2015年6月28日日曜日

[MIM]特権アカウント管理機能の概要

リリース目前のMicrosoft Identity Manager(MIM)ですが、なんといっても目玉機能は特権アカウント管理機能(Privileged Access Management / PAM)です。

以前のポストでどのような動きになるのか動画を紹介しましたが、今回は具体的な中身についてみていきたいと思います。

 参考)[MIM]特権アクセス管理のデモ動画
 http://idmlab.eidentity.jp/2015/04/mim.html


◆PAMで何ができるのか?

 現段階のリリース予定では、「Active Directoryの特権アカウントの管理」が可能になります。
 当然これまでもセキュリティ・グループへの追加・変更・削除は出来ましたが、
  ・時間制限付きのメンバシップの管理
  ・申請~承認のフロー
  ・多要素認証の要求
  ・履歴管理
 といった、実際に特権アカウントを管理する上で必要な機能をパッケージ化しています。


◆どのように実現しているのか?

 キーとなるのは以下です。
 ・片方向の信頼関係
 ・シャドーグループによるSID-Historyによる特権の紐づけ

 簡単に図示したのが以下の図です。


 通常、ドメインの移行をする際にリソースへのアクセスを維持するために使用するSID-Historyを使って、業務用ドメインの保護対象リソースへアクセスできるセキュリティ・グループと特権管理ドメイン上に作成した特権ロールの紐づけを実現します。
 このことにより、MIMが特権ロールのメンバシップを更新することにより実際には業務ドメイン上のグループに所属していないユーザでも一時的に保護対象リソースへアクセスすることが可能になります。

 MIMのPAM機能のロール管理は以下のような構造になっています。



◆どのように動くのか?

1.特権を付与する前の保護対象リソースへのアクセス

 今回は単純に共有フォルダへのアクセスをさせてみます。
 特権付与前の状態だと「アクセスが拒否」されます。


2.特権申請をする

 今回はMIMにサンプルで付属している特権管理ポータルを使い、ロールの利用を申請します。
 (REST APIを直接たたいて申請する方法もありますし、申請用のアドオン、PowerShellのコマンドレットが付属しています)
 単純にロール名を選択して[Elevate]をクリックします。


 すると要求の詳細(申請理由と期限)が入力できるので必要であれば入力してSubmitします。


3.申請を承認する

 今度は管理者で特権管理ポータルへログインし、承認を行います。
 誰から、何のために、どのくらいの期限で、という申請情報が来ているので[Approve]をクリックして承認を行います。


4.再び保護対象リソースへのアクセス

 特権申請をしたユーザで新しいセッションを開始して、自身が所属しているグループを確認すると、特権ドメイン上の特権グループおよび業務ドメイン上のグループのメンバになっていることがわかります。

 また、この状態であれば当然、共有フォルダへのアクセスが可能となっています。


 ※今回共有フォルダへのアクセスを例にしたため、PCログインのセッションが残っているので、セッションを切り替えるためにrunas等で新たに特権申請したユーザでのセッションを作成しなおす必要がありましたが、Webリソースなど都度ログインするようなアプリケーションであれば、都度権限チェックがなされるため本当に期間限定でリソースへのアクセスができるように見えます。

5.申請期限後に再び保護対象リソースへのアクセス

 申請した有効期限が過ぎてから再度リソースへアクセスすると最初と同じくアクセスが拒否されます。また、メンバとなっているグループを見ると特権グループから外れていることがわかります。



 ちなみにMIM側のジョブの走るタイミングによると思いますが、期限が切れるタイミングと実際にグループメンバから外れるタイミングには数分のタイムラグがあります。



次回以降、環境の構成方法などもう少し細かい方法を解説していきたいと思います。

0 件のコメント: