管理用户角色和权限
由于 PAM360 服务是敏感密码的存储库,细粒度的访问限制对于产品的安全使用至关重要。该解决方案提供基于角色的访问控制来实现此目的。
默认情况下,PAM360 有五个预定义的角色,这些角色具有特定的权限:
- 管理员可以设置、配置和管理 PAM360 应用程序。 具有此角色的用户可以管理所有用户、资源和密码相关的操作,以及访问审核记录和报表。 但是,他们只能查看他们创建的资源和密码以及其他用户与他们共享的资源和密码。
- 密码管理员可以执行资源和密码相关的操作。 但是,他们只能查看他们创建的资源和密码以及其他用户与他们共享的资源和密码。
- 特权管理员具有与管理员相同的权限。 此外,他们还拥有配置隐私设置、IP 限制和紧急措施下可用的隐私和安全控制的权限。
- 密码用户只能查看管理员和/或密码管理员与他们共享的密码。 此外,如果共享权限赋予他们修改共享密码的特权,他也可以修改与他们共享的密码。
- 密码审计员具有与密码用户相同的权限。 此外,他们还可以权访问审计记录和报表。
角色 |
操作 |
||||||
管理用户 |
管理资源 |
管理密码 |
查看密码 |
管理个人密码 |
查看审核和报表 |
隐私和安全控制 |
|
管理员 |
 |
|
|
|
|
|
 |
密码管理员 |
|
|
|
|
|
|
|
特权管理员 |
|
|
|
|
|
|
|
密码用户 |
|
|
|
|
|
|
|
密码审计员 |
|
|
|
|
|
|
|
无论什么角色,个人密码仍然是个人用户独有的,其他用户对它们没有控制权。 |
|||||||
注意:管理员/密码管理员/特权管理员可以作为超级管理员。 不管哪个用户添加的资源,超级管理员都拥有查看和管理存储在PAM360中的所有资源的特权。 出于安全原因,只有其他PAM360管理员才能让用户成为超级管理员。 (有关如何创建超级管理员角色的步骤,请单击此处)
自定义角色
除了 PAM360 中的预定义角色外,管理员还可以为用户创建自定义角色。 角色自定义选项允许您创建新角色,方法是从PAM360中可用的100多个操作列表中选择所需的选项。 作为附加的安全措施,PAM360对自定义角色创建执行双重控制,即一个管理员添加的任何新自定义角色都必须由另一个管理员批准。
添加自定义角色
要添加新的"自定义"角色,请按照以下步骤操作:
- 导航到管理 >> 自定义 >> 角色。
- 在角色 GUI 中,单击 添加角色,打开一个新的 GUI 窗口,根据您的需要输入一个新角色的名称及描述。
- 创建新角色时,应该定义角色的范围,即该角色在PAM360中可以做什么和不能做什么,通过从可用操作列表中选择所需的选项来定义角色的范围。这些操作被分为不同的分类,如密码、用户、组织等(如GUI左侧的列中所示)。
根据您的要求选择所需的操作,下面是两个自定义角色示例和每个示例应选择的操作列表:
1.资源添加和密码重置的角色:此角色非常适合在组织中维护少量资源的初级技术员。 通过这个角色,技术人员可以从他们的终端添加资源/帐户,修改或删除拥有的资源,重置密码,并通过PAM360连接到资源。为这类角色选择的基本操作包括:
- 资源
- 查看资源选项卡
- 手动添加
- 编辑
- 删除
- 报表
- 帐户
- 在资源选项卡下查看"帐户"
- 手动添加
- 编辑
- 删除
- 移动
- 密码重置
- 帐户的密码验证
- 本地密码重置
- 远程密码重置
- 远程访问
- 允许用户连接到远程计算机
- 显示自动登录选项卡
- 允许用户使用书签功能
- 自定义设置
- 导出密码
- 允许用户管理其个人密码
2.用户管理角色:如果您想创建一个仅用于用户管理的角色,比如在PAM360中添加新用户、编辑/删除用户配置文件、更改角色和在用户之间传输资源,那么应该从列表中选择以下基本操作:
- 用户
- 管理 Web 用户
- 手动添加用户
- 从 AD 导入
- 从 LDAP 导入
- 从 Azure AD 导入
- 从文件导入
- 编辑
- 删除
- 管理 API 用户
- 更改用户角色
- 传输用户拥有的资源
- 用户报表
- 管理 Web 用户
- 用户身份验证协议
- 管理活动目录
- 管理 Azure AD
- 管理 RADIUS 身份验证
- 管理双重身份验证
- 管理 LDAP
- 管理 SAML 单点登录
- 管理智能卡身份验证
- 通过用户代理管理访问(浏览器加载项/移动应用)
- 用户组
- 添加
- 向用户组添加/删除用户
- 用户组报表
- 删除
- 管理用户组设置
除了上述示例外,您还可以根据企业需求自定义任何角色并选择对应的操作。
可选步骤:但是,如果您不希望从头创建一个新角色,您可以在“使用此角色作为模板”选项下选择前面创建的任何PAM360预定义角色或自定义角色作为新角色的基本模板。从下拉列表中选择角色作为模板后,该角色的权限级别预置将应用于新角色。
常见问题
1.有些操作被标记为魔术棒图标,是什么意思?
这些后面标记了魔术棒图标的选项表示这些是管理员权限选项。使用任意一个魔术棒标记的权限来创建的自定义角色,都会被视为管理员角色。您可以使用魔术棒图标操作创建任意数量的自定义角色,但是只有将该角色分配给用户时,该用户才会受许可控制。例如,如果您有10个管理员许可,当您将具有魔术棒标记的自定义角色分配给用户时,该用户将占用一个许可,即占用了这10个管理员许可中的一个。
2.谁可以在 PAM360 中创建自定义角色?
创建自定义角色是管理操作的一种。 在 PAM360 的预定义角色中,只有管理员、特权管理员和超级管理员(如果您已创建该角色)才具有创建自定义角色的权限。 除此之外,您还可以通过选择自定义设置下的“创建自定义角色”选项,授予自定义角色创建新的自定义角色的特权。(请参阅下图)
- 此外,如果您希望此新角色具有成为超级管理员的特权,请选中启用此角色的超级管理员功能复选框,当您将此角色分配给用户时,用户将成为超级管理员。
- 完成上述所有步骤后,单击"预览并保存", 页面将打开一个预览框,列出您为角色选择的操作。 验证并单击"保存"将创建新角色并排队等待其他管理员的审批。 要查看待审批的角色,请单击"角色请求"。
- 一旦该角色得到审查和审批,您就可以开始将其分配给所需的用户。 了解如何添加新用户并为其分配角色,请单击此处。
角色过滤器
角色过滤器选项允许您在添加新用户时,显示您指定角色列表。 使用角色过滤器,您可以限制要分配给新添加或更改角色的用户的角色。
启用角色过滤器
- 导航到管理 >> 自定义 >> 角色过滤器。 选中启用角色过滤器框。
- 现在,您可以决定应启用/禁用哪些角色, 在新增用户或角色更改期间,仅显示"已启用"框中的这些角色,完成后,单击"保存 ",将应用角色过滤器。
更改用户的角色
您可以按照以下步骤轻松更改不同用户的角色
- 导航到管理 >> 自定义 >> 角色 >> 更改角色。
- 在打开的新 GUI 窗口中,如果您要查看某个角色的所有用户的列表,请使用表上方的过滤器来选择角色,页面将显示与该角色关联的用户,选择您要更改角色的用户。
- 现在,选择要为所选用户分配的角色,然后单击"更改角色"。
编辑/删除自定义角色
- 要编辑/修改任何自定义角色,请点击角色旁边的"编辑"图标进行修改,修改后点击"预览并保存",验证修改结果并单击"保存"。 编辑也需要排队等待其他管理员的审批,您可以单击该角色旁边的 [等待批准] 选项来查看该角色待审批的编辑。 在下图中,红色表示已删除的操作,蓝色表示已添加到角色的操作。
- 要删除角色,请单击"删除"图标。 在删除之前,系统会提示您将与特定角色关联的用户转移到另一个角色。 将用户映射到其他角色后,单击"保存"和"删除"。
为什么我不能删除自定义角色?
有两种情况您无法删除角色:
- 第一种情况是您要删除的角色可能已关联用户。 例如,您有5个与此角色关联的用户,那在删除此角色之前必须将这些用户转移到另一个角色。您可以选择转移给用户角色或者管理员角色(只要您有足够的管理员许可)。但是,如果没有管理员许可,则无法将用户从用户类型角色转移到管理员类型角色。另外,如果您没有可用的用户类型角色来转移关联用户,PAM360将不允许您删除所选角色。这种情况下,您可以创建一个新的用户类型的自定义角色,也可以购买额外的管理员许可。
- 另一种情况可能是角色过滤器造成的。 假设您已启用角色过滤器并禁用所有用户类型角色,那么当您尝试删除一个用户类型的角色时,由于过滤器的原因,您将只能将关联的用户转移到管理员类型角色。但是,如果您剩余的管理员许可为零,则无法完成转移或删除角色。在这种情况下,您必须在角色过滤器下至少启用一个用户类型的角色,或者购买额外的管理员许可。
需要管理员许可的操作列表
角色类别:密码- 资源
- 帐户
- 发现
- 自定义
- 密码重置
- 资源组
- 添加
- 删除
- 转移
- 编辑
- 生成报表
- 访问控制
- 配置
- 审批密码访问请求
- 共享密码
- 共享帐户(用户和用户组)
- 共享资源(用户和用户组)
- 共享资源组(用户和用户组)
- 用户
- 用户身份验证协议
- 管理活动目录
- 管理 Azure AD
- 管理 RADIUS 身份验证
- 管理双重身份验证
- 管理 LDAP
- 管理 SAML 单点登录
- 管理智能卡身份验证
- 管理用户的浏览器插件/移动应用的访问
- 用户组
- 添加
- 修改已有的组
- 删除
- 管理用户组设置
- 生成报表
在此类别下的所有操作都需要管理员许可。
角色类别:远程访问角色类别:生成报表角色类别: PAM360设置角色类别:自定义设置