Versions Compared

Old Version 56

changes.mady.by.user Michael Hayen

Saved on

compared with

New Version 57

changes.mady.by.user Galina Babak

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Parameter

Beschrijving

Mogelijke waardes

Waarde beschrijving

Technology

Beschrijft welke technologie de accounts gebruiken om toegang te verkrijgen tot de applicatie.

  • AD

  • WIN

  • UX

  • UXKEYS

  • AWS

  • AZR

  • CYBR

AD: Windows domein accounts gedefinieerd in een Active Directory

WIN: Lokale Windows accounts gedefinieerd op Windows systemen

UX: Lokale *Nix accounts met wachtwoord

UXKEYS: Lokale *Nix accounts met SSH keys

AWS: AWS console of CLI accounts met access keys 

AZR: Azure console accounts

CYBR: CyberArk accounts

Access policy

Beschrijft tot welke Master Access Policy (toegangsbeleid) deze accounts behoren, op basis van de informatieclassificatie waarbinnen de applicatie zich bevindt. Hierdoor kan bepaald worden welke toegangscontrole van kracht is en de toegang opgevolgd wordt. Enkel de applicatie eigenaar kan bepalen tot welk toegangsbeleid de accounts behoren. Dit zou 

  • AO

  • MA

  • SA

Access Only (AO): Deze accounts hebben geen restrictief toegangsbeleid

Managed Motivated Access (MA): Deze accounts hebben een toegangsbeleid met volgende maatregelen:

  • Goedkeuring van aanpassingsbeheer

  • Reden van toegang dient ingevuld worden

  • Aanpassingsnummer dient ingevuld worden

  • Audit logging en sessie opname

  • Rapporteringsmogelijkheden

  • Sessie wordt opgenomen

Secure access (SA): Deze accounts hebben een zeer restrictief toegangsbeleid met volgende maatregelen:

  • Alle elementen die aanwezig zijn binnen het Managed Access beleid.

  • De toegang dient goedgekeurd te worden door een derde.

  • De toegang is beperkt in tijd.

Link type

Beschrijft welk link type de accounts zijn. De linked accounts functionaliteit maakt het mogelijk om extra accounts te definiëren voor het beheer van de eigenlijke accounts, namelijk reconcile en logon accounts. Ze worden gelinkt met het eigenlijke account dat beheerd dient te worden. 

  • N

  • L

  • R

Normal account (N): Dit is een normaal geprivilegieerd account dat gebruikt kan worden door gebruikers.

Logon account (L): Dit wordt voornamelijk gebruikt binnen Linux omgevingen waar een gebruiker niet rechtstreeks als root kan inloggen (en niet mogelijk zou mogen zijn). Een logon account wordt ingeschakeld om een super user verheffing uit te voeren om zo de nodige root user permissies te verkrijgen.

Reconcile account (R): Informatie over reconcile accounts is hier terug te vinden.

Location

Beschrijft binnen welke CyberArk Policy Manager de accounts zich bevinden. Dit is  een technische parameter die niet beslist wordt door de Responsible maar door het PAM team. Momenteel worden alle accounts centraal beheerd in de "CE" CPM. In de toekomst zal Digitaal Vlaanderen een gedecentraliseerde PAM architectuur aannemen waarbij meerdere CPMs accounts zullen beheren.

  • CE

  • <TBD>

Centralized (CE): Momenteel worden alle accounts beheerd door beleidsmaatregelen die zich in de gecentraliseerde "CE" CPM bevinden.

Credential management

Beschrijft hoe inloggegevens beheerd worden aan de hand van een beleid (bv. automatische rotatie, etc.). De applicatie eigenaar beslist hoe inloggegevens van een account beheerd moeten worden.

  • SO

  • AV

  • AC

  • ACR (Standaard)

  • CAU

Store Only (SO): De inloggegevens van de accounts worden opgeslagen in de vault maar de CPM voert geen bijkomende maatregelen uit. (Geen verificatie van de inloggegevens binnen de applicatie en geen rotatie)

Automatic Verify (AV): De inloggegevens van de accounts worden enkel automatisch geverifieerd (kan ook manueel) zonder deze te roteren.

Automatic Change (AC):  De inloggegevens van de accounts worden automatisch geverifieerd en worden geroteerd (kan ook manueel). Hier wordt nog geen gebruik gemaakt van een reconcile account die bij niet-overeenkomstige inloggegevens deze gaat aanpassen in de applicatie en in de vault.

Automatic Change Reconcile (ACR): De inloggegevens van de acounts worden automatisch geverifieerd en worden geroteerd (kan ook manueel). Hier wordt wel gebruik gemaakt van een reconcile account die bij niet-overeenkomstige inloggegevens deze gaat aanpassen in de applicatie en in de vault. Dit is de standaardwaarde.

Change After Use (CAU): Heeft dezelfde mogelijkheden als ACR (Default), waarbij volgende functionaliteiten worden toegevoegd:

  • One-Time Password (OTP): Dit zijn aanmeldgegevens die na iedere aanmelding of aanvraag roteren en dus slechts eenmalig gebruikt kunnen worden. 

  • Check-Out / Check-In (CO/CI): Hierdoor wordt exclusieve toegang verleend wanneer aanmeldgegevens van een account gebruikt of aangevraagd worden. Wanneer dit gebeurt, wordt het account geblokkeerd (Check-In) tot de gebruiker van het account stopt met de sessie en deze terug handmatig deblokkeert (Check-Out). Indien de gebruiker deze niet deblokkeert gebeurt dit automatisch na 60 minuten.

Session management

{Optioneel}

Beschrijft welk protocol gebruikt wordt om te verbinden met de applicatie en is afhankelijk van de technologie die gebruikt wordt door het account.

  • <leeg>

  • RDP

  • SSH

  • WEB

  • PAC

<leeg>: Er wordt geen sessie aangemaakt (er wordt geen connectie gemaakt met het geassocieerde account, bijvoorbeeld reconciliation accounts)

RDP:Lokale of AD accounts (WIN, AD) gebruiken RDP om te connecteren met de applicatie

SSH: Linux of Unix account (UX, UXKEYS) gebruiken SSH om te connecteren met de applicatie

WEB: Microsoft Azure of AWS accounts (AZR, AWSKA,AWSSTS) gebruiken HTTPS om te connecteren met de applicatie

PAC: CyberArk's PrivateArk Client

...