特権リモート接続

PAM360は、特権リソースへのリモート接続の確立・管理、Webアプリケーションへのアクセス、およびファイル転送を、一元化されたプラットフォームから実行するための包括的なソリューションを提供します。RDPSSHVNCSQL、およびTelnetをサポートしているため、HTML5互換ブラウザを介してPAM360インターフェースから直接リモートセッションを開始できます。これらのセッションはPAM360のサーバーを経由して安全にトンネル化され、第三者による傍受を防ぐ暗号化された通信チャネルが構築されます。リモートリソースへのアクセスに必要な認証情報は、PAM360の保管庫に安全に保管され、不正な漏洩を防ぎます。

さらに、PAM360はWebサイトとHTTPSゲートウェイの接続を効率化し、ウェブベースのアプリケーションや社内ポータルへの安全なアクセスを実現します。自動入力機能により、PAM360はログインページに保存済みの認証情報を自動的に入力できるため、スムーズなログイン体験を実現します。さらに、PAM360はリモートセッション中の安全なファイル管理を容易にします。リモート接続を開始することなく、リモートデバイス間で双方向のファイル転送をサポートし、リモート接続中にファイルを安全にアップロードまたはダウンロードすることを可能にします。これにより、すべてのファイル交換が暗号化され、不正アクセスから保護されることが保証されます。このヘルプ ドキュメントでは、次のトピックについて詳しく説明します。

  1. 接続シナリオ
  2. リモート接続
  3. Webサイトとの接続
  4. HTTPSゲートウェイ接続
  5. ファイルの操作
  6. リモートアプリケーションへのアクセス

1.接続シナリオ

接続タブでは、環境内で管理されているすべての接続と共有接続を一元的に表示できます。左側のパネルにある接続ツリーから目的のカテゴリを選択した後、リソースパネルで目的のリソースをクリックすると、利用可能な接続が表示されます。アカウントパネルには、利用可能なさまざまな接続オプションが表示され、それらを使用して選択したリソースへのリモートセッションを開始できます。

  1. リソースパネルで Windows ドメイン リソースをクリックすると、アカウントパネル内に次のセクションが表示されます。
    1. ドメインアカウント - PAM360は、ドメインコントローラーにアクセスするために利用可能なすべての接続オプションの一覧を表示します。
      connections-1a
    2. その他のドメインアカウント - 複数のドメインコントローラーが存在し、信頼関係が確立されている環境では、PAM360 はこのセクションに、選択したドメインコントローラーで使用可能な接続オプションの一覧を表示します。ドメインアカウントはサブセクションに整理されており、各サブセクションはドメインコントローラーを表しています。これらのサブセクションには検索オプションが含まれており、それぞれのドメインコントローラー内の特定のドメインアカウントを検索できます。
      connections-1
  2. リソースパネルでWindowsまたはLinuxタイプのリソースをクリックすると、アカウントパネル内に以下のセクションが表示されます。
    1. ローカルアカウント - 選択したリソース内で利用可能なすべてのローカルアカウントの一覧。
      connections-2a
    2. ドメインアカウント - 選択したリソースにアクセスするために使用できるすべてのドメインアカウントのリスト。
      connections-2

      メモ:

      SSHプロトコルを除き、Telnet、レガシーSSH、その他の自動ログインヘルパーは、SSHコマンド制御(フィルタリング)で設定されたアカウントでは無効になります。

  3. AD/LDAP/Entra IDの認証情報を使用してPAM360にログインすると、アカウントパネル内に上記のオプションに加えて、以下のセクションが表示されます。
    1. AD/LDAP/Entra IDアカウントでのログイン - PAM360は、選択したリソースへの接続オプションとして、現在ログインしているAD/LDAP/Entra IDアカウントを表示します。このオプションは、ドメイン認証をサポートするリソースタイプでのみ利用可能です。

      メモ:

      ログイン済みのAD/Microsoft Entra ID/LDAPアカウントを使用して開始されるリモート接続で利用できるログオンオプションは、Windowsシステムの場合はWindows Remote Desktop、Linuxシステムの場合はSSHとなります。

  4. PostgreSQL、MySQL、Oracle DBサーバーなどのデータベースタイプのリソースをクリックすると、アカウントパネルにはローカルアカウントセクションのみが表示されます。
    connections-mysql

メモ:

アカウントパネルでは、特定のタブをピン留めして、すばやくアクセスしたり参照したりできます。例えば、ローカルアカウントタブをピン留めしておくと、リソースを選択するたびに、そのリソースのローカルアカウントが最初に表示されます。この操作はユーザー固有のものであり、同じインストール環境にアクセスする他のユーザーの表示には影響しません。


2.リモート接続

PAM360を使用すると、HTML5対応ブラウザを通じて直接、サポート対象システムへの特権リモートセッションを確立できます。これらのリモートセッションを確立するために必要な認証情報は、PAM360の保管庫に安全に保管されます。さらに、PAM360ではリソースへのパスワードアクセス制御を強制できるため、許可されたユーザーのみがリモートセッションを開始できるようになります。これらの安全対策により、機密データがPAM360に安全に保存され、プラットフォームから起動されるすべてのリモートセッションの完全性が保護されます。

接続タブ内のリソースパネルでリソースをクリックするたびに、選択したリソースに応じてさまざまなセクションに分類された、アクセス可能なさまざまな接続オプションがアカウントパネルに表示されます。PAM360は、特権リソースへの安全なリモート接続を確立するための3つの異なる方法をサポートしています。リソースパネルでリソースをクリックすると、以下のいずれかのオプションを使用して、選択したリソースへのリモート接続を開始できます。

  1. ローカルアカウント - 共有されたローカルアカウントの認証情報を使用して、特権リソースにリモートでログインし、割り当てられた業務を実行します。
  2. ドメインアカウント - 共有された利用可能なドメインアカウントの認証情報のいずれかを使用して、選択されたリソースにアクセスし、割り当てられた業務を実行します。
  3. AD/LDAP/Entra-IDアカウントでのログイン - 現在PAM360にログインしているAD、LDAP、またはEntra IDの認証情報を使用して、選択したリソースにリモートでログインします。このオプションは、ドメイン認証をサポートするリソースタイプでのみ利用可能で、認証情報を再度手動で入力することなくリソースにアクセスできます。

メモ:

  • 特権リソースへのリモートセッションを開始するために利用できる接続オプションは、選択したリソースの種類によって異なります。
  • 特権リモート接続がアクティブな場合、管理者はNotificationsパネル、パスワードダッシュボード、および監査 >> Managed Sessions >> Active Sessionsから詳細を確認できます。特権的なリモート接続はすべて、記録およびアーカイブすることが可能です。特権セッションの記録の詳細については、こちらをクリックしてください。

リモート接続を開始する手順は、選択したリソースのリソースタイプ、環境内でアクセス制御ワークフローが有効になっているかどうか、選択したリソースにアクセスするために使用するアカウントなど、さまざまな要因によって異なります。前述のとおり、利用可能な接続オプションは、選択したリソースの種類によって異なります。

2.1 安全なリモート接続の起動

接続タブから特権リソースへのリモート接続を開始するには、以下の手順に従ってください。

  1. 接続タブに移動し、左側のパネルにある接続ツリーから目的のカテゴリを選択し、PAM360インターフェースからリモートでアクセスしたいリソースをリソースパネルでクリックします。
  2. 選択したリソースに応じて、アカウントパネルは複数のセクションに分割され、選択したリソースへのリモート接続を開始できるさまざまな接続オプションが表示されます。アカウントパネル内の目的のセクションに切り替え、選択したリソースにアクセスするために使用するアカウントにカーソルを合わせ、[接続]ボタンをクリックします。選択したリソースに応じて、ドロップダウンメニューとして複数のオプションが表示されます。
    connections-5
  3. 表示されたオプションから、希望するリモートログイン手順を選択してください。この操作を行うと、ブラウザウィンドウの新しいタブでリモートセッションが開きます。PAM360がリポジトリに保存されているパスワードを使用して接続を認証すると、すぐにセッションが開始されます。
  4. 現在ログインしている AD/Entra ID/LDAP アカウントを使用して選択したリソースにリモートでアクセスする場合は、表示される現在ログイン中のアカウントを使ってオートログインを行うウィンドウに AD/LDAP/Entra ID のパスワードと理由を入力し、[接続]をクリックします。
    connections-6
  5. 指定されたリソースへのリモート接続が正常に確立されました。

アクセス制御ワークフローが設定されたリソースに対して特権リモートセッションを開始するには、要求/リリースワークフローに従って、リモート接続を確立するために使用するアカウントの特権パスワードを取得する必要があります。パスワードアクセス制御ワークフローに関連するすべての操作は、接続タブから直接実行できます。このプロセスには、パスワードへのアクセスを要求する段階、承認後にパスワードをチェックアウトする段階、使用後にパスワードを保管庫に戻す段階など、さまざまな段階が含まれます。

2.2 アクセス制御設定済みリソースへのリモート接続の起動

リモート接続を開始するための要求/リリースワークフローに従って、以下の手順でパスワードにアクセスしてください。

  1. 接続タブに移動し、左側のパネルにある接続ツリーから目的のカテゴリを選択し、PAM360インターフェースからリモートでアクセスしたいリソースをリソースパネルでクリックします。
  2. 選択したリソースに応じて、アカウントパネルは複数のセクションに分割され、選択したリソースへのリモート接続を開始できるさまざまな接続オプションが表示されます。アカウントパネル内の目的のセクションに切り替え、選択したリソースにアクセスするために使用するアカウントにカーソルを合わせ、[要求]ボタンをクリックします。
    connection-acc-control-1
  3. パスワード要求ウィンドウで、要求するパスワードに応じて、以下の操作を実行してください。
    1. ドメインアカウント - 選択したリソースにアクセスするためにドメインアカウントのパスワードを要求する場合は、利用可能なオプションから選択したドメインアカウントを使用してアクセスしたいリソースを選択し、アクセス時間帯を選択して、選択したリソースへのアクセスを要求する理由を理由フィールドに入力してください。
    2. ローカルアカウント - 選択したリソースにアクセスするためのローカルアカウントのパスワードを要求する場合は、カレンダーオプションを使用して選択したリソースにアクセスしたい時間帯を選択し、理由フィールドに選択したリソースへのアクセスを要求する理由を入力してください。
  4. 必要事項を入力した後、パスワード要求ウィンドウの下部にある送信ボタンをクリックして、選択したアカウントのパスワードアクセスを要求してください。この要求は、アクセス制御ワークフローにおいて承認済み管理者として指定されている管理者に送信されます。パスワードのステータスは待機中に変わり、選択したリソースにカーソルを合わせると表示されます。
    connection-acc-control-2a
  5. 管理者が要求を承認すると、パスワード保管庫からパスワードを取得し、リモート接続を開始できます。パスワードがチェックアウト可能になると、接続アイコンの色が青から緑に変わります。アカウントにカーソルを合わせ、チェックアウトボタンをクリックしてください。
    connection-acc-control-2
  6. パスワードチェックアウト画面には、リソース名、アカウント名、アクセス期間などのアクセス詳細が表示されます。パスワードにアクセスするには、チェックアウトボタンをクリックしてください。パスワードへの独占的なアクセス権は30分間保持されます。その後、パスワードは自動的に保管庫に戻され、パスワードへのアクセス権は取り消されます。
  7. パスワードを入手すれば、リモート接続を開始できます。アカウントパネルで、該当するアカウントの下にある接続ボタンをクリックします。選択したリソースに応じて、ドロップダウンメニューとして複数のオプションが表示されます。
  8. 表示されたオプションから、希望するリモートログイン手順を選択してください。この操作を行うと、ブラウザウィンドウの新しいタブでリモートセッションが開きます。PAM360がリポジトリに保存されているパスワードを使用して接続を認証すると、すぐにセッションが開始されます。
  9. 使用後にパスワードを保管庫に戻すには、アカウントにカーソルを合わせ、チェックインボタンをクリックします。パスワードのチェックインポップアップには、リソースとアカウントの詳細が表示されます。パスワードへのアクセスを放棄するには、[チェックイン] をクリックします。
    connection-acc-control-4

ユーザーがパスワード保管庫からパスワードをチェックアウトして使用している場合、他のユーザーはパスワードへのアクセスを要求することはできず、ステータスは使用中と表示され、サムネイルは赤色で表示されます。

connection-acc-control-3

メモ:

パスワードを保管庫にチェックインすると、それ以降はそのパスワードにアクセスできなくなります。リモート接続を開始するためにパスワードを再度取得する必要がある場合は、要求承認ワークフローに従って、新しいパスワードアクセス要求を送信する必要があります。


3.Webサイトとの接続

3.1 安全なWebサイト接続の確立

PAM360を使用すると、ユーザーは機密性の高いWebアプリケーションやサービスへの安全なWebサイトセッションをアプリケーションから直接開始できます。ユーザーはこの機能を利用して、PAM360インターフェースから特権Webアプリケーションやサービスにシームレスにアクセスできます。Webサイトのセッションを開始するには:

  1. 接続タブに移動し、左側のパネルからWeb App接続先を選択します。
  2. Webアプリ接続先ページには、あなたと共有されているすべてのWebアプリリソースのリストが表示されます。
    connections-website
  3. 目的のリソースにカーソルを合わせ、接続ボタンをクリックすると、Webサイトのセッションが開始されます。

メモ:

  • Webサイト接続でセッション記録が有効になっている場合、セッションが確実に記録されるように、ユーザーはPAM360拡張機能にログインする必要があります。
  • Webサイトへの接続は、30分間のみ記録されます。

3.2 Webサイトおよびアプリケーションの自動入力サポート

PAM360は、アクティブなブラウザ拡張機能を介してPAM360ウェブインターフェースから起動されたWebサイトセッションの自動入力機能をサポートしています。Webサイトやアプリケーションで認証情報を自動入力するには、認証情報をPAM360のリソース内に保存する必要があります。Webサイトへのログインを試みる際は、対象サイトの認証情報入力欄の横に表示されるPAM360拡張機能のアイコンをクリックし、アカウントを選択してください。対応するユーザー名とパスワードは自動入力されますので、手動でエンターキーを押してWebサイトにログインしてください。

メモ:

  • Webサイトやアプリケーションにアクセスする際、新しいログイン情報を入力すると、この拡張機能は自動入力用のアカウントを選択するよう求める代わりに、その情報を保存するかどうかを尋ねます。保存時に、ブラウザ拡張機能から直接、PAM360サーバーへ認証情報をエンタープライズアカウントまたは個人アカウントとして追加することができます。
  • 自動入力機能は、PAM360ブラウザ拡張機能がインストールされている場合にのみ動作します。

4.HTTPSゲートウェイ接続

4.1 HTTPSゲートウェイセッションの起動

HTTPSゲートウェイ接続権限を持つユーザー(管理者、接続ユーザー、カスタムロールを持つユーザー)は、以下のいずれかの方法を使用して、設定済みのリソースURLへのHTTPSゲートウェイセッションを開始できます。

  1. [接続] >> [リモート接続] >> [HTTPS ゲートウェイ接続] に進みます。
  2. HTTPS ゲートウェイ接続ページには、利用可能なすべてのHTTPSゲートウェイ接続オプションの一覧が表示されます。
    https-gateway-8
  3. 目的の接続オプションにカーソルを合わせ、[接続]ボタンをクリックすると、HTTPSゲートウェイ接続が開始されます。
  4. リソースタブで、設定済みのリソースの横にあるリモート接続コラムの下にあるHTTPSゲートウェイセッションオプションをクリックします。
    https-gateway-7

ターゲットURLへのセッションが各ページから起動されると、Webページが、所定のサーバーURLとカスタムポートの新しいタブで開きます。(例:https://server-name:8285/{uri}).PAM360におけるHTTPSゲートウェイサーバーの詳細については、こちらのリンクをご覧ください。

メモ:

  • ビルド7400以降、PAM360はPAM360ウェブインターフェースおよび拡張機能から起動されたHTTPSゲートウェイセッションの自動入力機能をサポートします。
  • HTTPSゲートウェイ接続でセッション記録が有効になっている場合、HTTPSゲートウェイ接続を開始するには、アクティブなPAM360拡張機能セッションが必要です。

4.2 Webサイトおよびアプリケーションの自動入力サポート

この手順はビルド7400以降に適用されます

PAM360は、PAM360ウェブインターフェースからHTTPSゲートウェイ経由で起動されたWebサイトセッションの自動入力機能をサポートしています。Webサイトやアプリケーションで認証情報を自動入力するには、認証情報をPAM360のリソース内に保存する必要があります。Webサイトへのログインを試みる際は、対象サイトの認証情報入力欄の横に表示されるPAM360拡張機能のアイコンをクリックし、アカウントを選択してください。対応するユーザー名とパスワードは自動入力されますので、手動でエンターキーを押してWebサイトにログインしてください。

メモ:

  • Webサイトやアプリケーションにアクセスする際、新しいログイン情報を入力すると、この拡張機能は自動入力用のアカウントを選択するよう求める代わりに、その情報を保存するかどうかを尋ねます。保存時に、ブラウザ拡張機能から直接、PAM360サーバーへ認証情報をエンタープライズアカウントまたは個人アカウントとして追加することができます。
  • 自動入力機能は、PAM360ブラウザ拡張機能がインストールされている場合にのみ動作します。

5.ファイルの操作

PAM360を使用すると、別途リモート接続を開始することなく、セキュアファイル転送プロトコル(SFTP)を介してリモートマシンのディレクトリとの間でファイルを転送できます。さらに、PAM360は2つのリモートデバイス間での双方向ファイル転送をサポートしています。双方向ファイル転送中、PAM360はリモートデバイス間で安全かつ暗号化された接続を確立し、アクセス可能なすべてのディレクトリを表示することで、リモート接続を開始することなく安全なファイル転送を実現します。PAM360における様々なファイル転送メカニズムの詳細と、それらの機能を活用するための具体的な手順については、こちらをクリックしてください。

さらに、RDP経由でWindowsリソースへのリモート接続を確立している間は、リモートマシンとの間でファイルを転送することが可能です。また、Legacy SSH経由でLinuxマシンへのリモート接続を開始している間は、リモートマシンへファイルをアップロードすることができます。RDPセッション中にファイルを転送する詳細な手順については、こちらのリンクをご覧ください。SFTPを使用したファイル転送の上限は6GBですが、リモートセッション中に実行されるファイル転送は5GBに制限されます。

メモ:

ビルド7500以降、SFTPによるファイル転送の最大制限はデフォルトで2GBに設定されています。管理者は、運用上の必要性に応じて、一般設定内でこの制限を調整し、10GBまで増やしたり、50MBまで減らしたりすることができます。ただし、最適なパフォーマンスを得るためには、転送制限を2GB以下に抑えることをお勧めします。さらに、PAM360では、SFTPセッション中にリモートディレクトリ内のファイルやフォルダを削除することができます。


6.リモートアプリへのアクセス

PAM360を使用すると、管理者はRDP接続時に、リモートマシン上の特定のアプリケーションに対するユーザーのアクセスを効率化できます。リモートデバイスへのRDP接続を開始するユーザーは、RemoteAppとして構成されているアプリケーションのみにアクセスできます。リソース内で RemoteApp を追加、検出、および構成するための詳細な手順については、こちらのリンクをご覧ください。

6.1 RemoteApp接続の起動

RemoteApp接続を開始するには、以下の手順に従ってください。

  1. 接続タブに移動し、左側のパネルにある接続ツリーから目的のカテゴリを選択し、RemoteAppで設定されたリソースパネル上の該当するリソースをクリックします。
  2. アカウントパネル内の目的のセクションに切り替え、選択したリソースにアクセスするために使用するアカウントにカーソルを合わせ、[接続]ボタンをクリックします。選択したリソースに応じて、ドロップダウンメニューとして複数のオプションが表示されます。
  3. 表示されたオプションから、希望するリモートログイン手順としてWindows Remote Desktopを選択してください。このリソースでRemoteAppとして設定されているアプリケーションの一覧は、接続ボタンの下に表示されます。
    connection-remote-app
  4. リストから目的のアプリケーションを選択して、選択したリソースへのリモート接続を開始します。

    メモ:

    RemoteAppの設定は、リソースを共有する際にユーザーに付与されるアクセスレベルの権限を上書きします。

6.2 RemoteAppアクセスシナリオ

PAM360は、WindowsおよびWindowsドメインリソース上の特定のアプリケーションにユーザーがどのようにアクセスできるかを決定する、柔軟なRemoteApp構成を提供します。アクセス動作は、RemoteAppがどこで構成されているか(Windowsリソースレベル、Windowsドメインリソースレベル、またはその両方)によって異なります。以下のシナリオは、構成の違いに基づき、PAM360がRemoteAppベースのアクセスをどのように処理するかを示しています。この演習では、以下のリソースを参考にしてください:WindowsリソースであるCHNPROD-WIN10と、WindowsドメインリソースであるCHNWinDom-01

  1. Windowsリソースレベルで設定されたRemoteApp
    • 構成 - WindowsリソースCHNPROD-WIN10が、アクセス権限RemoteAppのみでユーザーAと共有されています。一方、WindowsドメインリソースCHNWinDom-01は、閲覧アクセス権限で共有されています。MS SQL Studioアプリケーションが、CHNPROD-WIN10上のRemoteAppとして構成されています。
    • 結果 - ユーザーAが、WindowsドメインリソースCHNWinDom-01のドメインアカウントのいずれかを使用してWindowsリソースCHNPROD-WIN10にアクセスする場合、PAM360は、使用されたドメインアカウントにかかわらず、MS SQL Studioアプリケーションへのアクセスに制限します。RemoteAppの設定はWindowsのリソースレベルで適用されるため、ドメインレベルのアクセスよりも優先され、ユーザーがアクセスできるアプリケーションが指定されたものに制限されます。
  2. Windowsドメインのリソースレベルで設定されたRemoteApp
    • 構成 - WindowsドメインリソースCHNWinDom-01は、MS SQL Studioに対するRemoteAppのみのアクセス権限でユーザーAと共有されています。一方で、WindowsリソースにはRemoteAppの設定がありません。
    • 結果 - ユーザーAがCHNWinDom-01のドメインアカウントのいずれかを使用してCHNPROD-WIN10にログインすると、PAM360はCHNPROD-WIN10への無制限のアクセス権を付与します。これは、CHNPROD-WIN10がターゲットリソースであり、アプリケーションレベルの制限を適用するためのRemoteApp構成が欠落しているためです。その結果、ユーザーAの閲覧レベルのアクセス権限が適用され、ユーザーAは当該リソースへの閲覧アクセスが可能になります。
  3. 異なるRemoteAppsで設定されたWindowsおよびWindowsドメインリソース
    • 構成 - このシナリオでは、両方のリソースにそれぞれ異なるRemoteApp構成が適用されます。WindowsリソースCHNPROD-WIN10はリモートアプリとしてMS SQL Studioで構成され、WindowsドメインリソースCHNWinDom-01はDBeaverで構成されています。
    • 結果 - ユーザーAが、CHNWinDom-01ドメインのアカウントのいずれかを使用してWindowsリソースCHNPROD-WIN10にログインした場合、リソースレベルで適用されているRemoteAppの設定により、MS SQL Studioアプリケーションのみにアクセス可能となります。あるいは、ユーザーがドメインアカウントのいずれかを使用してWindowsドメインリソースCHNWinDom-01にログインした場合、DBeaverアプリケーションのみにアクセスできます。