Les fournisseurs AnyIdentity sont construits et gérés à l'aide de modèles. Les modèles tirent parti des efforts de Devolutions et de la communauté pour construire des fournisseurs, réduisant ainsi le besoin pour les utilisateurs de les créer à partir de zéro.
Un modèle est un objet au sein de Devolutions PAM qui sert de cadre pour construire un fournisseur AnyIdentity.
Les modèles guident Devolutions Server dans le mappage des paramètres et des sorties des scripts d'action aux propriétés internes de Devolutions PAM, facilitant l'entrée et l'échange d'informations. Les modèles permettent aux utilisateurs de remplir les propriétés d'un fournisseur d'identité pour créer un fournisseur.
Créer un modèle AnyIdentity ou importer l'un des modèles qui existent déjà.
Le WinRM doit être activé pour que cela fonctionne.
Créer un modèle AnyIdentity
Une fois les scripts d'action créés, l'étape suivante consiste à développer le modèle AnyIdentity au sein de Devolutions Server.
-
Dans Devolutions Server, aller à Administration – Accès privilégié – Fournisseurs.
-
Cliquer sur Modèles AnyIdentity.
Administration – Accès privilégié – Fournisseurs – Modèles AnyIdentity -
Cliquer sur Ajouter pour créer un nouveau modèle.
Ajouter un nouveau modèle AnyIdentity -
Dans Général, fournir un Nom (obligatoire) et une Description (facultative) pour votre nouveau modèle. Il est également possible de changer l'icône affichée.
-
Trois actions peuvent être activées, chacune avec son propre script. Cocher les cases à côté de celles que vous souhaitez que ce fournisseur implémente.
Bien qu'il ne soit pas obligatoire d'activer chaque action, il est recommandé de le faire pour tirer pleinement parti des avantages d'un fournisseur AnyIdentity.
- Rotation de mot de passe, pour réinitialiser les mots de passe des comptes.
- Heartbeat, pour synchroniser les comptes.
- Détection de compte, pour la numérisation.
Paramètres généraux
-
Dans Propriétés du fournisseur et Propriétés du compte, définir les champs que les fournisseurs et les comptes implémenteront.
- Propriétés du fournisseur définissent les attributs que AnyIdentity utilise pour authentifier et se connecter à un fournisseur d'identité. Ces propriétés peuvent inclure le nom d'utilisateur, le mot de passe, le nom d'hôte ou tout autre attribut unique d'un fournisseur d'identité.
- Propriétés du compte sont des attributs liés à un compte spécifique sur un fournisseur d'identité. Les propriétés de compte courantes incluent l'ID, le nom d'utilisateur et le secret. Les propriétés de compte identifient de manière unique les comptes de fournisseur et fournissent une valeur pour stocker le mot de passe d'un compte ou d'autres identifiants sécurisés.
Ajouter des propriétés en cliquant sur Ajouter une propriété. Pour chaque propriété, fournir un Nom et un Type. Voici une liste des différents types :
- Booléen
- Description (chaîne)
- Int
- Mot de passe (chaîne)
- Données sensibles (SecureString)
- Chaîne
- Identifiant unique (chaîne)
- Nom d'utilisateur (chaîne)
Propriétés du fournisseur et du compte
-
Cocher la case Obligatoire à côté d'une propriété si les champs sont requis pour la création/modification.
-
Pour chaque action activée dans la section Général, aller à la section correspondante dans le menu de gauche.
-
Mapper les propriétés du fournisseur/compte dont le script a besoin pour fonctionner en fournissant les éléments suivants :
- Nom : Nom de la variable dans le script.
- Source : Si la valeur est fournie par le fournisseur ou le compte.
- Propriété : La propriété source qui sera injectée dans le script.
Toutes les actions ont des scripts d'action associés avec au moins deux ou trois paramètres. AnyIdentity doit comprendre comment mapper une propriété à un paramètre de script pour définir la relation entre l'objet AnyIdentity (fournisseur ou compte) et chaque script d'action. Les paramètres de script vous permettent de spécifier à AnyIdentity quels paramètres chacun de vos scripts d'action possède et à quelle propriété AnyIdentity ce paramètre de script doit être mappé. Si besoin, vous pouvez ajouter d'autres paramètres de script.
Paramètres des actions -
Insérer le script de l'action en le recherchant sur votre ordinateur ou en éditant manuellement le champ Script. Vous pouvez également générer un script de base sur lequel construire.
Script d'action -
Tester votre script une fois terminé, puis Enregistrer votre nouveau modèle. Votre nouveau modèle AnyIdentity a été créé et peut être trouvé dans la liste des modèles. Vous pouvez passer à Créer un fournisseur PAM AnyIdentity.
Exemple de modèle
Voici un exemple de valeurs pour un modèle AnyIdentity complété basé sur les scripts d'action suivants :
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$IdentityProviderEndpoint,
[Parameter(Mandatory)]
[string]$IdentityProviderEndpointUserName,
[Parameter(Mandatory)]
[securestring]$IdentityProviderEndpointPassword
)
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$IdentityProviderEndpoint,
[Parameter(Mandatory)]
[string]$IdentityProviderEndpointUserName,
[Parameter(Mandatory)]
[securestring]$IdentityProviderEndpointPassword,
[Parameter(Mandatory)]
[securestring]$NewPassword,
[Parameter(Mandatory)]
[string]$AccountUserName
)
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$IdentityProviderEndpoint,
[Parameter(Mandatory)]
[string]$IdentityProviderEndpointUserName,
[Parameter(Mandatory)]
[securestring]$IdentityProviderEndpointPassword,
[Parameter(Mandatory)]
[securestring]$AccountSecret,
[Parameter(Mandatory)]
[string]$AccountUserName
)
Propriétés du fournisseur
| Nom de la propriété | Type de propriété | Obligatoire |
|---|---|---|
| IdentityProviderEndpoint | Chaîne | Oui |
| IdentityProviderEndpointUserName | Nom d'utilisateur | Oui |
| IdentityProviderEndpointPassword | Mot de passe | Oui |
Propriétés du compte
| Nom de la propriété | Type de propriété | Obligatoire |
|---|---|---|
| AccountUserName | Identifiant unique | Oui |
| AccountSecret | Mot de passe | Oui |
Types de paramètres de script
| Nom du paramètre | Action(s) | Propriété | Source | Obligatoire |
|---|---|---|---|---|
| IdentityProviderEndpoint | Rotation de mot de passe, Heartbeat, Détection de compte | IdentityProviderEndpoint | Fournisseur | Oui |
| IdentityProviderEndpointUserName | Rotation de mot de passe, Heartbeat, Détection de compte | IdentityProviderEndpointUserName | Fournisseur | Oui |
| IdentityProviderEndpointPassword | Rotation de mot de passe, Heartbeat, Détection de compte | IdentityProviderEndpointPassword | Fournisseur | Oui |
| NewPassword | Rotation de mot de passe | N/A | Système | Oui |
| AccountUserName | Rotation de mot de passe, Heartbeat | AccountUserName | Compte | Oui |
| AccountSecret | Heartbeat | AccountSecret | Compte | Oui |
Importer un modèle AnyIdentity
Vous pouvez accéder à notre répertoire public GitHub pour trouver des fournisseurs PAM AnyIdentity réalisés par l'équipe Devolutions et des instructions sur la façon de les utiliser.
- Dans Devolutions Server, aller à Administration – Accès privilégié – Fournisseurs.
- Cliquer sur Modèles AnyIdentity.
Administration – Accès privilégié – Fournisseurs – Modèles AnyIdentity - Cliquer sur Importer.
Importer un modèle AnyIdentity - Télécharger votre fichier .json, puis cliquer sur Importer.
- Adapter les paramètres du modèle si nécessaire, puis cliquer sur Enregistrer.
Votre modèle a maintenant été importé et peut être trouvé dans la liste des Modèles AnyIdentity.
Créer un fournisseur PAM AnyIdentity
Une fois votre modèle créé ou importé, vous êtes prêt à créer un fournisseur AnyIdentity.
- Aller à Administration – Accès privilégié – Fournisseurs, puis cliquer sur Ajouter.
Administration – Accès privilégié – Fournisseurs – Ajouter - Aller à AnyIdentity dans le menu de gauche, puis sélectionner votre nouveau modèle dans la liste. Cliquer sur Continuer.
Sélection du modèle AnyIdentity - Dans la page de configuration du Fournisseur, fournir un Nom et un Nom d'utilisateur, car ces informations sont obligatoires. Ensuite, si nécessaire, définir les autres options selon vos besoins.
Configuration du fournisseur - Cliquer sur Enregistrer.
Votre nouveau fournisseur AnyIdentity a été créé et peut être trouvé dans la liste des fournisseurs.
Donnez-nous vos commentaires