Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Identity Manager (MIM) 2016 voegt een nieuw scenario toe met de naam Privileged Access Management (PAM). Met PAM kan een organisatie meer controle hebben over de toegangsrechten van gebruikersaccounts met hoge bevoegdheden, zoals systeem- of servicebeheerders, voor gevoelige resources. PAM beheert toegang tot accounts met hoge bevoegdheden door beperkte tijdstoegangsrechten te bieden, just-in-time (JIT) wanneer de toegangsrechten nodig zijn.
Een gebruiker kan de MIM-service op twee manieren vragen om bevoegde toegangsrechten (uitbreiding):
- Met behulp van de PAM REST API.
- Met behulp van de PAM PowerShell New-PAMRequest cmdlet.
In de onderwerpen in deze handleiding wordt de PAM REST API beschreven. Zie De testlabhandleiding: Privileged Access Management demonstreren met behulp van Microsoft Identity Manager, beschikbaar op de connect-site voor meer informatie over het gebruik van de PowerShell-cmdlet.
PAM REST API-resources en -bewerkingen
De PAM REST API werkt op de volgende resources:
PAM-rol: een PAM-rol koppelt een verzameling gebruikers aan een verzameling toegangsrechten. De toegangsrechten worden gedefinieerd door te verwijzen naar beveiligingsgroepen. Elke PAM-rol heeft een lijst met gebruikersaccounts, ook wel kandidaten genoemd, die recht hebben om de PAM-rol te verhogen. U kunt de volgende bewerkingen uitvoeren op PAM-rollen:
PAM-aanvraag: een gebruiker die toegangsrechten voor PAM-rollen wil uitbreiden, moet een PAM-aanvraag indienen en goedkeuring krijgen voor de aanvraag om deze te verhogen. Het PAM-aanvraagobject houdt de levenscyclus van deze aanvraag bij in de MIM-service. U kunt de volgende bewerkingen uitvoeren op PAM-aanvragen:
PAM-aanvraag in behandeling: wordt gebruikt voor het goedkeuren of afwijzen van PAM-aanvragen die zijn ingediend door gebruikers. U kunt de volgende bewerkingen uitvoeren op PAM-aanvragen die in behandeling zijn:
PAM-sessie: wanneer de PAM REST API wordt gebruikt, heeft de client (bijvoorbeeld een webbrowser) een sessie met het PAM REST API-eindpunt. In deze sessie wordt de client geverifieerd bij het REST API-eindpunt. U kunt de volgende bewerkingen uitvoeren op PAM-sessies:
Zie PAM REST API Service Detailsvoor meer gedetailleerde informatie over de service.
PAM-voorbeeldportal op GitHub
Een manier om te leren hoe u de PAM REST API gebruikt, is met behulp van de PAM-voorbeeldportal, een voorbeeldwebtoepassing die gebruikmaakt van de API. U vindt de code voor de PAM-voorbeeldportal in de PAM-voorbeeldopslagplaats op GitHub. U kunt leren hoe u de voorbeeldportal implementeert in de PAM-testlabhandleiding.