PAM360 中的超级管理员角色

默认情况下, PAM360 与五个预定义的用户角色捆绑在一起,这些角色提供一组特定的权限级别:

  • 特权管理员
  • 管理员
  • 密码管理员
  • 密码审核员
  • 密码用户

除此之外,我们还规定将任何管理用户的权限提升到 PAM360中的超级管理员的权限。 超级管理员不是用户管理角色,而是特权提升,如果提供,则为用户提供对 PAM360 中所有资源的无拘无束访问。 请注意,只有具有管理员级角色(如特权管理员/管理员/密码管理员)的用户或具有自定义管理角色的用户才能获得超级管理员权限。 管理员成为超级管理员后,他们将具有无条件、完全权限的访问权限,访问其他管理员创建和拥有的所有资源。

我们建议创建一个超级管理员角色,作为紧急情况的专用碎玻璃帐户。 出于安全原因,最好只创建一个超级管理员角色,并限制在组织层次结构顶部的经理。

从 PAM360 的用户界面将管理员提升为超级管理员角色的两种方法:

  1. 通过用户选项卡
  2. 通过管理 >> 自定义 >> 角色

1)通过"用户"选项卡:

现有管理员用户可以从"用户"选项卡提升为超级管理员角色。 在这里,选择所需的用户,然后单击用户操作 >> 编辑用户

User Roles section

在下拉菜单中,将"访问范围"更改为系统中的所有密码。现在,此用户将被提升为超级管理员,并将通过电子邮件通知他们。

Edit user section

2)通过创建自定义角色:

您可以创建自定义用户角色,并授予其超级管理员权限,以及您选择的其他功能。 要做到这一点,请导航到管理 >> 自定义角色然后单击添加角色。 通过选择启用超级管理员权限复选框,您将启用将特定角色提升到 PAM360 中的超级管理员的选项。 但是,当将来将此角色分配给用户时,您仍然需要使用编辑使用 r"选项授予他们访问所有密码的访问权限(如上一步中详述),以便为用户提供超级管理员功能。

Add a custom role

可能需要超级管理员帐户的两种可能方案:

  • 当组织中的顶级经理需要最终访问所有资产时
  • 作为紧急情况的预防性碎玻璃帐户

当组织中的顶级经理需要最终访问所有资产时:

顶级经理(如组织的 CIO/CEO 的活动目录 (AD) 或 LDAP 帐户)可以提升为 PAM360 中的超级管理员,以防他们需要访问 PAM360 系统中存储的所有内容。 在这种情况下,最好为此帐户启用双因素验证 ( TFA )。 这样,即使他们的AD帐户遭到破坏,也不可能在不绕过 PAM360 中的 TFA 的情况下访问资源。

作为预防性的碎玻璃帐户:

我们建议创建一个超级管理员帐户,作为紧急情况的预防措施,例如具有管理员权限的员工突然死亡,在管理员休假时在服务器中执行安全措施,这可能会导致您的用户无法访问其帐户。 在这种情况下,您可能需要访问所有资源以恢复对本地帐户的访问权限。 但是,必须为此只创建一个超级管理员帐户,并且对该帐户的访问受到高度限制。 PAM360offers 预配禁用添加多个超级管理员,然后限制对现有超级管理员帐户的登录访问。 此设置可用于防止 PAM360 系统内的特权滥用,并且只能由超级管理员执行。 为此,在 PAM360 中创建新的管理帐户。 从活动目录导入帐户后,您可以将此新管理员帐户提升为超级管理员。 要禁用创建进一步的超级管理员,使用超级管理员帐户登录,导航到管理 >> 身份验证 >> 超级管理员并选择拒绝由管理员创建超级管理员

Deny creation of supe admins

现在,为了限制超级管理员帐户的使用,您可以通过导航到管理 >> 全局设置 >> 用户管理 >> 禁用本地身份验证来禁用其本地身份验证选项。

Disable local authentication

禁用此选项后,默认管理员帐户不能用于登录到 PAM360 ,因为本地身份验证选项将不再在登录页上可用。 若要在紧急情况下重新获得对此帐户的访问权限,请联系我们 支持团队,将本地身份验证选项带回登录页面,并使用默认管理员帐户恢复您的密码。

© 2021, ZOHO 公司,保留所有权利。

页首