Privileged Access Management REST API 参考
Microsoft 标识管理器 (MIM) 2016 添加了新方案,称为特权访问管理 (PAM)。 PAM 使组织可以对高特权用户帐户(例如系统或服务管理员)对敏感资源的访问权限具有更多的控制权。 PAM 通过在需要访问权限时实时 (JIT) 提供限时访问权限来控制高特权帐户的访问。
用户可以使用两种方式要求 MIM 服务提供特许访问权限(提升):
- 通过使用 PAM REST API。
- 通过使用 PAM PowerShell New-PAMRequest cmdlet。
本指南中的主题介绍 PAM REST API。 有关使用 PowerShell cmdlet 的详细信息,请参阅连接站点上提供的测试实验室指南:使用 Microsoft Identity Manager 演示特权访问管理。
PAM REST API 资源和操作
PAM REST API 对以下资源进行操作:
PAM 角色:PAM 角色将用户集合与访问权限集合相关联。 访问权限由对安全组的引用来定义。 每个 PAM 角色都具有有权提升到 PAM 角色的用户帐户(称为候选人)的列表。 你可以对 PAM 角色执行以下操作:
PAM 请求:想要提升到 PAM 角色访问权限的用户必须提交 PAM 请求并获得提升请求的批准。 PAM 请求对象将在 MIM 服务中跟踪此请求的生命周期。 你可以对 PAM 请求执行以下操作:
挂起的 PAM 请求:用于批准或拒绝用户提交的 PAM 请求。 你可以对挂起的 PAM 请求执行以下操作:
PAM 会话:使用 PAM REST API 时,客户端 (例如,Web 浏览器) 具有与 PAM REST API 终结点的会话。 在此会话中,客户端会向 REST API 终结点进行身份验证。 你可以对 PAM 会话执行以下操作:
有关该服务的更多详细信息,请参阅 PAM REST API 服务详细信息。
GitHub 上的 PAM 示例门户
了解如何使用 PAM REST API 的一种方法是使用 PAM 示例门户,这是使用该 API 的示例 Web 应用程序。 可以在 GitHub 上的 PAM 示例存储库中找到 PAM 示例门户的代码。 你可以在 PAM 测试实验室指南中了解如何部署示例门户。