Rest API-referens för Privileged Access Management

Microsoft Identity Manager (MIM) 2016 lägger till ett nytt scenario med namnet Privileged Access Management (PAM). PAM gör det möjligt för en organisation att ha mer kontroll över åtkomsträttigheterna för högprivilegierade användarkonton, till exempel system- eller tjänstadministratörer, till känsliga resurser. PAM styr åtkomsten till högprivilegier genom att ge åtkomsträttigheter med begränsad tid, just-in-time (JIT), när åtkomsträttigheterna behövs.

En användare kan be MIM-tjänsten om privilegierade åtkomsträttigheter (utökade privilegier) på något av två sätt:

• Genom att använda PAM REST API.
• Med hjälp av cmdleten PAM PowerShell New-PAMRequest.

Ämnena i den här guiden beskriver PAM REST API. Mer information om hur du använder PowerShell-cmdleten finns i Test Lab Guide: Demonstrating Privileged Access Management using Microsoft Identity Manager, available on the connect site (Test Lab Guide: Demonstrating Privileged Access Management using Microsoft Identity Manager, available on the connect site).

PAM REST API-resurser och åtgärder

PAM REST API fungerar på följande resurser:

• PAM-roll: En PAM-roll associerar en samling användare med en samling åtkomsträttigheter. Åtkomsträttigheterna definieras med referens till säkerhetsgrupper. Varje PAM-roll har en lista över användarkonton, som kallas kandidater, som har rätt att höja till PAM-rollen. Du kan utföra följande åtgärder på PAM-roller:

  • Hämta PAM-roller

• PAM-begäran: En användare som vill höja till PAM-rollåtkomsträttigheter måste skicka en PAM-begäran och få godkännande för begäran om att höja. PAM-begärandeobjektet spårar livscykeln för den här begäran i MIM-tjänsten. Du kan utföra följande åtgärder på PAM-begäranden:

  • Skapa PAM-begäran
  • Hämta PAM-begäranden
  • Stäng PAM-begäran

• Väntande PAM-begäran: Används för att godkänna eller avvisa PAM-begäranden som har skickats av användare. Du kan utföra följande åtgärder på väntande PAM-begäranden:

  • Hämta väntande PAM-begäranden
  • Godkänn eller avvisa en väntande PAM-begäran

• PAM-session: När du använder PAM REST API har klienten (till exempel en webbläsare) en session med PAM REST API-slutpunkten. I den här sessionen autentiseras klienten till REST API-slutpunkten. Du kan utföra följande åtgärder på PAM-sessioner:

  • Hämta PAM-sessionsinformation

Mer detaljerad information om tjänsten finns i PAM REST API-tjänstinformation.

PAM-exempelportalen på GitHub

Ett sätt att lära sig hur du använder PAM REST API är att använda PAM-exempelportalen, ett exempelwebbprogram som använder API:et. Du hittar koden för PAM-exempelportalen i PAM-exempellagringsplatsen på GitHub. Du kan lära dig hur du distribuerar exempelportalen i PAM Test Lab Guide.