Microsoft Identity Manager (MIM) 2016 添加了一个名为 Privileged Access Management(PAM)的新方案。 PAM 使组织能够更好地控制高特权用户帐户(如系统或服务管理员)对敏感资源的访问权限。 当需要访问权限时,PAM 通过提供有限的时间访问权限(JIT)来控制高特权帐户访问权限。
用户可以通过以下两种方式之一向 MIM 服务请求特权访问权限(提升):
- 通过使用 PAM REST API。
- 通过使用 PAM PowerShell New-PAMRequest cmdlet。
本指南中的主题介绍 PAM REST API。 有关使用 PowerShell cmdlet 的详细信息,请参阅 测试实验室指南:使用连接站点上提供的 Microsoft Identity Manager演示特权访问管理。
PAM REST API 资源和作
PAM REST API 对以下资源进行作:
PAM 角色:PAM 角色将用户的集合与访问权限集合相关联。 访问权限是通过对安全组的引用定义的。 每个 PAM 角色都有一个用户帐户列表,称为候选帐户,有权提升到 PAM 角色。 可以对 PAM 角色执行以下作:
PAM 请求:想要提升到 PAM 角色访问权限的用户必须提交 PAM 请求并获取请求提升的批准。 PAM 请求对象跟踪 MIM 服务中此请求的生命周期。 可以对 PAM 请求执行以下作:
挂起的 PAM 请求:用于批准或拒绝用户提交的 PAM 请求。 可以对挂起的 PAM 请求执行以下作:
PAM 会话:使用 PAM REST API 时,客户端(例如 Web 浏览器)具有与 PAM REST API 终结点的会话。 在此会话中,客户端向 REST API 终结点进行身份验证。 可以对 PAM 会话执行以下作:
有关服务的详细信息,请参阅 PAM REST API 服务详细信息。
GitHub 上的 PAM 示例门户
了解如何使用 PAM REST API 的一种方法是使用 PAM 示例门户(使用 API 的示例 Web 应用程序)。 可以在 GitHub 上的PAM 示例存储库中找到 PAM 示例门户的代码。 了解如何在 PAM 测试实验室指南中部署示例门户。