リソース追加

PAM360 では、リソースは単なるサーバーやアプリケーションだけではありません。安全な管理を必要とするアカウント、認証情報、または機密情報を保持するシステム、装置、またはサービスを表します。PAM360 では、このようなすべてのリソースを単一の暗号化されたリポジトリに統合することで、管理者が特権アカウントを集中管理し、強力なパスワード ポリシーを適用し、認証情報のローテーションをオートメーションし、重要な資産への制御および監査されたアクセスを提供できるようになります。

また、PAM360 は従来の IT インフラストラクチャに限定されません。その機能は、次のような幅広いビジネス機密データの保護にまで及びます。

  • 通信チャネルを保護するデジタル証明書
  • コンプライアンスと監査に不可欠なソフトウェア ライセンス キー
  • ビジネスに不可欠な詳細を含む構成ファイル、実行可能ファイル、運用ドキュメント
  • 長期間にわたって安全に保管する必要があるスキャンされた記録またはコピー

タイプに関係なく、認証情報、証明書、ドキュメントなど、すべてのアイテムが PAM360 内でリソースとして扱われます。各リソースは暗号化され、制御されており、必要に応じて承認されたユーザーまたはグループと安全に共有できます。

特権アカウントの認証情報やその他の機密データを効果的に管理するには、まずエンドポイントを PAM360 のリソースとして追加し、関連するアカウントを関連付けます。このドキュメントを読み終える頃には、以下の点が明確に理解できるようになります。

  1. リソース追加
  2. リソースにアカウントを追加
  3. ファイルおよびその他の機密データの保存

1.リソース追加

メモ:

PAM360 では、追加したリソースは自動的にスーパー管理者に表示されます (設定で構成されている場合)。管理者を含む他のすべてのユーザーの場合、リソースは明示的に共有されるまで非表示のままになります。

リソースをPAM360に手動で追加するには、以下の手順に従ってください:

  1. [リソース] >> [リソース追加] >> [手動で追加] に移動します。
    add-resources-1
  2. [リソース追加]ウィンドウで、必要な詳細を入力します:
    1. リソース名: リソースを識別する一意の名前を入力します。
    2. DNS名/IPアドレス: リソースの DNS名または IPアドレスを指定します。これは、パスワードのリセット、アカウントのディスカバリ、ワンクリック ログインなどのリモート操作を有効にするために必須です。
    3. リソース種別: ドロップダウン リストから適切なリソースの種類を選択します。デフォルトでは、Windows が事前に選択されます。フォームに表示されるフィールドは、選択したリソース種別によって異なります。種別ごとに必要な詳細が異なる場合があるためです。必要な種別がリストされていない場合は、カスタム タイプ (プリンターや社内アプリケーションなど) を作成できます。これを行うには、[新規追加]をクリックし、カスタム タイプの名前を入力して保存します。新しく作成された種別は、今後使用するためにドロップダウンに表示されます。PAM360 でサポートされているリソース種別とその特定の使用例の完全なリストについては、リソース種別に関するドキュメントを参照してください。
    4. Application Gateway: このリソースを Application Gateway 経由で管理する場合は、Application Gateway フィールドの横にあるドロップダウン ボタンをクリックし、表示されたリストからこのリソースを関連付ける Application Gateway を選択します。
      add-resources-2
    5. グループ名: 既存のリソース グループ (Windows サーバー、Linux サーバーなど) にリソースを追加するか、新しいリソース グループを作成します。グループが指定されていない場合、リソースはデフォルト グループに追加されます。
    6. メモ部門場所: これらのフィールドはオプションですが、正確な値を入力すると、後でリソースを検索、フィルタリング、グループ化しやすくなります。
    7. リソース URL: Web アプリケーションまたは Web サイトを追加する場合は、完全な HTTPS URL (例: https://sso.godaddy.com) を指定し、[リソース種別][Web Site Accounts]に設定します。この URL は、PAM360 ブラウザ拡張機能 (ChromeFirefoxEdge) の自動入力機能および自動ログオン機能に使用されます。

      メモ:

      URL をサポートするすべてのリソース種別について、有効な HTTPS ベースの URL を入力してください。この URL は、HTTPS ゲートウェイ接続方法 (管理者によって設定されている場合) を介して接続を確立するためにも使用されます。

    8. パスワード ポリシー: ドロップダウンから必要なパスワード ポリシーを選択します。このリソースのアカウントに対して PAM360 によってランダムに生成されるパスワードは、選択したポリシーに自動的に準拠します。
    9. Session Recording (ビルド 7400 以上): PAM360 には、構成されたリソース URL を使用して起動された Web サイト セッションと HTTPS ゲートウェイ セッションを記録するオプションが用意されています。これを有効にするには、[Session Recording] フィールドの [Website][HTTPS Gateway] の横にあるボックスをオンにします。

      メモ:

      記録は、ユーザーがアクティブな PAM360 ブラウザ拡張機能をインストールしており、拡張機能からの自動ログオンまたは自動入力を使用してセッションを開始した場合にのみ機能します。


      接続記録を有効にすると、次の 2 つの追加オプションが表示されます。
      • Disable tab duplication: このオプションを有効にすると、ユーザーが同じ構成済み URL (既存のタブから複製されたものでも、個別に起動されたものでも) に対して複数のタブを開くことを防ぎます。これが有効になっていない場合、PAM360 から開始された元のセッション タブのみが記録されます。重複したタブは記録されません。
      • Record Configured Resource URL: 構成された URL を使用して開始されたすべてのセッションを記録するには、このチェックボックスを有効にします。セッションには、PAM360 拡張機能の自動ログオンまたは自動入力機能なしで起動されたセッション、重複したセッション、および PAM360 Web コンソールを使用せずにブラウザで直接起動されたセッションが含まれます。
  3. 完了したら、[保存]をクリックしてリソースを追加します。すぐにアカウント追加を続行するには、[保存して続行] をクリックします。

    メモ:

    • AWS Active Directory リソースを追加するときは、リソース種別として[WindowsDomain]を選択します。管理を簡素化するために、Amazon WorkSpaces 仮想マシンの自動ディスカバリを構成することもできます。詳細についてはここをクリックしてください。
    • リソース種別が Windows または WindowsDomain のドメイン コントローラーを追加する場合は、[ドメイン名] フィールドに NETBIOS 形式のドメイン名を入力します (Windows サービス アカウントのリセットに必須)。

2.リソースへのアカウント追加

リソースを作成した後、そのリソースにユーザー アカウントを手動で追加したり、リソース内のアカウントを検出したりできます。アカウントは、リソースの作成中、またはその後いつでも[アカウント追加]オプションを使用して追加できます。リソースにアカウントを手動で追加するには、以下の手順に従います。

メモ:

アカウント 検出手順については別途文書化されています。リソース内の特権アカウントを検出する詳細な手順については、このドキュメントを参照してください。

  1. [リソース] タブで、必要なリソースの横にある [リソース アクション][アカウント追加] を選択します。または、リソース名をクリックし、[アカウント詳細]ウィンドウの上部にある [アカウント追加] ボタンを使用して新しいアカウントを追加します。
    add-accounts-1

    add-accounts-2
  2. 表示される[アカウント追加]フォームで、アカウントに関する次の情報を指定します。
    1. ユーザー アカウント: PAM360 経由で追加および管理するアカウントの名前を入力します。
    2. パスワード:アカウントのパスワードがわかっている場合は手動で入力するか、このフィールドの横にあるパスワード生成ツールを使用してパスワードを生成します。パスワードを手動で入力する場合は、リソースに設定したパスワード ポリシーに準拠する必要があります。

      メモ:

      リモート システムでパスワードのリセットを有効にするには、この手順で入力するパスワードと実際のターゲット システムのパスワードが同じであることを確認してください。PAM360 はこれらの認証情報を使用して対象システムにログインし、パスワードをリセットします。パスワードが間違っていると、パスワードのリセットは行われません。また、ユーザーは、アカウント パスワードが間違っていると、リソースへのリモート接続を確立できなくなります。

    3. パスワード ポリシー: アカウントに必要なパスワード ポリシー ([Strong][Medium][Low]) を選択します。パスワード ポリシーはリソース レベルとアカウント レベルで維持され、アカウント レベルのポリシーはリソース レベルのパスワード ポリシーの値を上書きできます。デフォルトのパスワード ポリシーとカスタム パスワード ポリシーの作成の詳細については、ここをクリックしてください。
    4. TOTP 秘密鍵: アカウント (特に Web アカウント) で二要素認証 (2FA) として TOTP が有効になっている場合は、TOTP 秘密鍵を入力します。これにより、ユーザーは PAM360 インターフェースを介してアカウントに直接アクセスできるようになり、共有パスワードとともに TOTP ワンタイム コードの生成が効率化されます。
      デフォルトでは、2FA として TOTP が設定されたアカウントは、SHA1 アルゴリズム、6 桁の TOTP コード、および 30 秒の有効期間をサポートします。アカウントが TOTP コードの異なるパラメーター セットをサポートしている場合は、適切な [TOTP アルゴリズム][TOTP 桁数]を選択し、[TOTP 秘密鍵]フィールドの横にある [設定] ドロップダウンをクリックして、[TOTPの有効な秒数]を秒単位で入力してください。

      メモ:

      [TOTP アルゴリズム]、[TOTP 桁数]、および[TOTPの有効な秒数]がアカウントとここに入力した値とで異なる場合、誤ったワンタイム コードが生成されるため、認証メカニズムは期待どおりに機能しません。また、一度設定すると、アカウントの TOTP 秘密鍵を再度取得することはできません。したがって、ここで入力または選択した値がアカウントでサポートされている値と一致するように注意してください。

    5. メモ[メモ]フィールドにアカウントに関する具体的な詳細を入力します。このフィールドも PAM360 の検索ツールによってインデックス化されるため、検索時にアカウントを見つけやすくなります。
      add-accounts-3
    6. SSH キー: SSH キーをインポートしてこのアカウントに関連付けるには、[参照] をクリックして .key ファイルを追加します。[秘密鍵名][秘密鍵パスワード]を次のフィールドに入力します。
    7. ログインに秘密鍵を使用: アカウント認証情報の代わりに SSH キーを使用してリモート接続を承認するには、このチェックボックスを選択します。SSH キーを使用したリモート接続の詳細については、ここをクリックしてください。
    8. PAM360 で秘密鍵をマップ: ターゲット システムにアクセスできない場合でも、SSH キーをユーザー アカウントに強制的にマップするには、このチェックボックスを選択します。 
    9. パスワードリセット: このチェックボックスを有効にすると、PAM360 にアカウントを追加したときにリモートでアカウントのパスワードがリセットされます。
    10. 接続記録 (ビルド 7400 以上): このアカウントの認証情報を使用して構成された URL を使用して起動されたすべての Web サイトおよび HTTPS ゲートウェイ セッションを記録するには、横にある [Website]および [HTTPS Gateway]のチェックボックスを有効にします。

      メモ:

      リソース URL フィールドに有効な URL が設定されている場合にのみ、[アカウント追加]ウィンドウで [Website][HTTPS Gateway]のチェックボックスが使用可能になります。

  3. [保存]をクリックして、同じページの[ユーザーアカウント]コラムにあるこのアカウントを追加および一覧表示します。上記の手順にしたがって、特定リソースにアカウント数を追加できます。すべてのアカウントは、[ユーザーアカウント]テーブル下に一覧表示されます。

上記の手順を実行すると、必要なユーザー アカウントとパスワードがリソースに追加されます。リソースへのアクセスを許可されたユーザーは、情報を表示できます。

3.ファイルおよびその他の機密データの保存

上記の概要で述べたように、PAM360 では、ユーザー アカウント以外にも、次のような機密データをリポジトリに安全に保存できます。

  • デジタル証明書
  • ソフトウェア ライセンス キー
  • 実行ファイルまたはドキュメント ファイル
  • 画像またはコピー

リソース種別である [File Store] はドキュメント、画像、実行可能ファイル、その他のデジタル コンテンツに使用され、[Key Store] はソフトウェアまたは暗号化キーに使用され、[License Store] はソフトウェア ライセンス キーに使用されます。

このようなデータを PAM360 に安全に保存するには、次の手順に従います。

  1. [リソース] >> [リソース追加] >> [手動で追加] に移動します。
  2. リソース名を入力し、リソース種別として [File Store][Key Store]、または [License Store] を選択します。
    add-resources-3
  3. 検索とグループ化を効率化するために、[メモ][部門][場所]などのフィールドに入力します。
  4. [保存] をクリックしてリソースを作成するか、[保存して続行] をクリックしてファイル/キー/ライセンスをすぐに追加します。開いた [アカウント追加] ウィンドウで、次の操作を行います。
    1. [名前] (キー名、ファイル名、ライセンス名など) を入力します。
    2. [参照] をクリックし、アップロードするファイル/キー/ライセンスを選択します。
    3. 必要に応じて[メモ]を入力し、[保存]をクリックします。アイテムは指定されたリソースの下に安全に保存されます。
      add-resources-4

      メモ:

      ファイル/キー/ライセンス リソースは、他のリソースと同じ方法で管理および共有されます。このようなアイテムを取得する場合、PAM360 はファイルをローカルに保存するための安全なダウンロード リンクを提供します。