Skip to main content
Version: Privileged Access Manager 3.3

Приложения

Приложение (Application) — стороннее программное обеспечение для автоматизации и выполнения задач. При запуске приложение запрашивает аутентификацию с использованием данных учетных записей. Как правило, эти данные хранятся в открытом виде в скриптах или конфигурационных файлах, что увеличивает риск их перехвата третьими лицами.

Чтобы повысить безопасность, используйте метод автоматического получения учетных данных — Application to Application Password Management (AAPM). В таком случае пароли и SSH-ключи учетных записей хранятся в Indeed PAM и запрашиваются приложением только в момент выполнения задачи. Это позволяет контролировать доступ к учетным данным, не хранить их в открытом виде, а также автоматически обновлять.

Чтобы настроить работу с AAPM:

  1. Добавьте приложение в Indeed PAM и настройте аутентификацию.
  2. Выдайте разрешение и выберите те учетные записи, чьи пароли и/или SSH-ключи нужны для работы AAPM.
  3. Проверьте работу приложения и получите учетные данные с помощью:
Примечание

Для работы с приложениями требуется AAPM-лицензия.

Профиль приложения

Для каждого приложения отображаются:

  • Администраторы — перечень пользователей, которые могут просматривать учетные данные приложения.
  • Разрешения — список выданных разрешений на использование данных учетных записей.
  • События — записи об операциях, связанных с приложением.

Добавить приложение

  1. Перейдите в раздел Приложения в консоли администратора.
  2. Нажмите Добавить.
  3. Заполните поля Имя и Описание и нажмите Сохранить.

Аутентификация

Перед началом работы в Indeed PAM приложения и пользователи проходят аутентификацию в IdP.
Для приложений поддерживаются следующие способы аутентификации:

  • Пароль — обязателен и задается автоматически при добавлении приложения в PAM. В консоли администратора нельзя просмотреть пароль, но можно сбросить. Пароль может просмотреть администратор приложения в консоли пользователя.
  • IP-адрес — задается дополнительно, если нужна проверка на соответствие IP-адреса, с которого приходит запрос на получение токена доступа.
  • Сертификат — задается дополнительно, если нужна проверка отпечатков клиентского сертификата.

Добавить разрешение

Разрешения позволяют приложению использовать пароли и/или SSH-ключи учетных записей Indeed PAM.
Чтобы выдать разрешение:

  1. Откройте профиль приложения.
  2. Нажмите Добавить разрешение.
  3. Выберите подразделение и нажмите Вперед.
  4. Выберите одну или несколько учетных записей, чьи учетные данные нужны, и нажмите Вперед.
  5. Настройте Ограничения времени и нажмите Вперед.
  6. Настройте Параметры разрешения и нажмите Вперед.
  7. Заполните поле Описание и нажмите Вперед.
  8. Проверьте данные и нажмите Создать.

Сбросить пароль

При добавлении приложения Indeed PAM задает ему случайный пароль. В консоли администратора нельзя просмотреть этот пароль, но можно сбросить и задать новый. Для этого:

  1. Перейдите в профиль приложения и нажмите Сбросить пароль.
  2. В появившемся окне задайте новый пароль и нажмите Сбросить.

Добавить или удалить администратора

Администраторы могут просматривать пароль приложения в консоли пользователя.
Чтобы добавить администратора:

  1. Откройте профиль приложения и перейдите на вкладку Администраторы.
  2. Нажмите Добавить администратора.
  3. Выберите одного или нескольких пользователей и нажмите ОК.
  4. Подтвердите действие и нажмите Добавить.

Чтобы удалить администратора:

  1. Откройте профиль приложения и перейдите на вкладку Администраторы.
  2. Выберите одного или нескольких пользователей и нажмите Удалить.
  3. Подтвердите действие и нажмите Удалить.

Удалить приложение

caution

После удаления приложения AAPM не сможет получить пароли и/или SSH-ключи учетных записей Indeed PAM.

Чтобы удалить приложение:

  1. Перейдите в профиль приложения.
  2. Нажмите Удалить и подтвердите действие.

Чтобы удалить несколько приложений, в разделе Приложения выберите нужные приложения и нажмите Удалить.