Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

1. Account Safe

Beschrijving

De beschrijving van wat safes zijn is hier terug te vinden.

Naamconventie

[Responsible]-[OVO code]-[Team of Application ID]-[Safe type]-[Location]

Image Removed

Beschrijving van de naamconventie

...

Parameter

...

Beschrijving

...

Mogelijke waardes

...

Waarde beschrijving

...

Responsible

Dit beschrijft de gebruikers die eigenaar zijn van de applicatie of verwijst naar een gedelegeerde partij. Enkel de applicatie eigenaar kan bepalen wie een gedelegeerde partij is. Deze parameter moet ook verifieerbaar zijn door het PAM team.

...

  • O

  • D

...

Owner (O): Applicatie eigenaars hebben toegang tot de accounts in de safe.

Delegate (D): Een gedelegeerde partij heeft toegang tot de accounts in de safe.

...

OVO Code

...

Beschrijft welke organisatie, entiteit of klant toegang krijgt tot accounts in de safe. Deze partij kan enkel geïdentificeerd worden door een OVO code.

...

Alle waardes die aanwezig zijn binnen de VO CMDB

...

Beschrijving van de OVO codes kan geraadpleegd worden in de VO CMDB

...

Application ID

...

Beschrijft tot welke applicatie de accounts behoren. De applicatie kan enkel geïdentificeerd worden door de applicatie ID.

Alle waardes die aanwezig zijn binnen de VO CMDB

...

Beschrijving van de Application IDs kan geraadpleegd worden in de VO CMDB

...

Team

...

Beschrijft tot welk team de accounts behoren. Dit kan vrij gekozen worden door de aanvrager, mits een logische verklaring voor de keuze in plaats van een Application ID.

...

Vrij waarde, beperkt tot 5 karakters

...

De aanvrager moet een logische verklaring meedelen voor de teams om de verschillen duidelijk aan te geven.

...

Safe Type

Beschrijft de oorsprong en de aard van de accounts. Enkel de applicatie eigenaar kan deze parameter bepalen.

...

  • ADM

  • OPS

  • NPA

  • LOG

...

Administrator account (ADM): Ingebouwde administrator accounts binnen een applicatie.

Operational account (OPS):

  • Aangemaakte accounts om de applicatie te beheren en te onderhouden.

  • Aangemaakte reconcile accounts (zie "4. Platforms") die beheerd worden in twee specifieke reconcile safes (zie "3. Reconcile Safe").

Non-Privileged account (NPA): Aangemaakte accounts die enkel lees rechten hebben op de applicatie.

Logon account (LOG): Aangemaakte accounts die niet rechtstreeks gebruikt worden om aan te melden.

...

Location

Beschrijft binnen welke CyberArk Policy Manager de accounts zich bevinden. Dit is  een technische parameter die niet beslist wordt door de Responsible maar door het PAM team. Momenteel worden alle accounts centraal beheerd in de "CE" CPM. In de toekomst zal Digitaal Vlaanderen een gedecentraliseerde PAM architectuur aannemen waarbij meerdere CPMs accounts zullen beheren.

...

  • CE

  • <TBD>

Centralized (CE): Momenteel worden alle accounts beheerd door beleidsmaatregelen die zich in de gecentraliseerde "CE" CPM bevinden.

Account Safe voorbeeld

D-048644-20109-OPS-CE

  • D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.

  • 048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO code 048644.

  • 20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.

  • OPS: De accounts zijn aangemaakt voor operationeel gebruik.

  • CE: De accounts worden beheerd door de "CE" CPM.

2. Opname Safe

Naamconventie

R-[Responsible]-[OVO code]-[Team of Application ID]-[Safe type]-[Location]

Beschrijving van de naamconventie

De naamconventie van de Opname Safe is dezelfde als bij de Account Safe met een bijkomende prefix "R-" die aangeeft dat deze safe enkel gebruikt wordt om opnames in op te slaan. Opname safes worden enkel aangemaakt als een Account Safe een of meerdere accounts bevat met een Managed (MA) of Secure Access (SA) Access Policy (zie Platform parameters). Binnen deze safes worden enkel opnames van sessies opgeslaan en geen accounts beheerd. Toegang tot de Opname Safe wordt verleend aan de personen die de auditor rol hebben verkregen binnen de (oorspronkelijke) Account Safe. Er wordt dus geen nieuwe context aangemaakt om toegang te verkrijgen tot de Opname Safe. Meer informatie rond authorisatie tot safes kan geraadpleegd worden in hoofdstuk "5. Context".

Opname Safe voorbeeld

R-D-048644-20109-OPS-CE

  • R: Dit is een safe die enkel gebruikt wordt om opnames op te slaan en te beheren van accounts in de D-048644-20109-OPS-CE Safe.

  • D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.

  • 048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO code 048644.

  • 20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.

  • OPS: De accounts zijn aangemaakt voor operationeel gebruik.

  • CE: De accounts worden beheerd door de "CE" CPM.

3. Reconcile Safe

Beschrijving

Een beslissing is genomen om alle reconcile accounts te centraliseren in twee reconcile safes in plaats van aparte safes te maken voor iedere reconcile account. De redenering hier is dat het PAM team deze accounts gebruikt als onderdeel van de PAM service. Daarom is het ook hun verantwoordelijkheid om deze accounts te beheren en zou het PAM team de enige partij mogen zijn om hiertoe toegang te verkrijgen.

Naamconventie

De naamconventie heeft een vast formaat waarbij een opdeling wordt gemaakt tussen Owner en Delegated Safes:

  1. Naamconventie: O-002949-81039-OPS-[Location]

    • De Owner Safe wordt enkel gebruikt voor reconcile accounts die activiteiten uitvoeren op applicaties die tot Digitaal Vlaanderen behoren.

  2. Naamconventie: D-002949-81039-OPS-[Location]

    • De Delegated Safe wordt enkel gebruikt voor reconcile accounts die gedelegeerd worden naar Digitaal Vlaanderen door klanten van PAMaaS om activiteiten uit te voeren op hun applicaties.

4. Platform

Beschrijving 

Een platform biedt de mogelijkheid om excepties te maken op de Master Policy, welke een gecentraliseerd overzicht geeft van de verschillende policies die toegepast worden op accounts binnen de organisatie. Hierdoor kunnen er granulaire maatregelen getroffen worden voor verzamelingen van accounts (bv. Linux accounts, LDAP accounts, etc.).

Naamconventie

[Technology]-[Access Policy]-[Link type]-[Location]-[Credential Management]{-[Session Management]}

...

Wanneer er een intakegesprek heeft plaatsgevonden, stuurt de integrator het integratiedossier, ook gekend als het safe design, door naar de klant. Tijdens het intakegesprek overlopen de integrator en de klant dit dossier samen, zodat de klant hier daarna zelfstandig mee aan de slag kan gaan.

Het is de bedoeling dat de klant de kolommen onder “Safe design”, “Toegangsbeleid design”, “Geprivilegieerd accounts informatie” en “To be onboarded” invult. De andere kolommen worden automatisch aangevuld waar nodig. Wanneer het dossier ingevuld is, stuurt de klant dit door naar de integrator die het laat valideren bij het technische team. Indien nodig wordt er feedback gegeven aan de klant. Wanneer dit dossier in orde is kan er een werkaanvraag worden ingevuld met de vermelding van het totaal aantal te onboarden accounts en het referentienummer (PAMINT-XXX). Nadat de werkaanvraag besteld is, kan de onboarding ingepland worden.

Afhankelijk van welke technologie de klant gebruikt, wordt er in één of meerdere tabbladen van het integratiedossier gewerkt.

Hieronder vindt u de inhoudsopgave van alle te doorlopen stappen.

Table of Contents
stylenone

1. Safe design of account safe

Beschrijving

Het safe design gaat over de safe die aangemaakt zal worden. De beschrijving van wat safes zijn, is hier terug te vinden.

Bij PAM wordt er op safe niveau gewerkt. Dit betekent dat, wanneer je toegang hebt tot een safe, je toegang hebt tot alle accounts die in die safe zijn opgeslagen.

Al de aspecten van het safe design vormen tezamen een safe. Bijgevolg heb je een compleet andere safe wanneer je één van deze aspecten aanpast.

Naamconventie: safe name

[Verantwoordelijke]-[OVO-code]-[Team of Applicatie ID]-[Type safe]-[Locatie]

...

Beschrijving van de naamconventie

Parameter

Beschrijving

Mogelijke waardes

Waarde beschrijving

Verantwoordelijke

Deze parameter beschrijft de partij die gebruik zal maken van de geonboardde accounts op PAM. Het beschrijft dus

  1. O: gebruikers die eigenaar zijn van de applicatie en zelf het beheer doen

  2. D: een gedelegeerde partij die het beheer van een applicatie in opdracht doet

Enkel de applicatie-eigenaar kan bepalen wie een gedelegeerde partij is.

  • O

  • D

Owner (O): Applicatie-eigenaars hebben toegang tot de accounts in de safe en regelen het gebruikersbeheer.

Delegated (D): Een gedelegeerde partij heeft toegang tot de accounts in de safe en regelt het gebruikersbeheer.

Info

Als jij als applicatie-eigenaar de accounts zelf gebruikt, zijn het owned accounts.

Als jij als applicatie-eigenaar de geprivilegieerde accounts niet zelf gebruikt, maar het gebruik ervan bij een andere organisatie ligt, zijn het delegated accounts.

Anchor
OVO-code
OVO-code
OVO-code

De OVO-code beschrijft aan welke organisatie, entiteit of klant de aangemaakte safe gelinkt wordt. Indien er verder in het integratiedossier geen OVO-codes vermeld worden bij “Safe Toegang”, is het deze organisatie die de controle over de safe heeft. Bijgevolg bepaalt deze organisatie de gebruikers die toegang hebben tot de accounts in de safe (IDM). Deze partij kan enkel geïdentificeerd worden door een OVO-code.

Alle waarden die aanwezig zijn binnen de VO CMDB

Beschrijving van de OVO-codes kan geraadpleegd worden in de VO CMDB.

U kan uw Organisatie code, kortweg OVO-code, opzoeken via https://wegwijs.vlaanderen.be/.

Team/Applicatie ID

Deze parameter beschrijft tot welk team of welke applicatie de accounts behoren.

De applicatie kan enkel geïdentificeerd worden door het toepassingsnummer in CMDB. Dit is de geprefereerde waarde voor deze kolom.

Indien de applicatie niet over een toepassingsnummer beschikt, kan men hier een Team ID specifiëren. Een Team ID beschrijft tot welk team de accounts behoren. Deze waarde kan vrij gekozen worden door de aanvrager.

Alle waarden die aanwezig zijn binnen de VO CMDB /

Vrije waarde, beperkt tot 5 karakters

Beschrijving van de Applicatie ID's kan geraadpleegd worden in de VO CMDB. /

De aanvrager moet een logische verklaring meedelen voor de teams om de verschillen duidelijk aan te geven. Dit moet eveneens een unieke en specifieke waarde zijn. Deze waarde wordt het best in hoofdlettersuitgedrukt.

Type safe

Het type van de safe beschrijft de oorsprong en de aard van de accounts. Enkel de applicatie eigenaar kan deze parameter bepalen.

  • ADM

  • TNI

  • OPS

  • NPA

Administrator account (ADM): Ingebouwde administrator accounts binnen een applicatie. Dit zijn de hoogste geprivilegieerde accounts.

Test account (TNI): Geprivilegieerde accounts in uw Test Omgeving.

Operationeel account (OPS):

  • Aangemaakte accounts om de applicatie te beheren en te onderhouden.

  • Aangemaakte reconcile accounts die beheerd worden in twee specifieke reconcile safes (zie "Safe design voor een reconcile account").

Non Privileged Accounts (NPA): Aangemaakte accounts die enkel leesrechten hebben op de applicatie.

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#DEEBFF

Safe design voor een reconcile account

Een beslissing is genomen om alle reconcile accounts te centraliseren in twee reconcile safes in plaats van aparte safes te maken voor ieder reconcile account. De redenering is hier dat het PAM-team deze accounts beheerd als onderdeel van de PAM service en deze accounts opgeslagen worden in de safe van Digitaal Vlaanderen. Bijgevolg zou het PAM-team de enige partij mogen zijn die hier toegang tot heeft.

De naamconventie heeft een vast formaat waarbij een opdeling wordt gemaakt tussen Owner en Delegated safes:

  1. De Owner Safe wordt enkel gebruikt voor reconcile accounts die activiteiten uitvoeren op applicaties die tot Digitaal Vlaanderen behoren.

    • Verantwoordelijke: O

    • OVO-code: OVO002949

    • Team/Application ID: 81039

    • Safe Type: OPS

  2. De Delegated Safe wordt enkel gebruikt voor reconcile accounts die gedelegeerd worden naar Digitaal Vlaanderen door klanten van PAMaaS om activiteiten uit te voeren op hun applicaties.

    • Verantwoordelijke: D

    • OVO-code: OVO002949

    • Team/Application ID: 81039

    • Safe Type: OPS

...

Panel
bgColor#F4F5F7

Safe design voorbeeld

D-048644-20109-OPS-CE

  • D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij.

  • 048644: De partij die verantwoordelijk is voor de accounts wordt geïdentificeerd door de OVO-code 048644.

  • 20109: De accounts zijn actief binnen de applicatie met Applicatie ID 20109.

  • OPS: De accounts zijn aangemaakt voor operationeel gebruik.

  • CE: De accounts worden beheerd door de "CE" CPM. Dit is vooral belangrijk voor ons technisch team en is een vaste waarde.

2. Toegangsbeleid design

Beschrijving 

Het toegangsbeleid gaat over hoe de accounts in de safe beheert en gebruikt kunnen worden. Als gebruiker van PAMaaS is het belangrijk om te bepalen hoe strikt het toegangsbeleid dient te zijn. Als afnemer van PAMaaS is het belangrijk om te bepalen hoe strikt het toegangsbeleid dient te zijn.

Naamconventie: platform name

[Technologie]-[Toegangsbeleid]-[Type account]-[Locatie]-[Gegevensbeheer]-[Sessiebeheer]

...

Beschrijving van de naamconventie

Parameter

Beschrijving

Mogelijke waardes

Waarde beschrijving

Technology

Technologie

Beschrijft

Deze parameter beschrijft welke technologie de accounts gebruiken om toegang te verkrijgen tot de applicatie. Afhankelijk van welke technologie er gebruikt wordt, zal men in een andere tab van het integratiedossier te werk gaan.

  • AD

  • WIN

  • UX

UXKEYS
  • AWS

  • AZR

CYBR

AD: Windows domein accounts gedefinieerd in een Active Directory

WIN: Lokale Windows accounts gedefinieerd op Windows systemen

UX: Lokale

*Nix

Linux accounts met wachtwoord

UXKEYS: Lokale *Nix accounts met SSH keys

AWS: AWS console of CLI accounts met access keys 

AZR: Azure console accounts

CYBR: CyberArk accounts

Access policy

Beschrijft tot welke Master Access Policy (toegangsbeleid) deze accounts behoren,

Anchor
Toegangsbeleid
Toegangsbeleid
Toegangsbeleid

Het toegangsbeleid bepaalt in welke mate toegangscontrole van kracht is en hoe de toegang opgevolgd wordt. Dit kan beslist worden op basis van de informatieclassificatie waarbinnen de applicatie zich bevindt

. Hierdoor kan bepaald worden welke toegangscontrole van kracht is en de toegang opgevolgd wordt

. Enkel de applicatie-eigenaar kan bepalen tot welk toegangsbeleid de accounts behoren.

Dit zou 

  • AO

  • MA

  • SA

Access Only (AO): Deze accounts hebben geen restrictief toegangsbeleid

Motivated Access (

. Er dient enkel een reden van toegang ingevuld te worden.

Motivated Access (MA): Deze accounts hebben een toegangsbeleid met volgende maatregelen:

Goedkeuring van aanpassingsbeheer

  • Reden van toegang dient ingevuld te worden

Aanpassingsnummer
  • Changenummer dient ingevuld te worden

  • Audit logging en sessie opname

  • Rapporteringsmogelijkheden

Sessie wordt opgenomen

Secure

access

Access (SA): Deze accounts hebben een zeer restrictief toegangsbeleid met volgende maatregelen:

  • Alle elementen die aanwezig zijn binnen het

Managed
  • Motivated Access beleid

.
  • De toegang dient goedgekeurd te worden door een derde

.
  • (= approver)

  • De toegang is beperkt in de tijd

.

Type account

Link

Het type

Beschrijft welk link type de accounts zijn. De linked accounts functionaliteit maakt het mogelijk om extra accounts te definiëren voor

account beschrijft welk soort account er geonboard dient te worden.

Er kan gebruik gemaakt worden van de linked account functionaliteit die het beheer van de eigenlijke accounts

, namelijk reconcile en logon accounts. Ze worden gelinkt met het eigenlijke account dat beheerd dient te worden. 

mogelijk maakt.

  • N

  • L

  • R

Normal

Normaal account (N): Dit is een normaal geprivilegieerd account dat gebruikt kan worden door gebruikers.

Logon account (L):

Dit

Een logon account wordt voornamelijk gebruikt binnen AWS/Linux omgevingen waar een gebruiker niet rechtstreeks als root kan inloggen (

en

dit zou niet mogelijk

zou

mogen zijn). Een logon account wordt ingeschakeld om een super user verheffing uit te voeren om zo de nodige root user permissies te verkrijgen.

Reconcile account (R):

Informatie over reconcile accounts is hier

Dit is een reconciliatie account dat dient voor het wachtwoordbeheer en -rotatie van de andere normale accounts. Informatie over reconcile accounts is hier terug te vinden.

Location

Beschrijft binnen welke CyberArk Policy Manager de accounts zich bevinden. Dit is  een technische parameter die niet beslist wordt door de Responsible maar door het PAM team. Momenteel worden alle accounts centraal beheerd in de "CE" CPM. In de toekomst zal Digitaal Vlaanderen een gedecentraliseerde PAM architectuur aannemen waarbij meerdere CPMs accounts zullen beheren.

  • CE

  • <TBD>

Centralized (CE): Momenteel worden alle accounts beheerd door beleidsmaatregelen die zich in de gecentraliseerde "CE" CPM bevinden.

Credential management

Beschrijft hoe inloggegevens beheerd worden aan de hand van een beleid (bv. automatische rotatie, etc.). De applicatie eigenaar beslist hoe inloggegevens van een account beheerd moeten worden.

  • SO

  • AV

  • AC

  • ACR (Standaard)

  • CAU

Store Only (SO

Eén reconcile account per domein volstaat.

Gegevensbeheer

Het gegevensbeheer geeft weer hoe inloggegevens beheerd worden aan de hand van een beleid (bv. automatische rotatie, etc.). De applicatie-eigenaar beslist hoe inloggegevens van een account beheerd moeten worden.

  • ACR (Standaard)

  • AC (bij AWS)

Automatic Change Reconcile (ACR): De inloggegevens van de acounts worden automatisch geverifieerd en geroteerd. Er wordt gebruik gemaakt van een reconcile account dat wachtwoorden gaat roteren in de applicatie en in de vault bij niet-overeenkomstige inloggegevens.

Automatic Change (AC): De inloggegevens van de

accounts worden opgeslagen in de vault maar de CPM voert geen bijkomende maatregelen uit. (Geen verificatie van de inloggegevens binnen de applicatie en geen rotatie)

Automatic Verify (AV): De inloggegevens van de accounts worden enkel automatisch geverifieerd (kan ook manueel) zonder deze te roteren.

Automatic Change (AC):  De inloggegevens van de accounts worden automatisch geverifieerd en worden geroteerd (kan ook manueel). Hier wordt nog geen gebruik gemaakt van een reconcile account die bij niet-overeenkomstige inloggegevens deze gaat aanpassen in de applicatie en in de vault.

Automatic Change Reconcile (ACR): De inloggegevens van de acounts worden automatisch geverifieerd en worden geroteerd (kan ook manueel). Hier wordt wel gebruik gemaakt van een reconcile account die bij niet-overeenkomstige inloggegevens deze gaat aanpassen in de applicatie en in de vault. Dit is de standaardwaarde.

Change After Use (CAU): Heeft dezelfde mogelijkheden als ACR (Default), waarbij volgende functionaliteiten worden toegevoegd:

  • One-Time Password (OTP): Dit zijn aanmeldgegevens die na iedere aanmelding of aanvraag roteren en dus slechts eenmalig gebruikt kunnen worden. 

  • Check-Out / Check-In (CO/CI): Hierdoor wordt exclusieve toegang verleend wanneer aanmeldgegevens van een account gebruikt of aangevraagd worden. Wanneer dit gebeurt, wordt het account geblokkeerd (Check-In) tot de gebruiker van het account stopt met de sessie en deze terug handmatig deblokkeert (Check-Out). Indien de gebruiker deze niet deblokkeert gebeurt dit automatisch na 60 minuten.

Session management

{Optioneel}

Beschrijft welk protocol gebruikt wordt om te verbinden met de applicatie en is afhankelijk van de technologie die gebruikt wordt door het account.

  • <leeg>

  • RDP

  • SSH

  • WEB

  • PAC

<leeg>: Er wordt geen sessie aangemaakt (er wordt geen connectie gemaakt met het geassocieerde account, bijvoorbeeld reconciliation accounts)

RDP:Lokale of AD accounts (WIN, AD) gebruiken RDP om te connecteren met de applicatie

SSH: Linux of Unix account (UX, UXKEYS) gebruiken SSH om te connecteren met de applicatie

WEB: Microsoft Azure of AWS accounts (AZR, AWSKA,AWSSTS) gebruiken HTTPS om te connecteren met de applicatie

PAC: CyberArk's PrivateArk Client

Platform voorbeeld

WIN-MA-CE-CAU-RDP

  • WIN: Dit is een platform die enkel lokale Windows accounts bevat. 

  • MA: De accounts zijn onderhevig aan de Managed Access Access Policy.

  • CE: De inloggegevens van de accounts worden beheerd door de CE CPM die centraal geïnstalleerd is.

  • CAU: De accounts zijn onderhevig aan de Change After Use Credential management maatregel.

  • RDP: Het is mogelijk voor de accounts om een RDP connectie te maken met de applicatie om in te loggen.

5. Context

Beschrijving

Een context is een AD group die de informatie bevat van een safe en de rol voor het type van toegang. Dit op basis van het VO toegangsbeleid. Afhankelijk van dit toegangsbeleid onderscheiden we drie verschillende rollen die toegang tot safes, en dus tot geprivilegieerde accounts, verschaffen.

Naamconventie

[Responsible]-[OVO code]-[Team of Application ID]-[Safe type]%[Context]

Beschrijving van de naamconventie

De naamconventie volgt die van een Account Safe zonder de "Location" parameter en wordt ingevuld door de suffix "Context". Dit maakt het mogelijk om de accounts van de ene naar de andere safe te verplaatsen in de toekomst zonder impact te hebben op de permissies die geconfigureerd zijn binnen VO WebIDM. (Dit kan nodig zijn wanneer een applicatie verplaatst van 'Location'). 

...

Parameter

...

Beschrijving

...

Mogelijke waardes

...

Waarde beschrijving

...

Context

Beschrijft de rol die een gebruiker krijgt binnen een safe.

%user

%validator

%auditor

...

%user: De gebruiker met deze rol heeft toegang tot alle accounts binnen de safe en kan deze gebruiken om in te loggen tot de verschillende applicaties die waarop de accounts aanwezig zijn.

%validator: De gebruiker met deze rol kan alle toegangsaanvragen valideren binnen de safe. Dit is enkel van toepassing op accounts die gekoppeld zijn met een platform die de Managed Access en Secure Access Access Policy.

%auditor: De gebruiker met deze rol kan alle activiteit van de accounts gaan bekijken en controleren. (bv. Opnames raadplegen). De auditor rol die aangemaakt wordt voor de Account Safe wordt ook gebruikt in de Opname Safe om toegang te verlenen tot de opgenomen sessies. Als we naar het voorbeeld kijken van de Account Safe "D-048644-20109-OPS-CE" wordt de context "D-048644-20109-OPS-CE%auditor" aangemaakt en verkrijgt deze toegang tot de Account Safe "D-048644-20109-OPS-CE" om toegang te monitoren en binnen de Opname Safe "R-D-048644-20109-OPS-CE" om de opgenomen sessies te bekijken.

Context voorbeeld

D-048644-20109-OPS%user

  • D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.

  • 048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO code 048644.

  • 20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.

  • OPS: De accounts zijn aangemaakt voor operationeel gebruik.

  • %user: De gebruiker heeft de rol om al de accounts binnen de safe te gebruiken.

6. Account

Beschrijving

Een account is binnen PAMaaS een geprivilegieerd account die gebruikt wordt om toegang te verlenen tot een systeem of applicatie.

Richtlijnen om geprivilegieerde accounts aan te maken zijn hier terug te vinden.

Windows domain account parameters

...

Parameter

...

Beschrijving

...

Voorbeeld

...

Address

...

Fully Qualified Domain Name (FQDN) van het Windows domain.

...

windowsdomeinnaam.vlaanderen.be 

...

Username

...

Naam van het Windows domain account.

...

DomainAdmin

...

Logon To 

...

Naam van het domain waar het account zal op aanmelden.

...

windowsdomeinnaam

...

UserDN

...

Naam van het domain object.

...

windowsdomeinnaam\DomainAdmin

...

Comments

...

Optionele beschrijving.

Windows local account parameters

...

Parameter

...

Beschrijving

...

Voorbeeld

...

Address

...

Fully Qualified Domain Name (FQDN) van de Windows server.

...

servernaam.vlaanderen.be 

...

Username

...

Naam van het Windows local account.

...

Administrator

...

Comments

...

Optionele beschrijving.

Linux parameters

...

Parameter

...

Beschrijving

...

Voorbeeld

...

Address

...

Fully Qualified Domain Name (FQDN) van de Linux server.

...

servernaam.vlaanderen.be

...

Username

...

Naam van het Linux account.

...

root

...

Comments

...

Optionele beschrijving.

AWS IAM account - CLI toegang - Parameters

...

Parameter

...

Beschrijving

...

Voorbeeld

...

AWS Access Key ID

...

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

...

AKIAJIPU0000L5LB7OIB

...

Username

...

Naam van het AWS account.

...

Administrator

...

Address

...

De account-specifieke URL die gebruikt door IAM users om aan te melden.

...

https://[UwAWSAccountID].signin.aws.amazon.com/console

...

AWS ARN Role

...

De rol die veilige toegang heeft tot de AWS Console. 

...

arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe

...

Comments

...

Optionele beschrijving.

AWS IAM account - Console toegang - Parameters

...

Parameter

...

Beschrijving

...

Voorbeeld

...

IAM Username

...

Naam van het AWS IAM Account.

...

StorageAdministrator

...

AWS Access Key ID

...

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

...

AKIAJIPU0000L5LB7OIB

...

AWS Account Number

...

De account-specifieke URL die gebruikt door IAM users om aan te melden.

...

123456789012

...

Comments

...

Optionele beschrijving.

AWS IAM role - Console toegang - Parameters

Parameter

Beschrijving

Voorbeeld

IAM Username

Naam van de AWS IAM Role.

S3AccessRole

AWS ARN Role

De rol die veilige toegang heeft tot de AWS Console. 

arn:aws:iam::123456789012:role/S3Access

AWS Account Number

De account-specifieke URL die gebruikt door IAM users om aan te melden.

123456789012

Comments

Optionele beschrijving.

Use logon

Hier moet het Account ID (beschikbaar in de onboardingsexcel kolom A) toegevoegd worden van het AWS IAM Account die deze rol kan opvragen. 

AWS-Console-L1 

acounts worden automatisch geverifieerd en aangepast.

Info

Toegangsbeleid voor een reconcile account

  • Toegangsbeleid: SA

  • Type account: R

...

Panel
bgColor#F4F5F7

Toegangsbeleid design voorbeeld

WIN-MA-CE-CAU-RDP

  • WIN: Dit is een platform die enkel lokale Windows accounts bevat. 

  • MA: De accounts zijn onderhevig aan de Managed Access Policy.

  • CE: De inloggegevens van de accounts worden beheerd door de CE CPM die centraal geïnstalleerd is.

  • ACR: De accounts zijn onderhevig aan de Automatic Change Reconcile gegevensbeheer maatregel.

  • RDP: Het is mogelijk voor de accounts om een RDP connectie te maken met de applicatie om in te loggen.

3. Geprivilegieerd account informatie

...

Beschrijving

Een account is binnen PAMaaS een geprivilegieerd account dat gebruikt wordt om toegang te verlenen tot een systeem of applicatie.

Richtlijnen om geprivilegieerde accounts aan te maken zijn hier terug te vinden.

3.1 Windows domain

Parameter

Beschrijving

Voorbeeld

Username

Gebruiksvriendelijke naam van het Windows domein account.

DomainAdmin

Address (FQDN)

Fully Qualified Domain Name (FQDN) van het Windows domain.

windowsdomeinnaam.vlaanderen.be 

UserDN

Naam van het domain object.

windowsdomeinnaam\DomainAdmin

Permitted Remote Machines

Lijst met servers waartoe het account toegang heeft.

server 1 ; server 2 ; server 3 ; …

Comments

Optionele beschrijving.

Voorbeeld Domain account

Use reconcile (Account ID)

Verwijst naar het account (in het integratiedossier) dat als reconcile account gebruikt wordt voor de wachtwoordrotatie van het desbetreffend domeinaccount.

AD-0

3.2 Windows local

Parameter

Beschrijving

Voorbeeld

Username

Gebruiksvriendelijke naam van het Windows local account.

Administrator

Address (FQDN)

Fully Qualified Domain Name (FQDN) van de Windows server.

servernaam.vlaanderen.be 

Comments

Optionele beschrijving.

Voorbeeld local account

Use reconcile (Account ID)

Verwijst naar het account (in het integratiedossier) dat als reconcile account gebruikt wordt voor de wachtwoordrotatie van het desbetreffend domeinaccount.

WIN-0

3.3 Linux

Parameter

Beschrijving

Voorbeeld

Username

Gebruiksvriendelijke naam van het Linux account.

Root

Address (FQDN)

Fully Qualified Domain Name (FQDN) van de Linux server.

servernaam.vlaanderen.be

Comments

Optionele beschrijving.

Voorbeeld Domain account

Use logon (Account ID)

Verwijst naar het account (in het integratiedossier) dat als logon account gebruikt wordt. Er wordt ofwel gebruik gemaakt van een logon account ofwel van een reconcile account.

UX-0

Use reconcile (Account ID)

Verwijst naar het account (in het integratiedossier) dat als reconcile account gebruikt wordt. Er wordt ofwel gebruik gemaakt van een logon account ofwel van een reconcile account.

UX-1

3.4 AWS

Parameter

Beschrijving

Voorbeeld

Username

Gebruiksvriendelijke naam van het AWS account.

Administrator

AWS Access Key ID

Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console.

AKIAJIPU0000L5LB7OIB

AWS Address

De account-specifieke URL die gebruikt wordt door IAM users om aan te melden.

https://[UwAWSAccountID].signin.aws.amazon.com/console

AWS ARN Role

De gebruiker die veilige toegang heeft tot de AWS Console. 

arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe

Comments

Optionele beschrijving.

Voorbeeld Administrator account

Use logon

Verwijst naar het account (in het integratiedossier) dat als logon account gebruikt wordt.

AWS-0

3.5 Azure

Parameter

Beschrijving

Voorbeeld

Username

Gebruiksvriendelijke naam van het Azure account. Deze naam wordt gebruikt om het account aan te maken en wordt gelinkt aan de nodige subscriptie(s).

GlobalAdmin

User Principal Name

Deze naam vindt u terug bij inloggen op het Azure portaal.

GlobalAdmin@81039.vlaanderen.be

Object ID

Wanneer er gebruik gemaakt wordt van de VO tenant dient dit veld niet ingevuld te worden door de klant. De object ID wordt door het PAM-team aangemaakt bij het creëren van de accounts.

Wanneer er gebruik gemaakt wordt van een eigen tenant dient die veld wel ingevuld te worden door de klant.

xcxd001-00x0-0x01-0xxx-x0x0x01xx100

Subscription User Friendly Name

Gebruiksvriendelijke naam van uw subscriptie.

Subscriptie PRD

Subscription Technical Name

Technische naam van uw subscriptie.

xcxd001-00x0-0x01-0xxx-x0x0x01xx100

Comments

Optionele beschrijving.

Voorbeeld Administrator account

4. Safe Toegang

...

Beschrijving

In het integratiedossier heb je de mogelijkheid om bij Safe Toegang per context mee te geven aan welke organisatie de desbetreffende context gelinkt wordt. Dit wordt op safe niveau ingeregeld en niet per account. Als je hier geen organisatie invult, dan zal de organisatie gespecifieerd in de kolom ‘OVO-code’ worden gebruikt en zal de context aan die organisatie gelinkt worden.

Panel
panelIconId2757
panelIcon:exclamation:
panelIconText
bgColor#FFEBE6

De organisatie waarvan de OVO-code vermeld wordt in één van de kolommen bij ‘Safe Toegang’ moet het gebruikersbeheer inregelen.

De personen die de desbetreffende rol zullen innemen en de context in het gebruikersbeheer moeten krijgen, moeten een werkrelatie hebben met de desbetreffende organisatie.

Panel
bgColor#F4F5F7

Safe Toegang voorbeeld

  • User context: OVO005678 → een lokale beheerder van de organisatie met OVO-code OVO005678 moet de gebruikers van PAM de nodige rechten toekennen in het Gebruikersbeheer.

  • Approver context: OVO002949 → een persoon die een werkrelatie heeft met de organisatie met OVO-code OVO002949 en de approver context toegewezen krijgt in het Gebruikersbeheer door de lokale beheerder van de organisatie met OVO-code OVO002949, zal de aanvragen van gebruikers om PAM te mogen gebruikern moeten goed- of afkeuren. (Enkel van toepassing bij toegangsbeleid Secure Access.)

  • Auditor context: OVO001234 → een persoon die een werkrelatie heeft met de organisatie met OVO-code OVO001234 en de auditor context toegewezen krijgt in het Gebruikersbeheer door de lokale beheerder van de organisatie met OVO-code OVO001234, zal de sessieopnames live of achteraf kunnen raadplegen. (Enkel van toepassing bij toegangsbeleid Motivated Access en Secure Access.)

5. Recording safe

...

Naamconventie

R-[Verantwoordelijke]-[OVO-code]-[Team of Applicatie ID]-[Type safe]-[Locatie]

Beschrijving van de naamconventie

De naamconventie van de Opname Safe is dezelfde als bij de Account Safe met een bijkomende prefix "R-" die aangeeft dat deze safe enkel gebruikt wordt om opnames in op te slaan. Binnen deze safes worden er dus geen accounts beheerd. Opname safes worden enkel aangemaakt als een account safe één of meerdere accounts bevat met een managed (MA) of secure access (SA) policy (zie “2. Toegangsbeleid design”). Toegang tot de opname safe wordt verleend aan de personen die de auditor rol hebben verkregen. Meer informatie rond autorisatie tot safes kan geraadpleegd worden in "6. Contexten".

Panel
bgColor#F4F5F7

Opname Safe voorbeeld

R-D-048644-20109-OPS-CE

  • R: Dit is een safe die enkel gebruikt wordt om opnames op te slaan en te beheren van accounts in de D-048644-20109-OPS-CE Safe.

  • D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.

  • 048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO-code 048644.

  • 20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.

  • OPS: De accounts zijn aangemaakt voor operationeel gebruik.

  • CE: De accounts worden beheerd door de "CE" CPM. Dit is vooral belangrijk voor ons technisch team en is een vaste waarde.

6. Contexten

...

Beschrijving

Een context bevat de informatie van een safe en de rol voor het type van toegang. Afhankelijk van het toegangsbeleid onderscheiden we drie verschillende rollen die toegang tot safes en dus tot de geprivilegieerde accounts verschaffen.

Naamconventie

[Verantwoordelijke]-[OVO-code]-[Team of Applicatie ID]-[Type safe]%[Context]

Beschrijving van de naamconventie

De naamconventie volgt die van een account safe zonder de "Locatie" parameter en wordt ingevuld door de suffix "Context". Dit maakt het mogelijk om in de toekomst de accounts van de ene naar de andere safe te verplaatsen zonder impact te hebben op de permissies die geconfigureerd zijn binnen VO WebIDM. (Dit kan nodig zijn wanneer een applicatie verplaatst van 'Locatie'). 

Parameter

Beschrijving

Mogelijke waardes

Waarde beschrijving

Context

Beschrijft de rol die een gebruiker krijgt binnen een safe.

  • %user

  • %approver

  • %auditor

%user: De gebruiker met deze rol heeft toegang tot alle accounts binnen de safe en kan deze gebruiken om in te loggen op de applicatie.

%approver: De gebruiker met deze rol kan alle toegangsaanvragen tot de safe valideren. Dit is enkel van toepassing voor accounts met toegangsbeleid SA.

%auditor: De gebruiker met deze rol kan alle activiteit van de accounts in de safe live of achteraf bekijken (bv. opnames raadplegen). De auditor rol die aangemaakt wordt voor de account safe wordt eveneens gebruikt in de opname safe om toegang te verlenen tot de opgenomen sessies.

Panel
bgColor#F4F5F7

Context voorbeeld

D-048644-20109-OPS%user

  • D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.

  • 048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO-code 048644.

  • 20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.

  • OPS: De accounts zijn aangemaakt voor operationeel gebruik.

  • %user: De gebruiker heeft de rol om al de accounts binnen de safe te gebruiken.

D-048644-20109-OPS-CE%auditor

De gebruikers met deze context verkrijgen enerzijds toegang tot de account safe "D-048644-20109-OPS-CE" om toegang te monitoren en anderzijds krijgen ze toegang tot de opname safe "R-D-048644-20109-OPS-CE" om de opgenomen sessies te bekijken.