アクセス制御ワークフロー
(この機能は、Premium Edition、Enterprise Editionでのみサポートされています。)
アクセス制御とは?
アクセス制御はユーザーの信頼性を保証する方法論です。タスクの実行のための適切なアクセス、データへのアクセスを実現させます。言い換えるならば、アクセス制御は選択的なデータへのアクセスの制御であると定義づけられます。アクセス制御は主に次の2つのモジュールによって成り立っています、「認証」と「認可」です。認証とは申請した人がその人自身であると検証する方法を意味します。しかし、認証だけでデータを保護するのには不十分です。認可という新たなレイヤー、 ユーザーがデータにアクセスするつもりなのか、アクションを実行しようとしているのかどうかを決定するレイヤー、が必要となります。データの安全性は認証と認可なしには実現不可能です。
Password Manager Proでのアクセス制御のメカニズム
Password Manager Pro(PMP)は特定の期間、管理者がパスワードアクセスをユーザー許可するアクセス制御のメカニズムを提供します。パスワードを共有する準備ができた段階で管理者は排他的な特権を与えます。そしてある特定の時間において、単一のユーザーのみ特定のパスワードを利用できるようになります。
こちらのドキュメントではパスワードアクセス制御のワークフローに関して以下のトピックについて説明しています。
1.アクセス制御機能はどのように使用するのか?
パスワード アクセス制御がリソースやアカウントにて強制されている環境では、ユーザーは次の流れでパスワードにアクセスします:
- ユーザーが共有されているパスワードにアクセスします。
- ユーザーは、パスワードへのアクセス要求をします。
- 要求は、承認を受けるために管理者に送られます。パスワードへのアクセス要求が他のユーザーからもある場合、要求は承認キューに蓄積されます。
- 既定の時間内に管理者が要求を承認しなかった場合、要求は失効します。
- 管理者が要求を拒否した場合、要求は失効します。
- 管理者が要求を承認した場合、ユーザーはパスワードへのアクセスが許可されます。2人の管理者によるパスワードの承認が必要な設定の場合、2人の管理者による承認を受けて初めてユーザーはパスワードへアクセスできるようになります。
- ユーザーがパスワードをチェックアウトすると、ユーザーは既定の時間だけパスワードに対して排他的アクセスが可能になります。
- ユーザーがパスワードへの排他的アクセスを行っている間、他のユーザーは、利用中のユーザーがパスワードをチェックインするまでそのパスワードにアクセスすることはできません。このルールは管理者、パスワード管理者、パスワードの所有者すべてに対して適用されます。
- 管理者はパスワードへのアクセスを強制的に中止させることができます。強制中止をすると、対象のパスワードは強制的にチェックインされ、ユーザーによるアクセスができなくなります。ユーザーが作業を完了すると、パスワードはリセットされます。
- ユーザーに一時的な排他アクセスを提供する一方で、管理者はパスワードを表示することができます。[一般設定]から簡単な管理設定を行うことで、ユーザーは必要に応じこの操作が可能になります。
2.パスワードアクセス制御の優先度はどのように働くのか?
アカウント単位のアクセス制御はリソース単位のアクセス制御よりも高い優先度で設定されます。詳細は以下の通りです。
- あるリソースに対してアクセス制御を有効化した場合、その設定は当該のアカウントの全リソースに対して適用されます。しかし、アカウント単位のアクセス制御が当該のリソースにて個々のアカウントに対して適用された場合、アカウントに対するアクセス制御の設定はリソースに対するアクセス制御よりも優先されます。
- PMP-win10はアカウントが複数紐づいているリソースだとします。 リソース単位でPMP-win10に対してアクセス制御が適用された場合、PMP-win10に紐づいている全アカウントに対して設定が適用されます。ところがリソースPMP-win10に紐づいているAdministratorに対してアカウント単位でのアクセス制御を設定した場合、リソース単位のアクセス制御にてAdministratorに設定された内容がアカウント単位でのアクセス制御の設定内容に変更されます。 しかしながら、それ以外のアカウントに対するアクセス制御は変更されません。
- リソース単位のアクセス制御が無効化されても、同じリソースでのアカウント単位でのアクセス制御には影響はありません。
- アカウント単位でのアクセス制御があるアカウントにて無効化された場合、リソース単位のアクセス制御が設立されていれば、その設定がそのアカウントに対して自動的に適用されます。
- アカウント単位でのアクセス制御は同じリソース内によりセキュアに管理すべきアカウントが存在する場合に有用です。
- CentOS-1はアカウントが複数紐づいているリソースだとします。アクセス制御がCentOS-1には施されており、リソースへのアクセスには一人の承認者の承認が必要となります。その設定はリソースに含まれるすべてのアカウントに対して適用されます。しかしながら、そのリソースのRootアカウントに対してはよりセキュアな管理が要求されます。この場合、アカウント単位でのアクセス制御をRootアカウントに対して適用すると、パスワードの取得に対して最低5名の承認者からの承認が必要になるというように変更可能です。Rootアカウントに対するアクセス制御の変更はCentOS-1リソースの他のアカウントに対する設定には影響を与えません。
3.パスワードアクセス制御ワークフローの実装方法
リソース単位、アカウント単位でのアクセス制御の設定は以下を手順となります。Follow the below steps to implement password access control for a resource or an account:
3.1 リソース単位でのアクセス制御を実装
- リソースタブに移動します。
- アクセス制御を有効にするリソースを選択します。
- 1つのリソースだけを選択した場合は、その特定のリソースに対する「リソースアクション」アイコンをクリックし、ドロップダウンから「アクセス制御設定」を選択します。一方、複数のリソースを選択した場合は、リソースリストの上部にある「リソースアクション」ボタンをクリックし、ドロップダウンから「アクセス制御設定」を選択します。
3.2 アカウント単位でのアクセス制御を実装
アカウント単位でのアクセス制御では、リソース内の各々のアカウント毎にアクセス制御を設定可能です。こちらの設定が他のアカウントのアクセス制御の設定に影響を及ぼすことはございません。こちらの各アカウント毎に設定できる仕様により、アカウントのセキュリティレベルに応じて管理することが可能になります。
以下の手順に従って、アカウント毎にアクセス制御を実装してください:
- 複数のアカウントに対して同じアクセス制御を実装する場合には、「リソース」タブ>>「パスワード」タブ へと進み、アクセス制御を実装したいすべてのアカウントを一括で選択してください。次に画面上部のアカウントアクションメニューをクリックし、アクセス制御を設定へ進んでください。
- 単一のアカウントに対して同じアクセス制御を実装する場合には、「リソース」タブ>>「パスワード」タブ へと進み、当該のアカウントに対するリソースアクション アイコンをクリックし、アクセス制御を設定をクリックします。またあるリソースに紐づいている1つないし複数のアカウントに対してアクセス制御を実装するためには、「リソース」タブ>>当該のリソース>>当該のアカウントのアカウントアクションアイコンからアクセス制御を設定をクリックしてください。または対象のアカウントを選択した上で、画面上部の「その他の操作」>>「アクセス制御を設定」から設定してください。
- アクセス制御を設定へ進むと、 4つのタブを確認できます。要件に沿ってそれぞれカスタマイズしてください。
- 承認管理者
- 除外ユーザー
- その他の設定
- 自動承認
i.承認管理者
パスワードリクエストに対する承認者となる管理者を指定してください。システム上の全ての管理者、パスワード管理者、特権管理者は左側の枠に表示されます。リソース、アカウントに対して指定した人数分の管理者を指定可能です。承認者として指定されたユーザーは誰でもユーザーからの申請に対して承認できます。
ⅱ.除外ユーザー
こちらのオプションでアクセス制御のワークフローを適用するユーザーから除外します。除外ユーザーはリクエストを上げずにパスワードに対して直接アクセスできるようになります。
iii.その他の設定
- パスワード アクセスを承認する管理者は2人以上必要 ( )管理者: こちらのオプションからパスワードリクエストに対する承認に必要な管理者数を指定します。1から10人までの管理者数を指定できます。また「管理」タブ>>「セットアップ」欄>>「一般設定」>>「パスワード取得」タブにて最大値( )承認者(最小「1 」から最大「10 」の管理者を指定できます)を設定できます。 少なくとも10人の管理者による承認を強制させたい場合、10人の管理者を承認管理者としてこちらから設定する必要があります。承認管理者 セクション
- パスワードを取得する際に理由の入力を強制: こちらのオプションによってユーザーにパスワード申請時の理由の記述を強制します。監査上有益な設定となります。
- 指定された時間の( )分前に、管理者にリマインドメールを送信: こちらのオプションから管理者に対して未承認のパスワード申請に対するリマインドメールの通知時間を設定できます。承認期限から特定の時間前になりましたら、PMPがリマインドメールを送信します。
- 使用時間終了後、ユーザーに( )分の延長時間を付与: こちらのオプションにより排他的使用時間後、最大で60分の延長時間をユーザーに対して付与できます。
- パスワードは、承認されてから( )時間後に自動的にチェックイン: こちらのオプションにより承認後自動的にチェックインされる時間を指定できます。
- 承認されない場合、要求は( )時間後に無効:こちらのオプションによってパスワード申請の最大保留時間を設定可能です。一人でも承認管理者がパスワード申請に対して承認すると他の承認管理者に対して通知メールが送信されます。
- パスワード アクセスの排他は最大で( )分: こちらのオプションによってパスワードアクセスの排他的使用時間を設定できます。設定された時間内はパスワードは排他的に特定のユーザーのみ使用可能となります。こちらの設定はリソースの所有者にも適用され、パスワードを閲覧することができません。デフォルトの設定では排他的使用時間は30分間となります。しかし、所定の時間へ設定変更可能となります。例えば、2時間として設定した場合、当該のユーザーに対して排他的に2時間パスワードの利用を許可します。他のユーザーは当該のパスワードをその時間内では閲覧することができなくなります。排他的時間後は他のユーザーが当該のパスワードを閲覧できるようになります。0時間として設定した際にはパスワードは無制限に排他的使用可能となります。
- 排他的使用の後(他のユーザーによってチェックインする場合)に、パスワード/SSH鍵を変更: こちらのオプションによってチェックイン後、パスワードを自動的に変更します。こちらの自動パスワード変更機能が動作するためにはリモートでのパスワード変更に必要となる資格情報をリソースに設定しておくか、PMPのエージェントを対象のサーバーにインストールしている必要があります。こちらが未設定ではパスワード変更は実行されません。詳細な設定につきましてはこちらをご参照ください。リモートパスワード変更 and PmpAgentによるパスワード変更
iv. 自動承認
- PMPはパスワードアクセス申請に対して自動承認するオプションを提供しています。自動承認機能は承認管理者がパスワード申請に対して承認できない場合において役立ちます。こちらを実装するために、管理者は承認時間を終日または所定の曜日の所定の時間を選択することができます。設定された時間内でのパスワードアクセス要求は自動承認され、承認管理者に通知されます。例えば日曜日の午後2時から午後3時にあげられた申請は自動承認するように設定できます。また最大で同日3つまでの自動承認タイムフレームを設定できます。またこちらの自動承認機能以外で、他のすべての機能はアクセス制御のワークフローに準拠します。
- リソースまたはアカウントに対してアクセス制御に必要なオプションを構築した後に保存 & アクティブ化をクリックしてください。
3.3 アクセス制御情報を閲覧する
アカウントまたはリソースに対してアクセス制御が有効されると、 Access Control Details(アクセス制御情報) にて設定されたすべてのアクセス制御の情報を1つのウィンドウにてまとめ、確認できるようになります。Access Control Details(アクセス制御情報) のウィンドウはアカウントアクションメニューからのみアクセス可能です。以下、アクセス制御情報を閲覧する手順となります:
- リソースタブへ移動した後にパスワードタブへ切り替える
- 当該のアカウントにてアカウントアクションアイコンをクリックし、アクセス制御情報をドロップダウンリストから選択します。または click a resource name in the リソースタブにて当該のリソース名をクリックしてください。次にアカウント情報 のウィンドウが開かれた後に、当該のアカウントのアカウントアクション >> Access Control Details(アクセス制御情報) へ進んでください。
- The Access Control Details dialog box will display the following details:
4.使用例
次に、アクセス制御ワークフローの使用例を説明します:
ケース 1:ユーザーによるパスワードのアクセス要求
アクセス制御機能により保護されたユーザーがパスワードへのアクセスを必要とする場合、管理者への要求を送信します。
要求を送信するには、- リソースタブをクリックして、パスワードタブに切り替えます。
- すべてのパスワードは以下のようにリスト化されています。必要なパスワードに対して[ 要求]をクリックして、管理者にパスワードの表示権限を与えるよう要求します。.
- ポップアップ画面が開いたら、
- パスワードにいつアクセスするかを指定することができます(今 また 後で ).
- パスワード利用する理由を入力します。
- また、必要な場合は、アクセス時間の数分前に通知メールを送信することも可能です。
- 管理者がリクエストを承認すると、パスワードの表示が許可されます。それまでは、承認待ちというステータスが表示されます。
ケース 2:管理者によるパスワード要求の承認
ユーザーからパスワード アクセスの要求が送信されると、管理者はメール通知を受信します。管理者は[管理]タブからすべての保留中の要求を確認することができます。
要求を承認するには、- 管理 >> 管理 >> パスワードアクセス要求に移動します。
- 要求"をクリックして、パスワード要求の詳細を確認します。そして、管理者は以下を実施します。
- パスワードアクセス要求を承認/拒否する。
- ユーザーがいつパスワードにアクセスできるかを変更することが出来る。
- パスワードアクセス要求の承認/拒否の理由を入力する。
- 要求を承認した直後に、リンクのステータスが「未使用」に変わります。これは、ユーザーがまだパスワードをチェックアウトしていないことを示します。
- ユーザーがパスワードを確認すると、ステータスは「使用中」に変わります。
- 要求を「拒否」することもできます。この場合、要求はキューから削除されます。
ケース 3:ユーザーがパスワードの使用を完了する
パスワード制御機能の重要な点の一つとして、ユーザーに与えられるパスワード アクセス許可は一時的なものだということです。ユーザーはパスワードを使用した作業を完了したら、パスワードを返却することができます。
パスワード アクセスを返却するには- チェックイン」リンクをクリックします。これを行うと、パスワードがチェックインされ、ステータスが「要求」として再び変更されます。
- パスワードへのアクセス許可が失われます。もう一度パスワードにアクセスする場合、再度要求を送信し、承認を受ける必要があります。
ケース 4:管理者が強制的にパスワードをチェックインする
アクセス制御機能は、ユーザーによるパスワードへの一定時間の排他アクセスを可能にします。排他アクセスの時間帯には、他のユーザーはそのパスワードへアクセスすることができません。ユーザーに与えた排他アクセス許可を緊急に取り消したい場合、管理者は強制的にパスワードをチェックインさせることができます。
パスワードを強制的にチェックインさせるには、- [管理] >> [パスワード アクセス要求] を選択します。
- ユーザーに与えた許可の取消要求に対する[チェックイン]リンクをクリックします。排他アクセスを実施していたユーザーは、パスワードへのアクセス許可を失います。関連する要求が一覧から削除されます。
ケース 5:パスワードのチェックインに失敗している間に自動パスワード リセットが実行された場合
ユーザーがパスワードをチェックアウトすると、次の3つの理由によりチェックインが実行されます。
- パスワードを使用した後、ユーザーが自らチェックインした場合
- チェックイン可能な時間を過ぎ、システムが自動的にアクセスを無効にした場合
- 管理者が強制的にチェックインした場合
管理設定で自動パスワード リセットが有効な場合、パスワードがチェックインされるとPMPはパスワードのリセットを試行します。リモート機器上のパスワード リセットに失敗すると、ユーザーへのアクセス承認を行った管理者へ通知が送信されます。通知を受けた管理者は、トラブルシューティングを行います。パスワード リセットの失敗は、監査証跡に反映されます。
ケース 6:ユーザーがパスワードをチェックアウトした際に、既存のパスワード リセットのスケジュール タスクが実行された場合
PMPには、パスワードを定期的にリセットするためのスケジュール タスクを作成する機能があります。そのため、ユーザーがパスワードを使用している最中にパスワード リセットのスケジュール タスクが実行されてしまう可能性があります。このタスクが実行されてしまうと、作業中のユーザーは、今使用しているパスワードを使用できなくなってしまいます。このような状況を防ぐため、使用中のパスワードのリセットは行われません。(使用中以外のパスワードは、スケジュール タスクに従ってリセットされます。)スケジュール タスクによるパスワード リセットの失敗は、監査証跡に反映されます。
ケース 7:アクセス制御の無効化
特定のリソースのアクセス制御を無効化するには、管理者による次の操作が必要です;
選択したリソースのアクセス制御が解除されます。即ち、そのリソースに対する(所有している/共有された)パスワード表示権限を持つすべてのユーザーは、アクセス制御処理を介さずにパスワードへアクセスすることができるようになります。
ケース 8: 承認者特権を他の管理者に移動する
管理者が組織を離れたり別の部門に移動したりすると、その管理者が所有するリソース/アカウントは他の管理者に移されます。異動する管理者がパスワードの要求の承認者である場合は、承認権限も委譲する必要があります。ある一人の管理者によって制御されていたリソースないしアカウントは簡単に他の管理者へ一括して以上できます。承認権限を他の管理者へ委譲する方法を以下の手順から確認してください。
承認権限の委譲:
- ユーザータブへ移動し、 承認権限を委譲させたい他の管理者ユーザーを選択ないし検索してください
- 当該のユーザーのユーザーアクションアイコンをクリックし、ドロップダウンリストから承認者特権を移動を選択してください。
- 承認者特権を移動のウィンドウにて、選択された管理者が承認管理者となっているすべてリソース/アカウントが表示されます。 目的のリソースを選択してください。
- 承認者特権を移動のドロップダウンリストから、承認権限を委譲させたいかんりしゃを選択し、移動をクリックしてください。承認権限は委譲され、承認管理者もそれに伴って変更されます。
5.用語の解説
用語 | 意味 | 要求 | ユーザーがパスワードにアクセスするために要求メッセージを作成しなければなりません。 |
---|---|
承認待ち | ユーザーによるパスワードのリリース要求が管理者のによる承認待ちの保留状態です。 |
チェックアウト | 管理者が要求を承認し、ユーザーがパスワードへアクセスすることができました。 |
承認/拒否 | 管理者はパスワード アクセス要求を承認、または拒否するか選択することができます。 |
未使用 | 管理者がリリースしたパスワードをユーザーがまだ使用していません。 |
使用中 | パスワードをユーザーが排他的に使用しています。 |
チェックイン | パスワード アクセス権限をユーザーが返却/取り消します。 |