アカウントとパスワードの管理

PAM360 でアカウントとパスワードを簡単に管理できます。本書では、アカウントの表示、編集、コピー、移動等、ユーザーがPAM360のアカウントを管理し、パスワードを変更、パスワード履歴を表示、および PAM360に保存されているオあスワードの整合性をチェックすることができるさまざまな方法について説明します。

  1. アカウントの表示
  2. パスワードのコピー
  3. パスワードの変更
  4. PAM360に保存されているパスワードの検証
  5. パスワード履歴の表示
  6. パスカードリンクのコピー
  7. アカウントの編集
  8. アカウントのコピー
  9. アカウントの移動

1. アカウントの表示

リソースの一部であるアカウントを表示するには、以下の手順に従ってください。

  1. リソース タブに移動し、アカウント情報を表示したいリソース名をクリックしてください。各リソースのアカウント情報は、新しいダイアログ ボックスに表示されます。
  2. デフォルトでは、パスワードは、アスタリスクの後ろに隠れて表示されます。パスワードを平文で表示するには、各アスタリスクをクリックするだけです。パスワードは、10秒間のみ表示されます。その後、自動的に非表示にされます。アスタリスクをもう一度クリックすると、パスワードを再表示できます。
    manage-accounts-1

デフォルトの10秒は、一般設定ページから変更できます。

1.1 自動ログオン設定されたアカウントのパスワードをエンドユーザーが表示することの許可

自動ログオンを有効にすると、PAM360 では、ユーザーがパスワードを表示または取得することなく、リソースに直接接続できるようになります。通常、パスワード ユーザーや監査担当者は、共有されたパスワードを閲覧できますが、自動ログオンが設定されている場合は、パスワードの可視性は不要になる場合があります。このような場合、[一般設定] にある設定を使用して、特定のユーザー ロールを持つユーザーに対してパスワードへのアクセスを許可または制限することができます。

1.2 ユーザーによるパスワード表示理由の入力の実行

デフォルトでは、ユーザーがリソース パスワードを取得するためにアスタリスクをクリックすると、パスワードは平文で表示されます。ユーザーにアクセス権が必要な理由を説明させたい場合は、一般設定パスワード取得時、ユーザーに理由の入力を強制 オプションを有効にしてください。

2.パスワードのコピー

PAM360は、ブラウザのクリップボードユーティリティを利用して、パスワードのコピーと貼り付けが必要な時に、パスワードをコピーします。リソース タブに移動し、パスワード セクションに切り替えて、コピーしたいパスワードの横にある[パスワードをクリップボードにコピー]アイコンをクリックします。コピーしたパスワードは、30秒間貼り付けができます。

3.パスワードの変更

ユーザー アカウントのパスワードを変更するには、以下の手順に従ってください。

  1. [リソース] タブの [リソース] セクションに移動し、関連するリソースを選択して、リモートパスワード変更を実行するアカウントを特定します。
    または、[リソース] タブの [パスワード] セクションに移動して、必要なアカウントを直接探すこともできます。
  2. パスワードを変更するアカウントの [アカウント アクション] アイコンをクリックし、ドロップダウン リストから [パスワード変更] を選択します。
    manage-accounts-2
  3. 表示されるポップアップで、新しいパスワードを入力し、同内容を確認します。必要に応じて、組み込みの PAM360 パスワード ジェネレーターを選択してください。
  4. 対象システムでパスワードを更新する場合は、パスワード変更をリモート リソースに適用 オプションを有効にしてください。
    manage-accounts-3
  5. アカウントのパスワードを変更するには、保存 をクリックしてください。

メモ:

  • 新しいパスワードを入力すると、管理者がリソースに対して設定したパスワード ポリシーが自動的に適用されます。
  • リモート同期の試行が失敗した場合、PAM360 とターゲット システム間の一貫性を確保するために、パスワードの変更はローカルに保存されません。

4.PAM360に保存されているパスワードの検証

PAM360 は、サーバー、データベース、ネットワーク機器、アプリケーションなどの重要なリソースのパスワードを保存します。ただし、管理者が PAM360 を経由せずに、対象システム上で直接パスワードを更新するケースも考えられます。この場合、PAM360 に保存されているパスワードは古くなり、そのパスワード保管庫に依存しているユーザーは使用できなくなります。

この問題を解決するため、PAM360 では、保存されているパスワードをリソース上の実際のパスワードと照合して検証することができます。パスワードの検証は、必要に応じて手動で行うことも、スケジュールされた間隔で自動的に行うことも、いつでも実行できます。オンデマンド検証は、単一のアカウントに対して開始することも、PAM360 に保存されているすべてのアカウントとリソースに対して開始することもできます。

4.1 個人アカウントのパスワードの確認

アカウント パスワードの整合性を確認するには、以下の手順に従ってください。

  1. リソース タブに移動し、必要なリソースをクリックして アカウント情報 ダイアログを開くか、パスワード タブに切り替えてください。
  2. 確認したいアカウントの横にある アカウントアクション アイコンをクリックし、ドロップダウン メニューから パスワード検証を 選択します。
    manage-accounts-4
  3. PAM360 は、リポジトリに保存されている認証情報を使用して、ターゲット システムへの接続とログインを試みます。認証に失敗した場合、パスワードは非同期とマークされます。

メモ:

  • パスワード認証は、リモート ログイン認証情報が設定されているアカウントでのみ機能します。
  • PAM360 がネットワークの問題により接続を確立できない場合、それはパスワードの不一致とはみなされません。

4.2 グループ内でのアカウント パスワードの検証

グループ内の複数のアカウントのパスワードを一括で検証し、保存されている認証情報がそれぞれの対象システム上の実際のパスワードと一致することを確認します。リソース グループに対してパスワードの整合性チェックを一括実行するには、以下の手順に従ってください。

  1. グループ セクションに移動し、該当するグループの横にあるアクション アイコンをクリックして、整合性検査 を選択します。
  2. 表示されたダイアログ ボックスで、いますぐ実行 をクリックします。これで、選択したグループのすべてのパスワードがチェックされ、メール通知が管理者に送信されます。

4.3 グループにおけるパスワードのスケジュール検証

PAM360 では、グループのパスワードが同期されているかどうかを確認するために、定期的な整合性チェックをスケジュールできます。以下のステップに従います。

  1. グループ セクションに移動し、該当するグループの横にあるアクション アイコンをクリックして、定期整合性検査 を選択します。
    manage-accounts-5
  2. 開いたポップアップで、以下のいずれかのオプションを選択して、整合性チェックのスケジュールを設定するか、既存のスケジュールを変更します。
    1. 一回のみ(指定した日時に1回だけタスクを実行)
    2. 日(指定した日数の間隔でタスクを実行)
    3. 月毎(毎月の指定した日にタスクを実行)
    4. なし
  4. [スケジュール]をクリックします。

これで、検証タスクは設定されたスケジュールに従って実行されます。PAM360 は、リモート ログイン認証情報が利用可能な、選択されたグループ内の各ターゲット システムに接続します。接続が完了すると、保存されている認証情報を使用して認証を試みます。ログインに失敗した場合、パスワードは非同期とマークされます。ネットワークの問題により PAM360 が接続できない場合、パスワードは非同期としてマークされません。処理が完了すると、統合レポートがすべての管理者と監査担当者に電子メールで送信されます。


4.4 PAM360に保存されているすべてのパスワードの検証

このオプションを使用すると、PAM360 に保存されているすべてのパスワードの整合性チェックを実行できます。検証が完了すると、管理者にはメールで通知が届きます。

  1. レポート > パスワード整合性に移動します。
  2. 整合性検査を実行 をクリックし、表示されるダイアログ ボックスで いますぐ実行 を選択します。
  3. 検証のスケジュール設定後、PAM360 はリモート ログイン認証情報が利用可能なすべてのアカウントについて、各ターゲット システムへの接続を試みます。接続が完了すると、保存されている認証情報を使用してログイン処理が行われます。認証に失敗した場合、パスワードは非同期と判断されます。ネットワークの問題により PAM360 が接続できない場合、パスワードは非同期としてマークされません。処理が完了すると、統合レポートがすべての管理者と監査担当者に電子メールで送信されます。

5.パスワード履歴の表示

PAM360 は、各アカウントのパスワード変更履歴を完全に保持します。パスワード履歴には、以前のパスワード、変更を行ったユーザー、変更を行ったマシン、変更の正確な時刻などの詳細が記録されます。アカウントのパスワード履歴を表示するには、

  1. リソース タブに移動し、必要なリソースをクリックして アカウント情報 ダイアログを開くか、パスワード タブに切り替えてください。
  2. パスワード履歴を表示したいアカウントの横にある アカウントアクション アイコンをクリックし、ドロップダウン メニューから パスワード履歴 を選択します。
  3. 表示されるポップアップ画面に、パスワード履歴が表示されます。

    メモ:

    アクセス制御が有効になっている共有リソースの場合、パスワード履歴を表示するには、管理者の承認が必要です。

6.パスカードリンクのコピー

パスカードには通常、リソース名、アカウント名、同アカウントのパスワード、リソースの所有者とDNS名が追加可能性のある追加リソースまたはアカウント属性とあわせて含まれています。アカウントのパスカードを表示するには、PAM360 にログインしている必要があり、該当するリソースはあなたが所有しているか、あなたに共有されている必要があります。パスカード リンクは、PAM360 における個々のアカウント情報情報を共有可能なリンクとして提供します。  リンクは、パスカードを関連する権限と共有する者のみアクセスできます(読取専用、読取・書込み、または管理)。

下の手順にしたがって、アカウントのパスカードをコピーします:

  1. リソース タブに移動し、必要なリソースをクリックして アカウント情報 ダイアログを開くか、パスワード タブに切り替えてください。
  2. 目的のアカウントの横にある アカウントアクション アイコンをクリックし、ドロップダウン メニューから パスカードのリンクをコピー を選択します。パスカードのリンクはクリップボードにコピーされ、クリップボードをクリアするまでそこに残ります。
  3. コピーしたパスカードの URL を新しいブラウザ ウィンドウに貼り付けて、その内容を表示してください。パスカードには QR コードも含まれており、そこから URL をスキャンして抽出することができます。
    manage-accounts-6

    manage-accounts-7

7.アカウントの編集

アカウント情報はいつでも編集できます。そのためには、以下の手順に従ってください。

  1. リソース タブに移動し、必要なリソースをクリックして アカウント情報 ダイアログを開くか、パスワード タブに切り替えてください。
  2. 編集したいアカウントの横にある アカウントアクション アイコンをクリックし、ドロップダウン メニューから アカウントを編集 を選択します。
  3. 表示される アカウントを編集 フォームで、アカウントの必須属性を編集します。アカウント属性の詳細については、このドキュメントを参照してください。
  4. 完了したら、保存 をクリックしてください。必要な変更がビューに反映されます。

8.アカウントのコピー

アカウントをコピーして、1つまたは複数のリソースに追加することができます。コピー後、これらのアカウントは必要に応じて編集できます。アカウントのコピー機能は、異なるリソース間で同一のアカウントを管理する場合に便利です。なお、この処理中、元のアカウントは変更されません。1つまたは複数のアカウントをコピーするには、以下の手順に従ってください。

  1. リソース タブに移動し、必要なリソースをクリックして アカウント情報 ダイアログを開くか、パスワード タブに切り替えてください。
  2. コピーしたいアカウントの横にある アカウントアクション アイコンをクリックし、ドロップダウン メニューから アカウントのコピー を選択します。
    manage-accounts-8
  3. 開いた アカウントのコピー ダイアログ ボックスで、アカウントをコピーする先のリソースを選択します。必要なリソースを矢印を使って、宛先リソースパネルに移動します。
    • 共有アクセス許可も継承します オプションを有効にすると、選択したアカウントの共有権限が継承されます。つまり、新しいアカウントは、親アカウントを表示する権限を持っているすべてのユーザーと共有されます。
    • コピー操作中に、選択したアカウントに対して設定したアクセス制御設定を保持するには、アクセス制御を設定 オプションを有効にします。このコピー操作では、アカウント レベルのアクセス制御設定のみが保持されることにご注意ください。コピー操作中にこのオプションのチェックを外した場合、または選択したアカウントに個別のアクセス制御設定が設定されていない場合は、宛先リソースのリソース レベルのアクセス制御設定がこのアカウントにも適用されます。
    • 選択したアカウントのパスワード履歴を保持するには、パスワード履歴を移動 オプションを有効にしてください。パスワード履歴に関する詳細については、こちらをクリックしてください。
    • コピー操作中に、選択したアカウントに対して行われたコマンド制御の設定を保持するには、コマンドコントロール オプションを有効にしてください。
  4. 必要なコピー数を指定し、保存 をクリックしてください。アカウントは選択されたリソースの下に表示されます。
    manage-accounts-9

9.アカウントの移動

アカウントをあるリソースから別のリソースに移動できます。アカウントが移動すると、現在のリソースから削除され、移動先のリソースに追加されます。アカウントを移動するには、以下の手順に従ってください。

  1. リソース タブに移動し、必要なリソースをクリックして アカウント情報 ダイアログを開くか、パスワード タブに切り替えてください。
  2. 移動したいアカウントの横にある アカウントアクション アイコンをクリックし、ドロップダウン メニューから アカウントの移動 を選択します。
    manage-accounts-10
  3. 開いた アカウントの移動 ダイアログボックスで、選択したアカウントの移動先 ドロップダウン リストからリソースを選択します。
    • 選択したアカウントの共有権限を移動するには、共有アクセス許可も移動します オプションを有効にします。
    • 移動操作中に、選択したアカウントに対して設定されたアクセス制御構成を保持するには、アクセス制御を設定 オプションを有効にしてください。この移行操作では、アカウント レベルのアクセス制御設定のみが保持されることにご注意ください。移動操作中にこのオプションのチェックが外れた場合、または選択したアカウントに個別のアクセス制御設定が設定されていない場合は、移動先のリソースのリソース レベルのアクセス制御設定がこのアカウントにも適用されます。
    • 選択したアカウントのパスワード履歴を移動するには、パスワード履歴を移動 オプションを有効にしてください。パスワード履歴に関する詳細については、こちらをクリックしてください。
    • 移動操作中に、選択されたアカウントに対して行われたコマンド制御の設定を移動するには、コマンドコントロール オプションを有効にしてください。
  4. [保存]をクリックします。アカウントは現在のリソースから削除され、選択したリソースの下に表示されます。
    manage-accounts-11