Informations de référence sur l’API REST Privileged Access Management
Microsoft Identity Manager (MIM) 2016 ajoute un nouveau scénario appelé gestion des accès privilégiés (Privileged Access Management, PAM). PAM permet à une organisation d'avoir davantage de contrôle sur les droits des comptes d'utilisateur dotés de privilèges élevés (par exemple les administrateurs système ou administrateurs de services fédérés) pour l'accès aux ressources sensibles. PAM contrôle l'accès d'un compte doté de privilèges élevés en fournissant des droits d'accès à durée limitée, de type « juste-à-temps », quand ces droits d'accès sont nécessaires.
Un utilisateur peut demander au service MIM des droits d'accès privilégiés (élévation) de deux manières :
- En utilisant l’API REST PAM.
- À l’aide de l’applet de commande PAM PowerShell New-PAMRequest.
Les rubriques de ce guide décrivent l'API REST PAM. Pour plus d’informations sur l’utilisation de l’applet de commande PowerShell, consultez Guide du laboratoire de test : démonstration de la gestion des accès privilégiés à l’aide de Microsoft Identity Manager, disponible sur le site connect.
Ressources et opérations de l’API REST PAM
L’API REST PAM fonctionne sur les ressources suivantes :
Rôle PAM : un rôle PAM associe une collection d’utilisateurs à une collection de droits d’accès. Les droits d'accès sont définis par référence aux groupes de sécurité. Chaque rôle PAM possède une liste de comptes d'utilisateur, appelés candidats, qui bénéficient d'une élévation de privilèges pour le rôle PAM concerné. Vous pouvez effectuer les opérations suivantes sur les rôles PAM :
Demande PAM : un utilisateur qui souhaite élever les droits d’accès au rôle PAM doit envoyer une demande PAM et obtenir l’approbation de la demande d’élévation de privilèges. L'objet de demande PAM effectue le suivi du cycle de vie de cette demande dans le service MIM. Vous pouvez effectuer les opérations suivantes sur les demandes PAM :
Demande PAM en attente : permet d’approuver ou de rejeter les demandes PAM qui ont été soumises par les utilisateurs. Vous pouvez effectuer les opérations suivantes sur les demandes PAM en attente :
Session PAM : lorsque vous utilisez l’API REST PAM, le client (par exemple, un navigateur web) dispose d’une session avec le point de terminaison de l’API REST PAM. Dans cette session, le client est authentifié auprès du point de terminaison de l’API REST. Vous pouvez effectuer les opérations suivantes sur les sessions PAM :
Pour plus d’informations sur le service, consultez Détails du service de l’API REST PAM.
Exemple de portail PAM sur GitHub
Une façon d’apprendre à utiliser l’API REST PAM consiste à utiliser l’exemple de portail PAM, un exemple d’application web qui utilise l’API. Vous pouvez trouver le code de l’exemple de portail PAM dans le dépôt d’exemples PAM sur GitHub. Vous pouvez apprendre à déployer l'exemple de portail dans le Guide de laboratoire de test PAM.