Informazioni di riferimento sulle API REST di Gestione accessi con privilegi

Con Microsoft Identity Manager (MIM) 2016 viene aggiunto un nuovo scenario denominato Gestione accessi con privilegi (PAM). PAM consente alle organizzazioni di avere maggiore controllo sui diritti di accesso degli account utente con privilegi elevati, come gli amministratori di sistema o di servizio, alle risorse sensibili. PAM controlla l'accesso di account con privilegi elevati, fornendo diritti di accesso per un periodo limitato di tempo, JIT (Just-In-Time), quando sono necessari i diritti di accesso.

Un utente può chiedere assistenza MIM per i diritti di accesso con privilegi (elevazione dei privilegi) in uno dei due seguenti modi:

• Usando l'API REST PAM.
• Usando il cmdlet PAM PowerShell New-PAMRequest.

In questa guida viene illustrata l’API REST PAM. Per altre informazioni sull'uso del cmdlet di PowerShell, vedere La Guida al lab di test: Dimostrazione della gestione degli accessi con privilegi usando Microsoft Identity Manager, disponibile nel sito di connessione.

Risorse e operazioni dell'API REST PAM

L'API REST PAM opera sulle risorse seguenti:

• Ruolo PAM: un ruolo PAM associa una raccolta di utenti a una raccolta di diritti di accesso. I diritti di accesso vengono definiti facendo riferimento a gruppi di sicurezza. Ogni ruolo PAM dispone di un elenco di account utente, denominati candidati, che danno diritto a elevare i privilegi al ruolo PAM. I filtri WMI consentono di eseguire le azioni seguenti:

  • Ottenere ruoli PAM

• Richiesta PAM: un utente che vuole elevare i diritti di accesso al ruolo PAM deve inviare una richiesta PAM e ottenere l'approvazione per l'elevazione della richiesta. L'oggetto di richiesta PAM tiene traccia del ciclo di vita della richiesta nel servizio MIM. È possibile eseguire le operazioni seguenti nelle richieste PAM:

  • Creare una richiesta PAM
  • Ottenere richieste PAM
  • Chiudere una richiesta PAM

• Richiesta PAM in sospeso: usata per approvare o rifiutare le richieste PAM inviate dagli utenti. È possibile eseguire le operazioni seguenti nelle richieste PAM in sospeso:

  • Ottenere le richieste PAM in sospeso
  • Approvare o rifiutare una richiesta PAM in sospeso

• Sessione PAM: quando si usa l'API REST PAM, il client (ad esempio un Web browser) ha una sessione con l'endpoint API REST PAM. In questa sessione il client viene autenticato nell'endpoint dell'API REST. È possibile eseguire le operazioni seguenti nelle sessioni PAM:

  • Ottenere informazioni sulla sessione PAM

Per informazioni più dettagliate sul servizio, vedere Dettagli del servizio API REST PAM.

Portale di esempio PAM in GitHub

Un modo per imparare a usare l'API REST PAM consiste nell'usare il portale di esempio PAM, un'applicazione Web di esempio che usa l'API. È possibile trovare il codice per il portale PAM di esempio nell'archivio degli esempi per PAM su GitHub. È possibile apprendere come distribuire il portale di esempio in PAM Guida dell'ambiente di Test.