特権アクセス管理　iDoperation PAM

ワークフロー機能

特権アクセスワークフロー

特権アクセスワークフローの提供

特権アクセスの申請から、承認、報告までを一元管理するワークフローを提供します。申請者は、利用期間・利用目的・作業内容・使用する特権アカウントや権限を指定して申請を行います。これにより、特権アクセスの申請状況を可視化し、監査対応の効率化と内部統制の強化を実現します。

特権アクセスワークフロー

3通りの特権アカウントの指定方法に対応

特権アクセスの利用申請では、利用目的に応じて、アクセス対象の特権アカウントを柔軟に指定できます。特権アカウントの指定方法は、1つずつの指定、まとめ申請、ワンタイム特権IDの指定など、運用に合わせたアカウントの指定が可能です。

特権IDを1つずつ指定

誰が、どのアプリケーション（アクセス方法）で、どのサーバの特権IDを使うか指定します。事前にiDoperation PAM On-premises に、登録されている特権IDを１アカウントずつ指定できます。

申請プリセットの指定

事前に申請プリセット（複数のターゲットとアカウント、アプリケーションの組み合わせ）を登録しておくことで、申請時は、作業で使用する申請プリセットを選択するだけで、複数ターゲットの特権IDをまとめて指定することができます。これにより、特権ユーザの申請作業を大幅に効率化します。

ワンタイム特権IDの指定

ワンタイム特権ID（申請期間のみ有効な特権ID）を1アカウントずつ指定します。実施する作業に応じて複数のアカウントグループを選択できます。

特権アクセスワークフロー

緊急時でも、運用を止めることなく利用できます

急なシステムトラブルや承認者不在時に、事後承認で利用させることができます。緊急利用を行った場合は、管理者にはメール通知が行われ、作業後の報告申請を義務付けることで運用と統制のバランスを取った利用ができます。緊急利用は、ワークフロー単位で許可する/しないの設定ができます。

報告ワークフロー

報告ワークフローの提供

特権ユーザは作業完了後に、報告申請を行うことができます。貸出中の特権IDは、報告申請を行うか、申請した利用期間が終了すると、貸出しを終了します。ワンタイム特権IDを貸出している場合は、自動的にワンタイム特権IDを削除または無効化します。

申請一覧表示

自分が処理する必要がある申請がわかりやすく表示されます

すべての申請は、申請書のステータスに応じて一覧表示されます。申請者や承認者が次に処理する必要がある申請は「処理待ち」タブから簡単に確認することができます。

ワークフロー管理

柔軟なワークフロー設定に対応

システムごとに、ワークフローの設定を分けることができます。 ワークフローの設定では、承認ルート（最大9段階承認）、緊急申請の許可、緊急申請時の最大貸出期間、申請受付開始日、最大貸出日数、貸出方法（1つずつ貸出アカウントを指定、申請プリセットから指定、ワンタイム特権ID）、報告承認の有無などが設定できます。 また、ワークフローの設定はCSVで一括登録できるため、導入時の設定を効率化できます。

ワークフロー設定

申請項目のカスタマイズ

組織の運用に合わせ、ワークフローの申請項目を自由に追加可能です。テキスト入力や複数行入力、必須・任意設定、入力時のヒント表示にも対応し、現場の運用に沿ったワークフローを設定できます。

特権アクセス機能

iDoperation PAM On-premises の特権アクセスでは、様々な利用シーンや環境に対応する3つのアクセス方法を提供しており、多様な環境でも柔軟で安全な特権アクセスを実現します。

特権アクセス（エージェント経由）

iDoperation PAM Agent 経由の特権アクセス

iDoperation PAM On-premises は、承認に基づき、利用開始日時にアクセス権限を特権ユーザに付与し、利用終了日時にアクセス権限を剥奪します。ターゲットへのアクセスは、「iDoperation PAM Agent」によりシングルサインオンで行われるため、特権ユーザにパスワードを秘匿します。このため、許可のないユーザによる不正アクセスを防ぎます。

鍵認証Linuxへの対応
iDoperation PAM On-premises は、鍵認証を使用する Linux 環境でも、特権アクセス時に秘密鍵を秘匿したまま貸し出すことができます。特権ユーザーは、パスワード認証の Linux と同様に、鍵を意識することなく安全にアクセスできます。

NAT環境への対応
ターゲットが複数のIPアドレスを持っている場合でも、特権ユーザが接続先を選択してアクセスすることができます。このため、ネットワークが分離されている環境や、NATされている環境においてもアクセス制御が可能です。

資格情報貸出

資格情報貸出による特権アクセス

資格情報貸出（Credential Checkout）では、パスワードを一時的に特権ユーザに開示し、利用後に自動変更します。SSOに対応していないアプリケーションを使った特権アクセスや、物理コンソールでの非リモート作業などで、直接パスワード入力が必要な場合に使用され、ユーザは参照したパスワードを直接入力してアクセスします。利用後にパスワードは自動変更され、一時的な資格情報の貸出を可能にします。

iDoperation PAM Agent からパスワードを確認する方法

iDoperation PAM Agent から「パスワード表示」ボタンをクリックするとワンタイムパスワードを確認できます。

貸出状況確認画面からパスワードを確認する方法

利用申請が承認されると、ワークフローの貸出状況確認画面からワンタイムパスワードを確認できます。

API経由の特権貸出

ノンヒューマンに対するAPI経由の特権貸出

iDoperation PAM APP Agentを利用することで、API経由でiDoperation PAM から資格情報を安全に取得できます。バッチ処理やスクリプトなどノンヒューマンによるシステムアクセス時に資格情報（パスワード、秘密鍵、パスフレーズ等）が必要な場合は一時的に連携し、安全な特権アクセスを実現します。

アプリケーション

標準対応しているアクセス方法

システム運用でよく利用されるアプリケーションに標準対応しています。標準対応していないアプリケーションでも、独自スクリプトで拡張し対応することができます。

	ターゲット種別	パスワード秘匿貸出対応 アプリケーション	資格情報 貸出対応	ワンタイム 特権ID対応
OS	Windows	RDP、WinSCP、FFFTP	○	○
	Active Directory	RDP	○	○
	Linux、AIX、Solaris、HP-UX	TeraTerm、WinSCP、FFFTP	○	○
ディレクトリサービス	Microsoft Active Directory	RDS	○	○
	AWS Managed Microsoft AD、AWS Simple AD	－	○	○
	OpenLDAP	－（*2）	○	×
仮想ソフトウェア	vSphere ESXi	vSphere Client、VMware Host Client	○	×
	vCenter Server Appliance	vSphere Web Client（*1）	○	×
	Hyper-V Server	RDP	○	×
データベース	Oracle、Amazon RDS for Oracle	SQL*Plus	○	×
	SQL Server、Azure SQL Database、 Amazon RDS for SQL Server	SQL Server Management Studio	○	×
	PostgreSQL	－	○	×
	MariaDB、Amazon RDS for MariaDB	－	○	×
	MySQL	MySQL Command Line Client	○	×
	Db2	Db2 CLPPlus	○	×
	HiRDB	HiRDB SQL Executer（ラインモード版）	○	×
クラウド	AWS Management Console（IAM）	AWS Management Console（*1）	○	○
	Azure AD	Azure Portal（*1）、Microsoft365（*1）	○	×
	BOX	BOX	×	×
	Google	Googole Cloud Platform（*1）、 Google Workspace（*1）	○	×
	IBM Cloud	IBM Cloud Console（*1）	×	×
	Oracle Cloud Infrastructure(IAM)	Oracle Cloud Infrastructure Console(*1)	×	×
	Salesforce	Salesforce（*1）	○	×
アプリケーション	iDoperation（管理者ユーザ）	iDoperation Web Console（*1）	○	×

（*1）

使用できるブラウザは、Microsoft Edge、Google Chrome、Safariに対応しています。

（*2）

接続先となるLinuxターゲット側で利用可能なパスワード秘匿貸出対応アプリケーションで、LDAPターゲットのアカウントを利用することができます。