Referência da API REST da Gestão de Acesso Privilegiado

Microsoft Identity Manager (MIM) 2016 adiciona um novo cenário chamado Privileged Access Management (PAM). O PAM permite que uma organização tenha mais controlo sobre os direitos de acesso de contas de utilizador com privilégios elevados, como administradores de sistemas ou serviços, a recursos confidenciais. O PAM controla o acesso de conta de privilégios elevado ao fornecer direitos de acesso de tempo limitado, mesmo a tempo (JIT), quando são necessários os direitos de acesso.

Um utilizador pode pedir ao Serviço MIM direitos de acesso privilegiado (elevação) de uma de duas formas:

• Ao utilizar a API REST de PAM.
• Ao utilizar o cmdlet pam PowerShell New-PAMRequest.

Os tópicos neste guia descrevem a API REST de PAM. Para obter mais informações sobre como utilizar o cmdlet do PowerShell, veja O Guia do Laboratório de Teste: Demonstrar a Gestão de Acesso Privilegiado com Microsoft Identity Manager, disponível no site de ligação.

Recursos e operações da API REST do PAM

A API REST do PAM funciona nos seguintes recursos:

• Função PAM: uma função DE PAM associa uma coleção de utilizadores a uma coleção de direitos de acesso. Os direitos de acesso são definidos por referência a grupos de segurança. Cada função de PAM tem uma lista de contas de utilizador, denominadas candidatas, que têm o direito de elevar à função de PAM. Pode efetuar as seguintes operações em funções de PAM:

  • Obter Funções de PAM

• Pedido PAM: um utilizador que pretenda elevar para direitos de acesso à função PAM tem de submeter um pedido de PAM e obter a aprovação do pedido para elevar. O objeto Pedido de PAM controla o ciclo de vida deste pedido no Serviço MIM. Pode efetuar as seguintes operações em pedidos de PAM:

  • Criar Pedido de PAM
  • Criar Pedidos de PAM
  • Fechar Pedido de PAM

• Pedido de PAM pendente: utilizado para aprovar ou rejeitar pedidos de PAM que foram submetidos pelos utilizadores. Pode realizar as seguintes operações em pedidos de PAM pendentes:

  • Obter Pedidos de PAM Pendentes
  • Aprovar ou Rejeitar um Pedido de PAM Pendente

• Sessão de PAM: ao utilizar a API REST de PAM, o cliente (por exemplo, um browser) tem uma sessão com o ponto final da API REST de PAM. Nesta sessão, o cliente é autenticado no ponto final da API REST. Pode efetuar as seguintes operações em sessões de PAM:

  • Obter Informações da Sessão de PAM

Para obter informações mais detalhadas sobre o serviço, veja Detalhes do Serviço de API REST de PAM.

Portal de exemplo do PAM no GitHub

Uma forma de saber como utilizar a API REST de PAM é através do portal de exemplo de PAM, uma aplicação Web de exemplo que utiliza a API. Pode encontrar o código para o portal de Exemplo de PAM no repositório de exemplo do PAM no GitHub. Pode aprender a implementar o portal de exemplo no Guia do Laboratório de Testes de PAM.