特権アクセス管理　iDoperation PAM

ワークフロー機能

特権アクセスワークフロー

特権アクセスワークフローの提供

特権アクセスの申請から、承認、報告までを一元管理するワークフローを提供します。申請者は、利用期間・利用目的・作業内容・使用する特権アカウントや権限を指定して申請を行います。これにより、特権アクセスの申請状況を可視化し、監査対応の効率化と内部統制の強化を実現します。

特権アクセスワークフロー

多様な特権アカウントの指定に対応

特権アクセスの利用申請では、利用目的に応じて、アクセス対象の特権アカウントを柔軟に指定できます。個別指定、まとめ申請、ワンタイム特権IDの指定など、運用に合わせたアカウントの指定が可能です。

特権アカウントを１つずつ指定

貸出アカウントは「誰が・どのターゲットに・どの特権アカウントで」アクセスするかを指定します。事前にiDoperation PAM Cloud に登録されている共有アカウントや、個人アカウントを１アカウントずつ選択して指定します。

申請プリセットでまとめて指定

事前に申請プリセット（複数のターゲットとアカウントの組み合わせ）を登録しておくことで、申請時は、作業で使用する申請プリセットを選ぶだけで、複数の特権IDをまとめて指定できます。これにより、申請作業を大幅に効率化します。

ワンタイム特権IDの指定

ワンタイム特権ID（申請期間のみ有効な特権アカウント）を1アカウントずつ指定します。実施する作業に応じて複数のアカウントグループを選択できます。

特権アクセスワークフロー

緊急申請への対応

緊急対応時は、事前承認なしで特権アクセスを即時に許可できる「緊急申請」ルートを提供します。作業後に報告申請を義務付けることで、運用と統制のバランスを維持できます。緊急申請の可否はワークフロー単位で設定できます。

承認ワークフロー

承認ワークフローの提供

特権アクセス申請に対し、承認・否認・差し戻しを直感的に行える承認ワークフローを提供します。複数の申請をワンクリックで処理できるまとめ承認や多段承認にも対応し、管理者の作業負荷を軽減しながら、安全な運用を実現します。

報告ワークフロー

報告ワークフローの提供

利用後に作業報告を行う報告ワークフローを提供します。報告申請、または利用期間の終了により、アクセス権限が自動で剥奪されます。ワンタイム特権IDを貸出している場合は、自動でワンタイム特権IDを削除または無効化します。

ワークフロー設定

柔軟なワークフロー設定に対応

システムごとに、ワークフローの設定を分けることができます。 ワークフローの設定では、承認ルート（最大9段階承認）、緊急申請の許可、緊急申請時の最大貸出期間、申請受付開始日、最大貸出日数、貸出方法（1つずつ貸出アカウントを指定、申請プリセットから指定、ワンタイム特権ID）、報告承認の有無などが設定できます。 また、ワークフローの設定はCSVで一括登録できるため、導入時の設定を効率化できます。

ワークフロー設定

申請項目のカスタマイズ

組織の運用に合わせ、ワークフローの申請項目を自由に追加可能です。テキスト入力や複数行入力、必須・任意設定、入力時のヒント表示にも対応し、現場の運用に沿ったワークフローを設定できます。

特権アクセス機能

iDoperation PAM Cloud の特権アクセスでは、様々な利用シーンや環境に対応する4つのアクセス方法を提供しており、多様な環境でも柔軟で安全な特権アクセスを実現します。

特権アクセス（ゲートウェイ経由）

iDoperation RAG 経由の特権アクセス

iDoperation RAG（Remote Access Gateway）は、安全なリモート特権アクセスを実現するゲートウェイで、アクセス元にエージェントをインストールすることなく、ブラウザのみでターゲットへの特権アクセスとセッション管理を提供します。

アクセス管理

iDoperation RAGを特権アクセスのゲートウェイとして、アクセス経路の限定とSSO（シングルサインオン）による一時的な特権アクセスを提供します。これにより、特権アクセスを保護し、不正アクセスを防止します。
iDoperation RAGは、RDP、SSH、HTTPSの主要プロトコルに対応しています。

セッション管理

iDoperation RAGのセッション管理は、特権アクセス時の操作を記録し、リアルタイムで可視化します。セッションの録画・共有・強制切断に加え、ファイル転送やコマンド実行の制御にも対応します。これにより、不正操作や情報漏えいのリスクを最小化し、監査証跡を自動で残すことで、ガバナンス強化と迅速なインシデント対応を実現します。

• セッション管理画面
  記録された特権セッションの再生、管理者による強制切断、セッション共有時のアクティブセッションの閲覧が可能です。

  

  
  
• ターゲットコントロールパネル
  セッション共有URL（閲覧専用セッション）の発行や、特権アクセス端末へのファイル転送（アップロード、ダウンロード）が可能です。

  

特権アクセス（エージェント経由）

iDoperation PAM Agent 経由の特権アクセス

iDoperation PAM Agent をアクセス元の端末やJump Serverにインストールすることで、ターゲットへの特権アクセスを提供します。

アクセス管理

iDoperation PAM Agent が、SSO（シングルサインオン）による一時的な特権アクセスを提供します。RDP やターミナル接続に加え、iDoperation RAG が対応していないネイティブアプリにも柔軟に対応し、幅広い特権アクセスを実現します。SSOアクセスには、ターゲットに応じたオートログインスクリプトの登録が必要です。オートログインスクリプトがプリセットされていないアプリケーションも、オートログインスクリプトを作成することでSSOアクセスが可能です。
オートログインスクリプトがプリセットされているアプリケーション一覧はについては、以下のプリセット対応アプリ一覧をご覧ください。

セッション管理

アクセス元の端末やJump Serverまたは、アクセス先のターゲットにiDoperation SC Agentを配置することで、特権ユーザの画面操作をすべて録画可能です。

プリセット対応アプリ一覧

ターゲット種別		アプリケーション
Operating System	Windows	RDP
	Linux, UNIX	TeraTerm, WinSCP, FFFTP, SSH
Directory	Active Directory	RDP
Virtualization	vSphere ESXi	VMware Host Client, vSphere Client
	vCenter Server Appliance	vSphere Web Client
	Hyper-V Server	RDP
Database	Oracle Database, Amazon RDS	SQL*Plus
	SQL Server, Azure SQL Database, Amazon RDS for SQL Server	SQL Server Management Studio
	MySQL, Amazon Aurora MySQL, Amazon RDS for MySQL	MySQL Command Line Client
	Db2	Db2 CLPPlus
	HiRDB	HiRDB SQL Executer Line mode Executer

特権アクセス（資格情報貸出）

資格情報貸出による特権アクセス

資格情報貸出（Credential Checkout）では、パスワードを一時的に特権ユーザに開示し、利用後に自動変更します。SSOに対応していないアプリケーションを使った特権アクセスや、物理コンソールでの非リモート作業などで、直接パスワード入力が必要な場合に使用され、ユーザは参照したパスワードを直接入力してアクセスします。参照後のパスワードは自動変更され、一時的な資格情報の貸出を可能にします。

特権アクセス（API経由）

ノンヒューマンに対するAPI経由の特権貸出

iDoperation PAM APP Agentを利用することで、API経由でiDoperation PAM Cloud から資格情報を安全に取得できます。バッチ処理やスクリプトなどノンヒューマンによるシステムアクセス時に資格情報（パスワード、秘密鍵、パスフレーズ等）が必要な場合は一時的に連携し、安全な特権アクセスを実現します。