Privileged Access Management REST-API-Referenz

Microsoft Identity Manager (MIM) 2016 fügt ein neues Szenario hinzu, dass als „privilegierte Zugriffsverwaltung“ (Privileged Access Management, PAM) bezeichnet wird. PAM weitet die Kontrolle eines Unternehmens über die Zugriffsrechte von sehr privilegierten Benutzerkonten, z. B. System- oder Dienstadministratoren, auf vertrauliche Ressourcen aus. PAM steuert den sehr privilegierten Kontenzugriff durch die Bereitstellung von Zugriffsrechten mit zeitlich begrenzter Gültigkeit (bedarfsorientiert, JIT), wenn die Zugriffsrechte erforderlich sind.

Ein Benutzer kann privilegierte Zugriffsrechte (Rechteerweiterung) auf eine von zwei möglichen Arten beim MIM-Dienst anfordern:

• Mithilfe der PAM-REST-API.
• Mithilfe des POWERShell-cmdlets PAM New-PAMRequest.

Die Themen in diesem Handbuch beschreiben die PAM REST-API. Weitere Informationen zur Verwendung des PowerShell-Cmdlets finden Sie unter The Test Lab Guide: Demonstration Privileged Access Management using Microsoft Identity Manager ( Verfügbar auf der Verbindungswebsite).

PAM-REST-API-Ressourcen und -Vorgänge

Die PAM-REST-API arbeitet mit den folgenden Ressourcen:

• PAM-Rolle: Eine PAM-Rolle ordnet einer Sammlung von Benutzern eine Sammlung von Zugriffsrechten zu. Die Zugriffsrechte werden anhand von Sicherheitsgruppen definiert. Jede PAM-Rolle verfügt über eine Liste von Benutzerkonten, die als Kandidaten bezeichnet werden, die berechtigt sind, die Rechte auf die PAM-Rolle zu erweitern. Für PAM-Rollen können die folgenden Vorgänge ausgeführt werden:

  • Abrufen von PAM-Rollen

• PAM-Anforderung: Ein Benutzer, der rechte auf PAM-Rollenzugriff erhöhen möchte, muss eine PAM-Anforderung übermitteln und die Genehmigung für die Anforderung zum Erhöhen erhalten. Das PAM-Anforderungsobjekt verfolgt den Lebenszyklus dieser Anforderung im MIM-Dienst nach. Für PAM-Anforderungen können die folgenden Vorgänge ausgeführt werden:

  • Erstellen von PAM-Anforderungen
  • Abrufen von PAM-Anforderungen
  • Schließen von PAM-Anforderungen

• Ausstehende PAM-Anforderung: Dient zum Genehmigen oder Ablehnen von PAM-Anforderungen, die von Benutzern übermittelt wurden. Für ausstehende PAM-Anforderungen können die folgenden Vorgänge ausgeführt werden:

  • Abrufen ausstehender PAM-Anforderungen
  • Genehmigen oder Ablehnen einer ausstehenden PAM-Anforderung

• PAM-Sitzung: Bei Verwendung der PAM-REST-API verfügt der Client (z. B. ein Webbrowser) über eine Sitzung mit dem PAM-REST-API-Endpunkt. In dieser Sitzung wird der Client beim REST-API-Endpunkt authentifiziert. Für PAM-Sitzungen können die folgenden Vorgänge ausgeführt werden:

  • Abrufen von PAM-Sitzungsinformationen

Ausführlichere Informationen zum Dienst finden Sie unter Details des PAM-REST-API-Diensts.

PAM-Beispielportal auf GitHub

Eine Möglichkeit, die PAM-REST-API zu verwenden, ist die Verwendung des PAM-Beispielportals, einer Beispielwebanwendung, die die API verwendet. Den Code für das PAM-Beispielportal finden Sie unter PAM-Beispielrepository auf GitHub. Informationen zum Bereitstellen des Beispielportals erhalten Sie in der PAM-Testumgebungsanleitung.