Keeper 101: Enterprise - KeeperPAM Freigabe und Zugriffskontrolle

Описание: Dieses KeeperPAM-Tutorial beinhaltet die Freigabe und Zugriffskontrolle. In diesem Video zeigen wir Ihnen, wie der Zugriff in KeeperPAM verwaltet wird.

Der Zugriff auf Ressourcen in KeeperPAM wird über eine Cloud-basierte Kontrollebene mit Zero-Knowledge verwaltet. Als KeeperPAM-Administrator können Sie Zugriffsrechte flexibel definieren, einschließlich dauerhaftem, zeitlich begrenztem oder zeitlich beschränktem Zugriff.

Mit Keeper können Sie Benutzern sofortige, passwortlose privilegierte Sitzungen für beliebige Cloud- oder On-Premise-Ressourcen (z. B. Server, Datenbanken, Workloads oder Webanwendungen) zur Verfügung stellen, OHNE die zugrunde liegenden Anmeldeinformationen für den Benutzer offenzulegen.

Rollen und Durchsetzungsrichtlinien bestimmen, welche Aktionen Benutzer durchführen können.
In der Admin-Konsole, Navigieren Sie zu Admin und dann Rollen, um Rollen zu erstellen oder zu bearbeiten. Unter der Registerkarte "Privileged Access Manager" in den Umsetzungsrichtlinien der Rolle können Sie für jede Rolle PAM-Richtlinien aktivieren, wie zum Beispiel:

eine Admin-Rolle; Vollständige KeeperPAM-Verwaltungsfunktionen
oder eine Benutzer-Rolle; Begrenzt auf den Start von Verbindungen und Tunneln.

Eine PAM-Ressource in Keeper bezieht sich auf bestimmte Datensatztypen im Tresor wie Maschinen, Datenbanken, Verzeichnisse oder Remote-Browsers.

Ein weiterer Datensatztyp, PAM-Benutzer genannt, stellt einen Berechtigungsnachweis dar, der mit einer beliebigen Ressource verknüpft werden kann. Auf diese Weise werden beim gemeinsamen Zugriff auf eine Ressource nicht die Anmeldeinformationen gemeinsam genutzt.

Schließlich definiert ein „PAM Configuration“-Datensatz die Umgebung, in der Ihr Keeper Gateway läuft, und die Funktionen, die für dieses Netzwerk aktiviert sind.

Im Tresor sind die PAM-Ressourcen in geteilten Ordnern organisiert.
Wir empfehlen, die PAM-Ressourcen von den PAM-Benutzern in getrennten Ordnern zu speichern, um die geringsten Rechte zu gewährleisten. Wenn Sie ein Gateway über die Tresor-Benutzeroberfläche erstellen, werden diese Ordner automatisch für Sie angelegt.

Um einen Benutzer oder ein Team mit einer privilegierten Sitzung für die Zielressource auszustatten, klicken Sie einfach auf Teilen und fügen das Teammitglied mit schreibgeschütztem Zugriff hinzu. Sie können Benutzer und Teams auch auf Ordnerebene zuweisen oder sogar einen Benutzer auf der Ebene der einzelnen Ressource zuweisen.

Auf der Empfängerseite erhält der Nutzer die Ressource in seinem Keeper-Tresor und kann je nach Anwendungsfall sofort die Sitzung starten oder einen Tunnel starten.

Die Sitzungen sind völlig passwortlos, und die Anmeldedaten werden dem Empfänger nie mitgeteilt.

Um den Zugang für eine begrenzte Zeit zu beschränken, wählen Sie einfach „Ablaufdatum festlegen“ und legen Sie fest, wie lange der Zugang erlaubt sein soll.

Nach Ablauf des Zugriffs wird der Zugriff sofort widerrufen und die Verbindung getrennt.

Benutzer mit der Richtlinie „ Kann Sitzungsaufzeichnungen ansehen“ können die Sitzungen für Auditing- und Compliance-Zwecke überprüfen. Sitzungsaufzeichnungen funktionieren über alle Verbindungstypen, einschließlich RDP, SSH, VNC, Datenbanken und Browserisolation.

Wenn ein Benutzer Zugang zu einem Berechtigungsnachweis benötigt, kann der PAM-Benutzerdatensatz auch gemeinsam genutzt werden. Das Passwort kann automatisch rotiert werden, wenn der Zugang abgelaufen ist. KeeperPAM kann beliebige Anmeldeinformationen für beliebige Protokolle oder Ressourcen rotieren, einschließlich Domänenbenutzer, lokale Benutzer, Cloud-Identitäten, SSH-Schlüssel und Datenbankkonten.

Damit ist unser Tutorial zur Freigabe und Zugriffskontrolle in KeeperPAM abgeschlossen.
Weitere Einzelheiten finden Sie in der Dokumentation unter keeper.io/PAMDOCS.