Rest-API-Referenz für Privileged Access Management

Microsoft Identity Manager (MIM) 2016 fügt ein neues Szenario namens Privileged Access Management (PAM) hinzu. PAM ermöglicht es einer Organisation, mehr Kontrolle über die Zugriffsrechte von Benutzerkonten mit hohen Rechten wie System- oder Dienstadministratoren für vertrauliche Ressourcen zu haben. PAM steuert den Zugriff auf hohe Rechte eines Kontos, indem zeitlich begrenzte Zugriffsrechte bereitgestellt werden, wenn die Zugriffsrechte erforderlich sind.

Ein Benutzer kann MIM-Dienst auf eine von zwei Arten nach rechten Rechten (Rechteerweiterungen) fragen:

• Mithilfe der PAM-REST-API.
• Mithilfe des PAM PowerShell-New-PAMRequest-Cmdlets.

Die Themen in diesem Leitfaden beschreiben die PAM-REST-API. Weitere Informationen zur Verwendung des PowerShell-Cmdlets finden Sie unter Das Testumgebungshandbuch: Demonstrieren der Verwaltung von privilegiertem Zugriff mithilfe von Microsoft Identity Manager, verfügbar auf der Verbindungswebsite.

PAM REST-API-Ressourcen und -Vorgänge

Die PAM-REST-API arbeitet mit den folgenden Ressourcen:

• PAM-Rolle: Eine PAM-Rolle ordnet eine Sammlung von Benutzern einer Sammlung von Zugriffsrechten zu. Die Zugriffsrechte werden durch Verweis auf Sicherheitsgruppen definiert. Jede PAM-Rolle verfügt über eine Liste von Benutzerkonten, die als Kandidaten bezeichnet werden, die berechtigt sind, die PAM-Rolle zu erhöhen. Sie können die folgenden Vorgänge für PAM-Rollen ausführen:

  • PAM-Rollen

• PAM-Anforderung: Ein Benutzer, der rechte auf PAM-Rollenzugriff erhöhen möchte, muss eine PAM-Anforderung übermitteln und die Genehmigung für die Anforderung zum Erhöhen erhalten. Das PAM Request -Objekt verfolgt den Lebenszyklus dieser Anforderung im MIM-Dienst. Sie können die folgenden Vorgänge für PAM-Anforderungen ausführen:

  • PAM-Anforderung erstellen
  • PAM-Anforderungen
  • PAM-Anforderung schließen

• ausstehende PAM-Anforderung: Wird verwendet, um PAM-Anforderungen zu genehmigen oder abzulehnen, die von Benutzern übermittelt wurden. Sie können die folgenden Vorgänge für ausstehende PAM-Anforderungen ausführen:

  • Abrufen ausstehender PAM-Anforderungen
  • genehmigen oder ablehnen einer ausstehenden PAM-Anforderung

• PAM-Sitzung: Bei Verwendung der PAM-REST-API verfügt der Client (z. B. ein Webbrowser) über eine Sitzung mit dem PAM REST-API-Endpunkt. In dieser Sitzung wird der Client beim REST-API-Endpunkt authentifiziert. Sie können die folgenden Vorgänge für PAM-Sitzungen ausführen:

  • PAM-Sitzungsinformationen

Ausführlichere Informationen zum Dienst finden Sie unter PAM REST API Service Details.

PAM-Beispielportal auf GitHub

Eine Möglichkeit zum Verwenden der PAM-REST-API ist die Verwendung des PAM-Beispielportals, einer Beispielwebanwendung, die die API verwendet. Sie finden den Code für das PAM-Beispielportal im PAM-Beispiel-Repository auf GitHub. Sie erfahren, wie Sie das Beispielportal im PAM Test Lab Guide bereitstellen.