用户管理
由于PMP是用于存储敏感密码的资源库,所以为确保产品的安全使用,高度细分的访问限制是十分严格的。为此,PMP提供了基于角色的访问限制。
在实际应用中,存储在PMP中的信息不得不在多用户之间进行共享。PMP默认拥有四种预定义角色。
- 管理员可以配置并管理PMP应用并执行所有资源及密码相关操作。然而,该角色只能查看由自己创建的或是其他用户共享给自己的资源和密码
- 密码管理员可执行所有资源及密码相关操作。然而,该角色只能查看由自己创建的或是其他用户共享给自己的资源和密码
- 管理员/密码管理员可以由其他管理员(非本人)指定为 “超级管理员” 。超级管理员有权管理所有人添加到系统中的所有资源。(了解如何让一个管理员或者密码管理员成为超级管理员,请点击这里)
- 密码用户只可以浏览由管理员或者密码管理员共享给他们的密码。如果共享权限允许,也可以对密码进行修改
- 密码审计员拥有与密码用户相同的权限,此外,他们还可以访问审计记录和报表
角色 |
操作 |
|||||
管理用户 |
管理资源 |
管理密码 |
浏览密码 |
管理个人密码 |
查看审计及报表 |
|
管理员 |
 |
|
|
|
|
|
密码管理员 |
 |
|
|
|
|
|
密码用户 |
|
|
|
|
|
|
密码审计员 |
|
|
|
|
|
|
不论是哪种角色,个人密码都是专属于用户个人的,其他用户不能控制。 |
||||||
您可以根据需要创建尽可能多的用户,然后给他们分配相应的角色。本章将介绍如何创建用户以及给用户分配权限的方法。
添加新用户
备注:只有管理员才可以添加用户。
“用户”标签下,管理员可以:
- 查看所有PMP用户
- 创建新用户
- 编辑用户访问角色
- 启用双重身份验证
- 当RSA SecurID被用于双重身份验证,您需要确保在RSA Authentication Manager中的用户名和PMP中对应的用户名是一致的。然而,对于已有的RSA用户来说,如果PMP中的用户名与RSA Authentication Manager中的用户名不一致,您可以对PMP中的用户名做个映射,而不是编辑RSA中的用户名。这步可以通过"RSA SecurID UserName"实现。(假设在PMP中您已经从活动目录导入了一个用户,用户名比如叫: ADVENTNET\rob (在PMP中)。而在RSA Authentication Manager, 假设用户名被记录为 'rob'。在一般情况下,在PMP和RSA Authentication Manager之间会出现用户名不匹配的问题。为避免这种情况,您可以在PMP中将ADVENTNET\rob映射到rob
添加新用户的四种方法
- 手动添加用户
- 从活动目录导入用户
- 从LDAP导入用户
- 从CSV文件导入用户列表
默认情况下,PMP将所有用户数据存储在MySQL数据库中并使用数据库查找(lookups)来执行认证过程。如果您将AD/LDAP作为认证系统进行了集成,那么PMP默认的认证将会被AD/LDAP所取代。在任何时间点,PMP中只能执行唯一一种认证模式。
拒绝管理员创建超级管理员
PMP中的超级管理员可以查看存储在系统中的所有密码。所以机构通常希望超级管理员账户可作为报备账户在紧急情况下对密码进行访问。目前,任何管理员都可以将另外一个管理员(除自己外)的角色转化为超级管理员。
PMP现在可以拒绝管理员创建超级管理员。任何超级管理员都可以从管理 >> 超级管理员 >> 拒绝由管理员创建超级管理员中执行这个操作。
最佳使用方案
如果您的机构要求超级管理员只作为报备账户,可按照以下步骤进行操作:
- 在PMP中创建一个新的管理员账户
- 将该新账户指定为超级管理员
- 这个新的超级管理员登陆后强制执行以上拒绝其他管理员创建超级管理员的操作
- 该超级管理员的登陆信息将会被封存并且保存在一个安全的地方,只在紧急情况下开启访问
影响
- 一旦您强制执行这个功能,管理员都将无法创建超级管理员
- 现有的超级管理员(除报备账户外),将不会受到影响。他们可以继续作为超级管理员进行访问
- 现有超级管理员和报备超级管理员可以创建新的超级管理员