PAM360にAPIユーザーアカウントを追加


この手順はビルド6611以降に適用されます

PAM360では、APIユーザーを手動で追加できます。API ユーザーアカウントは、アプリケーション間のパスワード管理用にパスワード管理 API を構成するために必要です。パスワード管理APIの使用者向けにAPIユーザーアカウントをPAM360で作成する必要があり、そこで各APIユーザーアカウントをシングルエンドポイントに貼付する必要があります(一般的には、ユーザーアカウントが一意に識別されるようにAPIを使用するサーバーまたはデスクトップ-例えば、user@hostname)。

PAM360でAPIユーザーアカウントを作成する

  1. [ユーザー] タブをクリックし、ドロップダウンメニューから [ユーザー追加] >> [API ユーザの追加] をクリックします。
    restapi1

    restapi2
  2. それぞれのテキストフィールドにユーザー名を入力します。この名前は API ユーザーを識別します。
  3. APIユーザーがパスワード管理操作用にPAM360にアクセスするホスト名を入力します。
  4. フルネームとは、レポート、監査証跡、その他ユーザーの活動を追跡する場所など、外部の世界でAPIユーザーを識別するために使用される名前を指します。
  5. 追加する API ユーザーに適切なアクセス レベル (管理者/パスワード管理者/特権管理者/パスワードユーザー/カスタムロール) を選択します。
  6. Access Scopeを使用して、All Passwords in the systemオプションを選択することで、管理者/パスワード管理者/特権管理者をスーパー管理者に変更できます。これで、PAM360ですべてのパスワードに制限なしでアクセスできるようになります。逆に、Passwords Owned and Shared オプションを選択することで、スーパー管理者を以前のロールである管理者/パスワード管理者/特権管理者に変更できます。
  7. ユーザーがSSH CLI APIにアクセスする際のユーザーマシンの公開鍵をここにアップロードしてください。SSHにより、指定されたホストに、上記で指定されたユーザー名で接続・ログインします。ユーザーは、公開鍵認証を使用してリモート マシンに対して自分の身元を証明する必要があります。SSH CLIアクセスを利用するには、CLIユーザーのオープン SSH形式の公開鍵を参照して選択します。新しいSSH鍵ペアを作成する場合は、以下の手順に従ってください。
    1. コマンドプロンプトを起動し、以下のコマンドを実行して新しいSSH鍵ペアを生成します。
      ssh-keygen
    2. デフォルトでは、秘密鍵はid_rsaという名前のファイルに保存され、対応する公開鍵はid_rsa.pubというファイルに保存されます。これらのファイルは、ユーザーのホームディレクトリの下にある.sshディレクトリに保存されます。必要に応じて、鍵ファイルを保存するディレクトリを別の場所に指定することもできます。鍵生成時に、ファイルパスの入力を求められます。
      例えば:鍵を保存するファイル名を入力します(/home/xyz/.ssh/id_rsa): /home/xyz/.ssh/pam360_identity
    3. セキュリティをさらに強化するために、SSH鍵にパスフレーズを設定できます。パスフレーズを入力した後は、鍵を使用するたびにパスフレーズを入力する必要があります。パスフレーズを使用する場合は、パスフレーズを入力して確認するよう求められます。
    4. 鍵ペアが生成されると、ファイルパスを含む確認メッセージが届きます。また、SSH鍵の一意の識別子となる鍵フィンガープリントも表示されます。
    5. PAM360で生成された鍵を使用するには、公開鍵(id_rsa.pub)をインポートします。このファイルは、/home/xyz/.ssh/authorized_keys ディレクトリの authorized_keys ファイルに保存する必要があります。
    6. 次に、Public Key for SSH CLI Accessフィールドで、公開鍵ファイルを参照して特定します。
      上の例は、オープン SSH を使用して鍵 ペアを生成する方法を示しています。必要に応じて、他の標準ツールを使用して鍵を生成することもできます。
  8. REST API の横にある [Enable Now] ボタンをクリックして REST API を有効にします。
    restapi3
  9. これを実行すると、API 鍵のテキスト ボックスが表示されます。[Generate]をクリックして API 鍵を生成します。API 鍵は、アクセス目的の認証トークンです。この鍵をコピーし、将来参照できるように安全な場所に保管してください。この鍵は GUI に 1 回だけ表示され、鍵を紛失した場合は、このウィンドウから鍵を再生成する必要があります。
  10. 鍵の有効期間を永久にできるオプションNever Expiresを選択することで、API鍵の有効期間を設定できます。それ以外の場合は、有効期限を指定します。
  11. 部門と場所を入力します。
  12. Saveをクリックすると、APIユーザーアカウントがPAM360リポジトリに追加されます。

メモ:

APIユーザー作成は、アプリケーションがパスワードのためPAM360に問い合わせる元のホスト別に行います。複数のホストからパスワード管理APIを使用するには、ホストの数と同じ数の API ユーザーを作成する必要があります。逆に、単一ホスト上に多くのユーザーを配置したい場合は、やはり必要な数の API ユーザーを作成する必要があります。