用户将获得管理权限。

或者,您也可以通过单击针对所需组织的动作图标,然后从下拉列表中选择"管理组织"来授予"组织"页面的管理权限。

MSPOrg - 默认组织

默认情况下,一个名为 MSPOrg 的组织将可用。 此默认组织基本上是您的组织( MSP 的组织)。 您在这里添加的密码属于您自己的组织的密码,而不是您客户的密码。

客户组织的密码管理

一旦组织被添加,您将在在PAM360 GUI界面顶部看到由您管理的组织列表(即您拥有管理权限或您是其客户经理)。

选择所需的组织并继续添加 资源,然后,您可以与客户共享密码, 另外,如果您提供密码管理服务,您将要求您的客户自己添加密码。

如何访问任何特定的客户组织?

您可以像往常一样访问您的 MSP 组织,如URL https://:8282。 可以从 PAM360界面的顶部列表中选择所需的客户组织。

您的客户如何访问 PAM360?

创建组织后,客户可以通过输入URL来连接到其组织并查看/管理密码,如下所述:

https ://<主机名称>:<端口>/<组织名称>

例如,假设客户的组织名称是 abc , PAM360 在主机 pam360host 上运行,则连接到组织的 URL 将为: https://pam360host:8282/abc

有关如何执行各种密码管理功能的信息,请参阅帮助文档的对应模块。

如何删除客户组织?

当您是MSPOrg管理员时,才有资格在PAM360中删除客户组织, 此外,您还应具有以下权限:

  1. 成为要删除的客户组织的账户管理员。
  2. 保留要删除的客户组织的"管理组织"权限。

要删除组织,请参考以下步骤:

  1. 导航到管理 >> 组织

找到要删除的客户组织,单击它旁边的操作图标,然后选择从下拉菜单中删除组织"。

  1. 单击确定以确认删除。 请注意,删除客户端组织还将删除添加到该组织下的所有资源和用户。

© 2021, ZOHO 公司,保留所有权利。

页首