Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Identity Manager (MIM) 2016 ajoute un nouveau scénario appelé Privileged Access Management (PAM). PAM permet à une organisation d’avoir plus de contrôle sur les droits d’accès des comptes d’utilisateurs à privilèges élevés, tels que les administrateurs système ou de service, aux ressources sensibles. PAM contrôle l’accès à un compte à privilèges élevés en fournissant des droits d’accès à temps limités, juste-à-temps (JIT), lorsque les droits d’accès sont nécessaires.
Un utilisateur peut demander au service MIM des droits d’accès privilégiés (élévation) de l’une des deux manières suivantes :
- À l’aide de l’API REST PAM.
- À l’aide de l’applet de commande PAM PowerShell New-PAMRequest.
Les rubriques de ce guide décrivent l’API REST PAM. Pour plus d’informations sur l’utilisation de l’applet de commande PowerShell, consultez Guide du laboratoire de test : Démonstration de privileged Access Management à l’aide de Microsoft Identity Manager, disponible sur le site de connexion.
Ressources et opérations de l’API REST PAM
L’API REST PAM fonctionne sur les ressources suivantes :
rôle PAM: un rôle PAM associe une collection d’utilisateurs à une collection de droits d’accès. Les droits d’accès sont définis par référence aux groupes de sécurité. Chaque rôle PAM possède une liste de comptes d’utilisateur, appelés candidats, qui ont le droit d’élever le rôle PAM. Vous pouvez effectuer les opérations suivantes sur les rôles PAM :
demande PAM: un utilisateur qui souhaite élever les droits d’accès aux rôles PAM doit envoyer une demande PAM et obtenir l’approbation de la demande pour élever. L’objet Demande PAM suit le cycle de vie de cette requête dans le service MIM. Vous pouvez effectuer les opérations suivantes sur les demandes PAM :
- créer un de requête PAM
- obtenir des demandes PAM
- fermer le de requête PAM
demande PAM en attente: utilisé pour approuver ou rejeter les demandes PAM soumises par les utilisateurs. Vous pouvez effectuer les opérations suivantes sur les demandes PAM en attente :
session PAM: lorsque vous utilisez l’API REST PAM, le client (par exemple, un navigateur web) a une session avec le point de terminaison de l’API REST PAM. Dans cette session, le client est authentifié auprès du point de terminaison de l’API REST. Vous pouvez effectuer les opérations suivantes sur les sessions PAM :
Pour plus d’informations sur le service, consultez détails du service d’API REST PAM.
Exemple de portail PAM sur GitHub
Une façon d’apprendre à utiliser l’API REST PAM consiste à utiliser l’exemple de portail PAM, un exemple d’application web qui utilise l’API. Vous trouverez le code du portail d’exemples PAM dans le dépôt d’exemples PAM sur GitHub. Vous pouvez apprendre à déployer l’exemple de portail dans le Guide du laboratoire de test PAM.