Referência da API REST do Privileged Access Management

O MIM (Microsoft Identity Manager) 2016 adiciona um novo cenário chamado PAM (Gerenciamento de Acesso Privilegiado). O PAM permite que uma organização tenha mais controle sobre os direitos de acesso de contas de usuário com privilégios altos, como administradores de sistema ou serviço, a recursos confidenciais. O PAM controla o acesso da conta de privilégios altos ao fornecer direitos de acesso por tempo limitado, JIT (just-in-time), quando os direitos de acesso são necessários.

Um usuário pode solicitar ao serviço MIM direitos de acesso com privilégios (elevação) de duas maneiras:

• Usando a API REST do PAM.
• Usando o cmdlet New-PAMRequest do PAM PowerShell.

Os tópicos neste guia descrevem a API REST do PAM. Para obter mais informações sobre como usar o cmdlet do PowerShell, consulte o Guia do Laboratório de Teste: Demonstrando o Privileged Access Management usando Microsoft Identity Manager, disponível no site de conexão.

Recursos e operações da API REST do PAM

A API REST do PAM opera nos seguintes recursos:

• Função PAM: uma função PAM associa uma coleção de usuários a uma coleção de direitos de acesso. Os direitos de acesso são definidos por referência a grupos de segurança. Cada função do PAM tem uma lista de contas de usuário, chamadas de candidatos, que estão qualificadas para elevar à função do PAM. É possível realizar as seguintes operações em funções do PAM:

  • Obter funções do PAM

• Solicitação pam: um usuário que deseja elevar aos direitos de acesso à função PAM precisa enviar uma solicitação pam e obter aprovação para que a solicitação seja elevada. O objeto de Solicitação do PAM controla o ciclo de vida dessa solicitação no serviço do MIM. É possível realizar as seguintes operações em solicitações do PAM:

  • Criar solicitação do PAM
  • Obter solicitações do PAM
  • Encerrar solicitação do PAM

• Solicitação PAM pendente: usada para aprovar ou rejeitar solicitações pam que foram enviadas pelos usuários. É possível realizar as seguintes operações em solicitações do PAM pendentes:

  • Obter solicitações do PAM pendentes
  • Aprovar ou rejeitar uma solicitação pendente do PAM

• Sessão PAM: ao usar a API REST do PAM, o cliente (por exemplo, um navegador da Web) tem uma sessão com o ponto de extremidade da API REST do PAM. Nesta sessão, o cliente é autenticado no ponto de extremidade da API REST. É possível realizar as seguintes operações em sessões do PAM:

  • Obter informações de sessão do PAM

Para obter informações mais detalhadas sobre o serviço, consulte Detalhes do serviço da API REST do PAM.

Portal de exemplo do PAM no GitHub

Uma maneira de aprender a usar a API REST do PAM é usando o portal de exemplo do PAM, um aplicativo Web de exemplo que usa a API. Você pode encontrar o código para o portal de exemplo do PAM no repositório de exemplo do PAM no GitHub. Você pode aprender a implantar o portal de exemplo no Guia de laboratório de teste do PAM.