Dokumentacja interfejsu API REST usługi Privileged Access Management

Program Microsoft Identity Manager (MIM) 2016 dodaje nowy scenariusz o nazwie Privileged Access Management (PAM). Usługa PAM umożliwia organizacjom większą kontrolę nad prawami dostępu do kont użytkowników o wysokim poziomie uprawnień, takich jak administratorzy systemu lub usługi, do poufnych zasobów. Usługa PAM kontroluje dostęp do konta z wysokim poziomem uprawnień, zapewniając ograniczone prawa dostępu w czasie( just in time, JIT), gdy są potrzebne prawa dostępu.

Użytkownik może poprosić usługę MIM o uprawnienia uprzywilejowanego dostępu (podniesienie uprawnień) na jeden z dwóch sposobów:

• Przy użyciu interfejsu API REST usługi PAM.
• Za pomocą polecenia cmdlet New-PAMRequest programu PowerShell usługi PAM.

Tematy przedstawione w tym przewodniku opisują interfejs API REST usługi PAM. Aby uzyskać więcej informacji na temat korzystania z polecenia cmdlet programu PowerShell, zobacz Przewodnik po laboratorium testowym: demonstrowanie usługi Privileged Access Management przy użyciu programu Microsoft Identity Manager, dostępnego w witrynie łączenia.

Zasoby i operacje interfejsu API REST usługi PAM

Interfejs API REST usługi PAM działa na następujących zasobach:

• rola PAM: rola PAM kojarzy kolekcję użytkowników z kolekcją praw dostępu. Prawa dostępu są definiowane przez odwołanie do grup zabezpieczeń. Każda rola PAM ma listę kont użytkowników nazywanych kandydatami, które mają prawo podnieść poziom uprawnień do roli PAM. Na rolach usługi PAM można wykonać następujące operacje:

  • uzyskiwanie ról usługi PAM

• żądanie PAM: użytkownik, który chce podwyższyć poziom uprawnień dostępu do roli PAM, musi przesłać żądanie PAM i uzyskać zatwierdzenie żądania podniesienia poziomu uprawnień. Obiekt żądania PAM śledzi cykl życia tego żądania w usłudze MIM. Na żądaniach PAM można wykonywać następujące operacje:

  • tworzenie żądania PAM
  • uzyskiwanie żądań PAM
  • zamknij żądania PAM

• oczekujące żądanie PAM: służy do zatwierdzania lub odrzucania żądań PAM przesłanych przez użytkowników. Następujące operacje można wykonać na oczekujących żądaniach PAM:

  • uzyskiwanie oczekujących żądań PAM
  • zatwierdzić lub odrzucić oczekujące żądanie PAM

• sesji usługi PAM: w przypadku korzystania z interfejsu API REST usługi PAM klient (na przykład przeglądarka internetowa) ma sesję z punktem końcowym interfejsu API REST usługi PAM. W tej sesji klient jest uwierzytelniany w punkcie końcowym interfejsu API REST. Następujące operacje można wykonać na sesjach usługi PAM:

  • uzyskiwanie informacji o sesji usługi PAM

Aby uzyskać bardziej szczegółowe informacje o usłudze, zobacz szczegóły usługi API REST usługi PAM.

Przykładowy portal usługi PAM w witrynie GitHub

Jednym ze sposobów na poznanie sposobu korzystania z interfejsu API REST usługi PAM jest użycie przykładowego portalu PAM, przykładowej aplikacji internetowej korzystającej z interfejsu API. Kod przykładowego portalu PAM można znaleźć w repozytorium przykładowym usługi PAM w witrynie GitHub. Możesz dowiedzieć się, jak wdrożyć przykładowy portal w przewodniku po laboratorium testowym usługi PAM.