Referencia de la API REST de Privileged Access Management

Microsoft Identity Manager (MIM) 2016 agrega un escenario nuevo denominado Privileged Access Management (PAM). PAM permite a las organizaciones tener un mayor control sobre los derechos de acceso a recursos confidenciales de las cuentas de usuario con privilegios elevados, como es el caso de los administradores de sistema o servicio. PAM controla el acceso de las cuentas de privilegios elevados mediante el suministro de derechos de acceso de tiempo limitado, justo a tiempo (JIT), cuando se necesitan los derechos de acceso.

Un usuario puede solicitar al Servicio MIM derechos de acceso con privilegios (elevación) de una de estas dos maneras:

• Mediante el uso de la API REST de PAM.
• Mediante el cmdlet de New-PAMRequest de PAM PowerShell.

Los temas de esta guía describen la API de REST de PAM. Para obtener más información sobre el uso del cmdlet de PowerShell, consulte La Guía del laboratorio de pruebas: Demostración de privileged Access Management mediante Microsoft Identity Manager, disponible en el sitio de conexión.

Operaciones y recursos de la API REST de PAM

La API REST de PAM funciona en los siguientes recursos:

• Rol de PAM: un rol de PAM asocia una colección de usuarios a una colección de derechos de acceso. Los derechos de acceso se definen por referencia a grupos de seguridad. Cada rol de PAM tiene una lista de cuentas de usuario, denominados candidatos, que tienen derecho a elevar sus privilegios al rol de PAM. Puede realizar las siguientes operaciones en los roles de PAM:

  • Obtener roles de PAM

• Solicitud de PAM: un usuario que quiere elevar los derechos de acceso de rol de PAM tiene que enviar una solicitud de PAM y obtener la aprobación de la solicitud para elevarla. El objeto de solicitud de PAM realiza un seguimiento del ciclo de vida de esta solicitud en el Servicio MIM. Puede realizar las siguientes operaciones en las solicitudes de PAM:

  • Crear solicitud de PAM
  • Obtener solicitudes de PAM
  • Cerrar solicitud de PAM

• Solicitud de PAM pendiente: se usa para aprobar o rechazar solicitudes pam enviadas por los usuarios. Puede realizar las siguientes operaciones en las solicitudes pendientes de PAM:

  • Obtener solicitudes pendientes de PAM
  • Aprobar o rechazar una solicitud pendiente de PAM

• Sesión de PAM: al usar la API REST de PAM, el cliente (por ejemplo, un explorador web) tiene una sesión con el punto de conexión de la API REST de PAM. En esta sesión, el cliente se autentica en el punto de conexión de la API rest. Puede realizar las siguientes operaciones en las sesiones de PAM:

  • Obtener la información de sesión de PAM

Para obtener información más detallada sobre el servicio, consulte Detalles del servicio de API REST de PAM.

Portal de ejemplo de PAM en GitHub

Una manera de aprender a usar la API REST de PAM es mediante el portal de ejemplo de PAM, una aplicación web de ejemplo que usa la API. Puede encontrar el código del portal de ejemplo de PAM en el repositorio de ejemplo de PAM en GitHub. Puede aprender a implementar el portal de ejemplo en la Guía del laboratorio de pruebas de PAM.