PAMaaS bewaart de wachtwoorden van geprivilegieerde accounts in een centrale Vault. Deze Vault is onderverdeeld in verschillende Safes waarin de accounts opgeslagen worden.
Hoe krijg je toegang tot een safe?
De toegang wordt altijd beheerd via het Gebruikersbeheer. Gebruikers krijgen in het Gebruikersbeheer het PAMaaS-recht toegekend samen met een “context”, een combinatie van een Safenaam en een Rol.
Voorbeeld
Een persoon krijgt in het Gebruikersbeheer het PAMaaS-recht met context LinuxSafe%User
Deze gebruiker krijgt toegang tot de safe LinuxSafeen zal de accounts in de safe kunnen gebruiken door ermee aan te melden.
Welke rollen zijn er?
Een Gebruiker kan geprivilegieerde accounts gebruiken door er een sessie mee te starten.
Een Validator kan toegangen die een Gebruiker aanvraagt goed- of afkeuren.
Een Auditor heeft inzage in de logs en opnames van de sessies van Gebruikers, en kan deze live of achteraf raadplegen.
Goedkeuringsproces bij 'Secure Access' Toegangsbeleid
Met PAMaaS kan je accounts beveiligen op basis van drie niveaus die we hetToegangsbeleidnoemen. Deze zorgen voor een toenemende mate van controle een account.
Access only
Motivated Access
Secure Access
Bij het 'Secure Access' Toegangsbeleid, wat het hoogste niveau van controle aanbiedt, moet een goedkeuringsproces doorlopen worden om toegang te krijgen tot een bepaalde safe. Je verloopt hiervoor onderstaand proces:
De gebruiker Brent is geautoriseerd door de Lokale Beheerder van zijn organisatie om te kunnen aanmelden op met het recht LinuxSafe%User.
Brent meldt zich aan op de PAMaaS en authenticeert zich via het Toegangsbeheer.
Hij kan dan een sessie starten met de accounts in ‘LinuxSafe’.
Bij een sessie met een secure access account moet de sessie eerst gevalideerd worden, hierbij wordt de validator, Marie, via mail verwittigd.
Marie is geautoriseerd als Validator in de LinuxSafe door de Lokale Beheerder
In dit geval meldt Marie zich dan ook aan in PAMaaS
Vervolgens kan ze de sessie goedkeuren of afkeuren.
Nadat de sessie is goedgekeurd door Marie, kan Brent de sessie starten op het account.