Referência da API REST do Privileged Access Management
O MIM (Microsoft Identity Manager) 2016 adiciona um novo cenário chamado PAM (Gerenciamento de Acesso Privilegiado). O PAM permite que uma organização tenha mais controle sobre os direitos de acesso de contas de usuário com privilégios altos, como administradores de sistema ou serviço, a recursos confidenciais. O PAM controla o acesso da conta de privilégios altos ao fornecer direitos de acesso por tempo limitado, JIT (just-in-time), quando os direitos de acesso são necessários.
Um usuário pode solicitar ao serviço MIM direitos de acesso com privilégios (elevação) de duas maneiras:
- Usando a API REST do PAM.
- Usando o cmdlet New-PAMRequest do PAM PowerShell.
Os tópicos neste guia descrevem a API REST do PAM. Para obter mais informações sobre como usar o cmdlet do PowerShell, consulte o Guia do Laboratório de Teste: Demonstrando o Privileged Access Management usando Microsoft Identity Manager, disponível no site de conexão.
Recursos e operações da API REST do PAM
A API REST do PAM opera nos seguintes recursos:
Função PAM: uma função PAM associa uma coleção de usuários a uma coleção de direitos de acesso. Os direitos de acesso são definidos por referência a grupos de segurança. Cada função do PAM tem uma lista de contas de usuário, chamadas de candidatos, que estão qualificadas para elevar à função do PAM. É possível realizar as seguintes operações em funções do PAM:
Solicitação pam: um usuário que deseja elevar aos direitos de acesso à função PAM precisa enviar uma solicitação pam e obter aprovação para que a solicitação seja elevada. O objeto de Solicitação do PAM controla o ciclo de vida dessa solicitação no serviço do MIM. É possível realizar as seguintes operações em solicitações do PAM:
Solicitação PAM pendente: usada para aprovar ou rejeitar solicitações pam que foram enviadas pelos usuários. É possível realizar as seguintes operações em solicitações do PAM pendentes:
Sessão PAM: ao usar a API REST do PAM, o cliente (por exemplo, um navegador da Web) tem uma sessão com o ponto de extremidade da API REST do PAM. Nesta sessão, o cliente é autenticado no ponto de extremidade da API REST. É possível realizar as seguintes operações em sessões do PAM:
Para obter informações mais detalhadas sobre o serviço, consulte Detalhes do serviço da API REST do PAM.
Portal de exemplo do PAM no GitHub
Uma maneira de aprender a usar a API REST do PAM é usando o portal de exemplo do PAM, um aplicativo Web de exemplo que usa a API. Você pode encontrar o código para o portal de exemplo do PAM no repositório de exemplo do PAM no GitHub. Você pode aprender a implantar o portal de exemplo no Guia de laboratório de teste do PAM.