密码访问控制工作流

概述

访问控制是一种用来验证用户的真实性的策略,以确保用户具有适当的特权去完成任务或访问数据。简单来说,访问控制是一种对敏感数据有选择性限制的访问方式。有效的访问控制策略包括两个组件:身份验证和授权。通过身份验证,我们可以验证当前用户的身份。然而,仅通过身份验证并不足以保护数据,还需要对访问用户进行授权。授权用于确定是否允许用户访问数据以及执行当前操作。身份验证和授权是加强企业数据安全性必不可少的两个关键组件。

PAM360 提供一种访问控制机制,允许管理员在特定期间内向用户授予密码访问权限。密码准备好共享后,管理员就可以开始授予独占特权,无论何时,都只允许一个用户使用特定的密码。 此外,管理员可以为Windows资源中的本地用户帐户提供即时(JIT)特权提升。例如,假设“dbuser”是添加到PAM360的Windows资源中的本地帐户,该帐户没有任何管理员权限。通过使用JIT特权提升特性,管理员可以将“dbuser”的特权提升到与管理员或其他特权用户等同权限。

本章将介绍以下内容:

  1. 密码访问控制机制工作原理
  2. 实现密码访问控制工作流的步骤
  3. 用例场景
  4. 术语词汇表

1.密码访问控制机制工作原理

对资源实施密码访问控制后,PAM360通过以下流程来处理用户的密码访问请求。

  1. 用户需要访问一个已经共享给他的密码。
  2. 用户发出访问密码的请求。
  3. 请求将发送给指定的管理员进行审批。 如果有更多的用户需要访问同一密码,所有请求都将进入队列等待审批。
  4. 如果管理员没有在规定的时间内审批请求,则该请求失效。 如果用户指定了特定密码访问的时间范围,则请求在用户指定的时间后失效。
  5. 如果请求被任意管理员拒绝,请求也将失效。
  6. 如果管理员批准了,用户只能在规定的时间内或管理员在审批期间设置的时间内检出密码。如果由多个管理员批准一个密码,那么只有在所有指定的管理员都批准了请求之后,用户才可以检出密码。
  7. 一旦用户检出密码,在规定的时间内,该密码只供该用户使用。
  8. 如果其他用户同时需要访问相同的密码,则只有在前一个用户检入密码后,才会向其他用户提供访问权限。这适用于PAM360中所有类型的用户角色,包括管理员、密码管理员和密码所有者。
  9. 管理员还可以随时撤销用户的密码访问权限。 在这种情况下,密码将被强制检入,拒绝用户访问。一旦用户完成他们的工作,密码将被重置。
  10. 在授予用户临时独占访问权限的同时,您可以通过在管理 >>设置>>通用设置下选择强制用户提供密码检索理由。
  11. 注意:访问控制工作流不会覆盖PAM360原有的密码所有权及共享机制,它只是一种增强的访问控制机制。通常,当一个密码与用户共享时,用户就可以直接查看密码。但是,当启用访问控制时,用户需要通过请求-释放方法来访问这些授权给他们的密码。

2.实现密码访问控制工作流的步骤

  1. 要对批量资源进行访问控制,请点击资源选项卡并选择要批量访问的资源,点击页面顶部的资源操作 ,在下拉列表中选择配置访问控制
  2. 要对单个资源进行访问控制,请点击需要访问的资源旁边的资源动作下拉框,选择访问控制配置


  3. 在打开的"配置访问控制"窗口中,您将看到五个选项卡,您可以根据需要自定义设置。

    3.1审批管理员

    3.2除外的用户

    3.3其它设置

    3.4自动审批

    3.5特权提升

    3.1 审批管理员

    指定管理员作为密码请求的审批人。 左侧区域列出系统中所有管理员、密码管理员和特权管理员的列表,您可以为特定资源指定任意数量的管理员。授权管理员列表中的任意用户都可以批准用户提出的请求。

3.2 除外的用户

使用此选项可以从访问控制工作流中排除用户,排除的用户无需发出请求,可以直接访问密码。

3.3其他设置

  1. 至少通过N个管理员批准:选择此选项可强制要求几个管理员来批准密码访问请求。这个数字可以从1到10,您可以通过在管理>>设置>>全局设置>>最大值审批管理员(最少1名,最多10名管理员)下进行设置。如果希望强制要求至少10名管理员进行审批,您需要在“审批管理员”部分下指定10名管理员。
  2. 注意:您还可以将用户组指定为密码访问请求的审批人。当用户组被指定为审批人时,该组内所有具有admin权限的用户(管理员、密码管理员、特权管理员和具有自定义角色的管理员)将被授予审批权限。如果有要求审批管理员的数量,比如5个,那么授权用户组必须至少有5个有效的管理员。

  3. 强制用户提供获取密码的理由:当用户通过点击“*”,以明文方式获取密码时,此选项将强制用户提供一个理由,这将有利于审计工作。
  4. 在约定时间的前N分钟,向管理员发送处理密码访问请求的提醒邮件:使用此选项可以设置向管理员发送提醒电子邮件的时间,了解尚未审批的密码请求。 PAM360 将在无效时间前的指定分钟数给管理员发送提醒邮件。
  5. 访问时间结束后,向用户提供N分钟的宽限期:宽限期:启用此选项,在密码访问时间结束后,可以为用户提供最多60分钟的宽限期。
  6. 该密码将在批准时间N小时后将自动检入:使用此选项可以指定密码自动签入和不再可用的确切时间。
  7. 如果没有被批准,请求在N小时后失效:使用此选项指定最大时间(以小时为单位),超过这个时间,如果管理员不批准,挂起的密码请求将成为无效的。如果一个管理员批准了密码请求,那么批准状态将作为通知发送给其他授权的管理员。
  8. 密码访问可以保留的独占/专用时间最大为N分钟:选择此选项可强制对密码访问进行并发控制。在这段指定的时间内,密码仅供特定用户使用,其他人(包括资源的所有者),都不允许查看密码。默认情况下,密码将在30分钟内保持独占。不过,您可以将其修改为所需的值。例如,如果将时间段指定为两个小时,密码将在两个小时内只对该用户可用。在此期间,其他用户无法查看密码。在指定的时间后,密码访问将是无效的,用户将不可用,其他用户将能够查看密码。如果将值指定为“0”小时,则该密码将在无限小时内保持独占。
  9. 在密码独占使用后(即密码被用户签入后)重置该密码:选择此选项可强制在用户输入密码后自动重置密码,从而放弃访问。 要使密码自动重置生效,您需要确保所有必需的凭据已提供给资源以进行远程密码重置,或者您应该在资源中安装PAM360代理。 否则,密码自动重置将不会生效。 点击此处查看远程密码重置通过PAM360代理重置密码的相关内容。

3.4自动审批

PAM360提供了为密码访问请求设置自动审批的选项。 在管理员可能无法审批用户访问请求时,此自动审批功能将非常方便。 为此,管理员可以设置一周或每天的特定时间为自动审批。在此时间范围内的所有密码访问请求都将自动审批,并将通知授权的管理员。 例如,您可以为周六下午2点到下午3点之间提出的所有请求设置自动审批,一天最多可以设置3个自动审批的时间段。 除审批的自动性质外,此功能的其他方面与访问控制工作流一致。




3.5特权提升

提升本地用户帐户的特权,管理员需要将此本地账号添加到其所在资源的本地组中(比如"Administrators")。在PAM360中,通过特权提升选项卡配置以上动作。现在,您已为所选资源下的本地用户帐户配置好特权提升配置,之后,在资源下的任一本地帐户进行密码签出期间,其访问权限将提升到选择的相应本地组(比如"Administrators")的访问权限,在规定的时间内(由管理员在其它设置下设置)享有相应组的权限。

提升JIT特权的好处

JIT特权提升功能可用于在本地帐户无法在系统中访问某些应用程序或服务的场景。使用JIT 特权提升功能,管理员可以对帐户提供及时且受控的访问,以便在指定时间内操作应用程序或系统。 此功能使管理员能够控制谁可以访问什么以及访问多长时间,从而消除了为所有帐户提供不必要的全面访问的需要。 这是基于最小特权访问原则,也是零信任网络的核心理念之一。

所需步骤

按照以下步骤从Windows资源获取并保存本地组,以便JIT特权提升:

  1. 访问特权提升选项卡,启用通过添加到以下本地组中来提升帐户特权

  2. 点击选择,页面将获取Windows资源中可用的所有本地组,并在选择本地组对话框中显示,选择所需的组,点击保存。 要更新保存在数据库中的本地组列表,请点击窗口右上角的"刷新"图标。

  3. 选定的本地组将在此处的框中显示。

配置好密码访问控制后,点击保存并激活。要删除所选资源以前配置的访问控制,请点击停用按钮。

现在,当资源共享给具有密码用户/密码审核功能的用户时,他们可以请求密码访问或提升账号权限。 此请求可由授权管理员列表中的任一管理员审批/拒绝。

    注意:

    1. 上述对本地帐户的权限提升仅适用于Windows资源,要在Windows域资源中应用特权提升,请将PAM360与 ManageEngine ADManager Plus集成。点击此处了解有关集成的更多详细信息。
    2. 权限提升仅发生在密码签出时,也就是说,PAM360只有在本地账户的密码从PAM360签出时,才会将本地帐户添加到所选的本地组。
    3. 如果当PAM360将本地用户账户添加到选定的本地组时特权提升失败,那么能够访问该帐户的用户就不能请求该帐户密码。有关失败原因的详细信息,请查看审计选项卡中的审计日志。
    4. 当密码签出且正在使用时,不能停用资源的密码访问控制。
    5. 建议资源所有者不要更改已为其配置访问控制且其密码当前正在使用的资源的“资源类型”或“远程密码重置”设置。这样做将删除访问控制配置。 要检查密码是否正在使用,请导航到管理 >> 管理 >> 密码访问请求,在动作列下查看当前资源账号的状态。 有关详细信息,请参阅此处

3.使用场景

以下是一些使用访问控制工作流的场景。

场景 1:用户请求查看密码

要访问受访问控制工作流保护的密码,用户必须请求管理员授予查看密码的权限。

发出请求的步骤:

  1. 点击左侧的资源选项卡,然后点击密码
  2. 所有密码都将列出,点击所需查看密码旁的请求,以请求管理员授予您查看密码的权限。

  3. 您可以:
    • 指定何时访问密码 - 现在或稍后。
    • 输入查看密码的原因。
    • 指定发送提醒电子邮件的时间。

  4. 管理员批准您的请求后,您就可以查看密码。 在管理员批准前,状态显示为等待批准。
  5. 管理员批准请求后,状态变为签出。 查看密码,请点击签出。 请注意,签出按钮仅在批准的访问时间内可用。
  6. 点击保存。 现在您即可查看密码。

场景 2:管理员审批密码请求

如果您是管理员,并且用户提交了查看密码的申请,您将收到有关请求的电子邮件通知。 您可以在管理选项卡查看等待批准的所有请求。

审批请求,
  1. 导航到管理 >> 管理 >> 密码访问请求

  2. 点击处理请求,系统将打开一个新页面,管理员可以执行以下操作:
    • 批准或拒绝密码访问请求。
    • 指定用户何时可以访问密码 -现在稍后
    • 填写请求批准/拒绝的原因。

  3. 批准请求后,链接的状态将更改为未使用,表示用户尚未签出密码。

  4. 用户查看密码后,状态将更改为正在使用

注意:如果管理员拒绝密码访问请求,那么该请求将从队列中删除。

场景 3:用户完成密码使用

访问控制的原理是只允许用户临时访问密码。一旦用户完成他们的工作,他们可以放弃密码的访问。

放弃对密码的访问:
  1. 点击密码旁边的签入按钮,密码将重新签入系统,状态将再次更改为请求
  2. 密码签入后,您将无法再查看密码。如果您需要再次访问,那么需再次请求访问密码。

场景 4:管理员强制签入密码

访问控制机制允许用户在指定时间段内获得独占访问特权。 在此期间,任何人不得查看密码,包括密码所有者。 如果出现紧急情况,管理员可以随时强制签入密码,撤销用户对密码的独占权限。

强制签入密码:

  1. 点击管理 >> 密码访问请求
  2. 点击请求旁边的签入,以撤销用户的访问权限,签入密码后,用户将不能查看密码,密码访问请求也将从列表中消失。

场景 5:如果密码签入期间自动计划密码重置失败,会发生什么情况?

密码被用户签出后,以下任意一种情况,密码将被签入:

  1. 密码使用完成后,用户自己签入密码。
  2. 系统在密码规定使用时间后,自动收回密码。
  3. 管理员强行签入密码。

如果管理员设置了密码签入后自动密码重置, 那么当密码签入后,PAM360将尝试重置密码。 如果无法在实际资源中重置密码,PAM360 将触发电子邮件通知,以通知批准密码访问请求的管理员,以便他们排除故障并正确设置操作。 密码重置失败也将反映在审计记录中。

场景 6:在密码签出使用期间,若密码重置计划任务执行,会发生什么?

PAM360提供了创建定时任务的功能,用于自动和定期重置密码。计划任务可能在密码独占使用期间对这些密码执行重置当。如果重置任务成功执行,用户将使用过期的密码。为了避免这种密码不匹配的问题,PAM360将单独禁止重置该密码,而计划任务中的其他资源的密码将被重置。在密码重置计划期间未执行重置的密码也将反馈在审核记录中。

场景 7:禁用访问控制

作为管理员,如果您想禁用资源的访问控制:

  1. 导航到资源选项卡,选择要禁用访问控制的资源。
  2. 点击资源操作 >> 配置访问控制,然后点击停用

所选资源的访问控制将被停用,即,任何有权查看密码(拥有/共享)的用户都无需通过该特定资源的访问控制过程即可查看密码。

场景 8:将审批权限转移给其他管理员

当管理员离开组织或转到其他部门时,该管理员拥有的资源可转移到其他管理员。 如果离开的管理员是密码请求的审批人,还应转移审批权限。先前由一个管理员控制的所有资源都可以轻松、批量转移给另一个管理员。 参考以下了解如何将审批权限从一个管理员转移到另一个管理员。

转移审批权限:

  1. 导航到用户选项卡,然后选择或搜索需要转移审批权限的管理员用户。
  2. 点击该用户旁的用户动作图标,然后从下拉列表中选择访问控制转移
  3. 在打开的访问控制转移窗口中,将显示所有需所选管理员审批的资源。
  4. 选择资源,点击转移到,选择要将审批权限转移到的管理员,然后点击转移。 审批者权限将被转移,授权的管理员随后将被更改。

场景 9:配置了特权提升后,如果资源的资源类型发生了变化,会发生什么?

如果为资源配置了权限提升,并且当前正在使用密码,这时更改该资源的资源类型远程密码重置配置将删除访问控制配置,从而将密码显示给有权访问此资源的用户。建议资源所有者/管理员在签入密码后再修改资源设置。 检查密码的状态,请导航到管理 >> 管理 >>密码访问请求页面,在动作下检密码状态。

4.术语词汇表

术语 修改密码

请求

用户必须发出请求才能查看密码。

等待审批

用户的密码访问请求正在等待管理员的批准。

签出

管理员已批准请求,用户可以查看密码。

批准/拒绝

管理员可以批准或拒绝密码请求。

未使用

表示该用户尚未查看管理员释放的密码。

使用中

密码仅由用户使用。

签入

放弃/收回密码访问权限。



© 2021, ZOHO 公司,保留所有权利。

页首