Nodige rechten en rollen
Rechten in het Vlaams Gebruikersbeheer (IDM)
Om toegang te verkrijgen tot het PAMaaS-portaal dien je in het Gebruikersbeheer het PAM recht "DV Geprivilegieerd Toegangsbeheer (PAMaaS)" met de nodige contexten te verkrijgen. De context is een combinatie van de safenaam en de rol, gescheiden door een %-teken. Deze waarde kan je in de output van het integratiedossier terugvinden en overnemen in IDM.
Vraag steeds aan je lokale beheerder om de context 'PAMPortaal%Toegang' toe te kennen. Deze context is nodig om connectie te kunnen maken met het PAMaaS portaal.
Voorbeeld:
Als je in IDM het recht "DV Geprivilegieerd Toegangsbeheer (PAMaaS)" met context LinuxSafe%User hebt gekregen, wil dit zeggen dat je in het PAMaaS portaal toegang krijgt tot de safe LinuxSafe en dat je de accounts in de safe zal kunnen gebruiken door erop aan te melden.
Om na te kijken of je over de nodige rechten in het Gebruikersbeheer beschikt, kan je volgende stappen volgen:
Ga naar mijnprofiel-gebruikersbeheer.vlaanderen.be en meld je aan met één van de digitale sleutels.
Klik op "Mijn gebruikersrechten" om een overzicht te krijgen van al je rechten in het Gebruikersbeheer.
Je ziet alle organisaties waarmee je een werkrelatie hebt. Kijk na of je het recht "DV Geprivilegieerd Toegangsbeheer (PAMaaS)" kan terugvinden.
Heb je het recht nog niet? Contacteer dan de lokale beheerder van je organisatie waarvoor je het PAMaaS-recht nodig hebt. Je kan nagaan wie je lokale beheerder is via de tab "Mijn Lokale Beheerders".
Overbodige of inactieve rechten worden periodiek verwijderd uit gebruikersbeheer.
Rollen
Binnen PAM zijn er 3 rollen die je kunt hebben binnen een safe namelijk User, Auditor en Approver. Wat elke rol specifiek doet leggen we verderop in meer detail uit maar het is wel belangrijk om te weten dat :
Als je een rol krijgt je dit toegang geeft tot alle rol mogelijkheden binnen de safe en dus over alle accounts.
Eén persoon kan meerdere rollen aannemen.
Een persoon met de rol User en Approver kan zichzelf geen goedkeuring geven vanwege scheiding van rechten.
Approver e-mails krijg je pas nadat je aangemeld bent op PAM. Meld je u nooit aan op PAM dan krijg je ook geen meldingen voor openstaande goedkeuringen.
| Access Only | Motivated Access | Secure Access |
|---|---|---|---|
User | x | x | x |
Auditor |
| x | x |
Approver |
|
| x |
Meer informatie over de verschillen in Toegangsbeleid, kan je hier vinden.
User
Indien je de rol user hebt gekregen in het Gebruikersbeheer voor een bepaalde safe, kan je aanmelden met de accounts in de safe om deze te gebruiken.
Auditor
Als Auditor kan je de loggegevens en opnames bekijken van user-sessies. Sessieopnames zijn enkel beschikbaar voor accounts die op PAM geonboard werden met toegangsbeleid Motivated Access en Secure Access.
Om logs te bekijken, moet je je aanmelden op het PAMaaS-portaal en navigeren naar het tabblad ‘Monitoring’. Daar kan je zien welke accounts geraadpleegd en opgenomen zijn. Wanneer je op het account klikt, kan je de logs raadplegen. Rechts via ‘Play’ kan je de sessieopnames bekijken.
Approver
Voor accounts die geonboard werden met toegangsbeleid Secure Access is er een approver nodig. Deze persoon zal de toegangen van users op voorhand moeten goed- of afkeuren.
Als Approver zal je een e-mail ontvangen wanneer een user de toegang vraagt tot een geprivilegieerd account met het toegangsbeleid Secure Access dat zich in een safe bevindt waarvoor jij approver bent.
Vervolgens dien je aan te melden op het PAM-portaal en kan je de aanvraag goed- of afkeuren via ‘Incoming Requests’.
Het is nodig om minimaal één keer in te loggen op het PAMaaS-portaal vooraleer je approver e-mails ontvangt.