ワークフロー
特権アクセスの要求・承認・利用を制御する承認ワークフローの構成
概要
ワークフローは、管理者が特権アクセスの要求・承認・利用の在り方を統制するための機能です。柔軟なJIT承認ワークフローに加え、アクセスを安全かつ一貫して制御するうえで必要なセキュリティと監督の仕組みを備えています。
主な機能
多段階承認 — 承認ワークフローで、複数の承認者によるサインオフまたは委任された承認権限を要求できます
単一ユーザーモード (チェックイン / チェックアウト) — 同時にリソースにアクセスできるユーザーは1人だけです。利用前にリソースをチェックアウトし、終了後にチェックインする必要があります。手動で戻さない場合でも、時間制限に達するとアクセスは自動的に取り消されます。
MFA要件 — アクセス付与前に多要素認証を完了する必要があります。
アクセス時間の上限 — 定められた期間だけアクセスが付与され、時間枠の満了とともに自動的に取り消されます。
リアルタイム通知 — 承認者はデスクトップ、ウェブ、モバイルを含むすべてのKeeperクライアントで通知を受け取ります。
本ガイドでは、Keeperボルト内のPAMレコードタイプでワークフローを設定する方法を説明します。
要件
ワークフローを構成する前に、以下を用意してください。
ワークフロー適用ポリシー
KeeperPAMの適用ポリシーは、Keeper管理コンソールの [管理] > [ロール] > [適用ポリシー] > [特権アクセス管理] で管理します。
以下の適用ポリシーは、ユーザーがPAMレコードタイプでワークフロー設定を構成する権限に影響し、有効にする必要があります。
ワークフロー設定を管理できる
ユーザーがPAMマシン、PAMディレクトリ、PAMデータベース、PAMブラウザでワークフロー設定を構成できるようにします
ワークフロー適用ポリシーは、KeeperコマンダーCLI の enterprise-role コマンドを使って、以下のように有効にすることもできます。
PAMマシン、PAMデータベース、PAMディレクトリ、PAMブラウザ
ワークフローを構成すると、ターゲットエンドポイントにおける特権アクセスの要求、承認、利用の管理方法を定義できます。ターゲットエンドポイントは、以下のいずれかのPAMレコードタイプで定義する必要があります。
Windows / macOS / Linuxマシン、EC2インスタンス、Azure VM
MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle
Active Directory、OpenLDAP
ウェブベースのアプリケーション
ターゲットエンドポイントに応じて、対応するPAMレコードタイプのページをご参照のうえ、セットアップの詳細を確認してください。
PAM設定 — ワークフローの構成
「ワークフロー設定を管理できる」適用ポリシーを持つユーザーなら誰でも、ワークフロー設定を構成できます。ワークフローを構成する手順は、以下のとおりです。
ワークフロー設定へ移動
PAMマシン、PAMデータベース、PAMディレクトリ、またはPAMブラウザの各レコードで、PAM設定画面のワークフロータブへ移動するには、以下の手順に従います。
PAMレコードタイプを編集します。
PAM設定セクションの「編集」をクリックします。
表示されたウィンドウの「ワークフロー」セクションに移動します。
ワークフローの構成
ワークフロータブでは、以下のフィールドを設定できます。
アクセス時間を制限
有効にすると、リソースにアクセスできるタイミングと期間が制限されます。管理者はアクセススケジュール (例: 月曜〜金曜の午前8時〜午後5時) と最大アクセス時間 (例: 2時間) を定義できます。許可されたスケジュール外、または時間上限を超えたアクセスは自動的に拒否または取り消されます。 注: 承認が必要、単一ユーザーモード、MFAを有効にする場合は必須です
承認が必要
有効にすると、ユーザーはリソースにアクセスする前に要求を出し、承認を受ける必要があります。レコード所有者がデフォルトの承認者として追加されます。承認者リストには追加のユーザーを登録できます。 オプションで、各要求に正当な理由またはチケット/課題番号の入力を必須にできます。 注: 承認者として追加されたユーザーも、リソースへのアクセスを要求する必要はありません。
単一ユーザーモード
有効にすると、同時にリソースをチェックアウトして利用できるユーザーは1人だけです。別のユーザーがアクセスするには、先にチェックインが必要です。
多要素認証 (MFA)
有効にすると、接続の起動またはトンネル開始前に多要素認証を完了する必要があります。ユーザーがKeeperアカウントに設定したMFA方式が使用されます。
これらのオプションは単独でも組み合わせでも使え、組織のアクセスポリシーに合わせられます。よくある組み合わせの例:
アクセス時間を制限 + 承認が必要 — 定義したスケジュール内でのみアクセスでき、利用のたびに承認が必要です。
承認が必要 + 単一ユーザーモード — 同時にアクセスできるユーザーは1人で、チェックアウト前に承認が必要です。
承認が必要 + MFA — 承認を受けたうえで、リソースにアクセスする前に多要素認証を完了する必要があります。
すべて有効 — 定義したスケジュール内のみアクセス可能、利用前に承認が必要、同時利用は1ユーザーに制限され、接続起動前にMFAが適用されます。
アクセス時間を制限
アクセス時間を制限すると、ユーザーがリソースにアクセスできる時間帯を定義できます。特定の曜日の時間枠と、付与後に許可するアクセス時間を設定できます。
承認が必要
承認が必要な場合は、ドロップダウンから1人以上の承認者を選べます。デフォルトではレコード所有者が承認者に追加されます。さらに、レコードへのアクセス権を持つ任意のユーザーまたはチームを承認者に指定できます。1人の承認だけでよいのか、複数承認が必要かも構成できます。
注: 承認者として追加されたユーザーは、リソースへのアクセスを要求する必要はありません。
要求者に、アクセス理由や課題番号の入力を必須にすることもできます。
また、アクセス枠の開始タイミングを選べます。
承認時 — 要求が承認された時点でアクセス用タイマーが開始されます。
リソースへの最初の接続時 — 要求が承認されたあと、ユーザーが最初の接続を起動したときにアクセス用タイマーが開始されます。
単一ユーザーモード
単一ユーザーモードが有効な場合、同時に承認されるのは1ユーザーだけです。リソースがチェックアウトされると、そのユーザーがチェックインするかアクセスが期限切れになるまで、他のユーザーはチェックアウトできません。
承認者は、リソースを強制チェックインするオプションも使え、現在のユーザーのアクセスを直ちに取り消せます。
多要素認証 (MFA)
MFAが有効な場合、接続の起動またはトンネル開始前に多要素認証の入力を求められます。ユーザーがKeeperアカウントに設定したMFA方式が使用されます。
ワークフローが有効なレコードへのアクセス
ワークフローが有効なレコードが別のユーザーと共有されている場合、どのワークフロー設定が有効かによってエンドユーザーの操作は異なります。
単一ユーザーモード
単一ユーザーモードが有効な場合、レコードに [レコードをチェックアウト] ボタンが表示されます。このオプションを選ぶとレコードが自分にチェックアウトされ、[起動] ボタンが有効になり、アクセスが失効するまでの残り時間が表示されます。
作業が終わったら手動でチェックインすることもできます。チェックアウト中は、他のユーザーはアクセスできません。
承認プロセスと正当化
レコードに承認が必要な場合、[アクセスを要求] ボタンが表示されます。
[アクセスを要求] を選択すると、ワークフローの設定に応じて理由や課題番号の入力が必須になる場合があります。要求を送信したあとは、ステータスの確認、承認者へのリマインダー送信、要求の取り消しができます。
多要素認証 (MFA)
MFAが有効な場合、接続を起動するときに多要素認証コードの入力を求められます。ユーザーがKeeperアカウントに設定したMFA方式が使用されます。
強制チェックイン
単一ユーザーモードが有効でユーザーがレコードをチェックアウトしている場合、レコードに設定された承認者は誰でもリソースを強制チェックインできます。チェックアウト中のユーザーのアクティブな接続はすべて直ちに閉じられ、レコードは利用可能な状態に戻り、別のユーザーがチェックアウトできます。
通知
承認者には、要求を承認または拒否するよう促す通知が届きます。要求が承認されると、申請者のボルトでレコードのステータスが更新され、接続の起動が許可されます。
複数の承認者が設定されている場合、アクセスの付与はそのレコードに定義された承認要件に従います。1人の承認だけでよい場合もあれば、複数承認が必要な場合もあります。
ワークフローと一時アカウントおよび特権昇格
ジャストインタイムアクセスとゼロスタンディング特権を実現するには、ワークフローと一時アカウントおよび特権昇格を組み合わせます。これらを併用すると、アクセスは時間で区切られ、承認され、セッション終了時に自動削除される一時的な認証情報と昇格権限だけを用いるため、恒久的なアクセスが残りません。
詳しくは以下をご参照ください。
最終更新