Les fournisseurs PAM personnalisés sont construits et gérés à l'aide de modèles. Les modèles tirent parti des efforts de Devolutions et de la communauté pour construire des fournisseurs, réduisant ainsi le besoin pour les utilisateurs de les créer à partir de zéro.
Un modèle est un objet au sein de Devolutions PAM qui sert de cadre pour la construction d'un fournisseur PAM personnalisé.
Les modèles guident Devolutions Server dans le mappage des paramètres et des sorties du script d'action vers les propriétés internes de Devolutions PAM, facilitant l'entrée et l'échange d'informations. Les modèles permettent aux utilisateurs de renseigner les propriétés d'un fournisseur d'identité pour créer un fournisseur.
Créer un modèle personnalisé ou importer un des modèles qui existent déjà.
Le WinRM doit être activé pour que cela fonctionne.
Une fois que les scripts d'action ont été créés, l'étape suivante est de développer le modèle de fournisseur PAM personnalisé dans Devolutions Server.
Dans Devolutions Server, aller à Administration – Octroi de l'accès – Fournisseurs.
Cliquer sur Modèles PAM personnalisés.
Cliquer sur Ajouter pour créer un nouveau modèle.
Dans Général, fournir un Nom (obligatoire) et une Description (optionnelle) pour votre nouveau modèle. Il est aussi possible de changer l'icône affichée.
Activer trois actions, chacune avec son propre script. Cocher les cases à côté de celles que vous souhaitez que ce fournisseur mette en œuvre.
Rotation des mots de passe, pour réinitialiser les mots de passe des comptes.
Battement de cœur, pour synchroniser les comptes.
Détection de compte, pour analyser.
Bien qu'il ne soit pas obligatoire d'activer chaque action, il est recommandé de le faire pour tirer pleinement parti des avantages d'un fournisseur PAM personnalisé.
-
Dans Propriétés du fournisseur et Propriétés du compte, définir les champs que les fournisseurs et les comptes implanteront.
Les propriétés du fournisseur définissent les attributs qu'utilise le fournisseur PAM personnalisé pour s'authentifier et se connecter à un fournisseur d'identité. Ces propriétés peuvent inclure nom d'utilisateur, mot de passe, nom d'hôte, ou tout autre attribut unique d'un fournisseur d'identité.
Propriétés du compte sont des attributs liés à un compte spécifique sur un fournisseur d'identité. Les propriétés courantes du compte incluent ID, nom d'utilisateur, et secret. Les propriétés du compte identifient de manière unique les comptes du fournisseur et fournissent une valeur pour stocker le mot de passe d'un compte ou d'autres informations d'identification sécurisées.
Ajouter des propriétés en cliquant sur Ajouter propriété. Pour chaque propriété, fournir un Nom et un Type. Ci-dessous se trouve une liste des différents types :
Booléen
Description (chaîne)
Int
Mot de passe (SecureString)
Données sensibles (SecureString)
Chaîne
Identificateur unique (chaîne)
Nom d'utilisateur (chaîne)
Veiller à fournir un type d'identificateur unique si vous prévoyez d'utiliser la détection de compte. Ce champ aide à suivre quels comptes ont été ajoutés depuis le dernier scan.
-
Cocher la case Obligatoire à côté d'une propriété si les champs sont requis pour la création/modification.
-
Pour chaque action qui a été activée dans la section Général, aller à la section correspondante dans le menu de gauche.
-
Mapper les propriétés du fournisseur/compte nécessaires au script en fournissant les éléments suivants :
Nom : Nom de la variable dans le script.
Source : Si la valeur est fournie par le fournisseur ou le compte.
Propriété: La propriété source qui sera injectée dans le script.
Toutes les actions ont des scripts d'action associés avec au moins deux ou trois paramètres. Les fournisseurs PAM personnalisés doivent comprendre comment mapper une propriété à un paramètre de script pour définir la relation entre l'objet fournisseur PAM personnalisé (fournisseur ou compte) et chaque script d'action. Les paramètres de script vous permettent de spécifier au fournisseur PAM personnalisé quels paramètres chacun de vos scripts d'action possède et à quelle propriété du fournisseur PAM personnalisé ce paramètre de script doit être mappé. Si nécessaire, vous pouvez ajouter d'autres paramètres de script.
-
Insérer le script de l'action soit en parcourant votre ordinateur pour le trouver ou en éditant manuellement le champ Script. Vous pouvez également générer un script de base sur lequel vous appuyer.
-
Tester votre script une fois terminé, puis Enregistrer votre nouveau modèle. Votre nouveau modèle PAM personnalisé a été créé et peut être trouvé dans la liste des modèles. Vous pouvez passer à Créer un fournisseur PAM personnalisé.
Voici un exemple de valeurs pour un modèle PAM personnalisé complété basé sur les scripts d'action suivants :
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$IdentityProviderEndpoint,
[Parameter(Mandatory)]
[string]$IdentityProviderEndpointUserName,
[Parameter(Mandatory)]
[securestring]$IdentityProviderEndpointPassword
)
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$IdentityProviderEndpoint,
[Parameter(Mandatory)]
[string]$IdentityProviderEndpointUserName,
[Parameter(Mandatory)]
[securestring]$IdentityProviderEndpointPassword,
[Parameter(Mandatory)]
[securestring]$NewPassword,
[Parameter(Mandatory)]
[string]$AccountUserName
)
[CmdletBinding()]
param(
[Parameter(Mandatory)]
[string]$IdentityProviderEndpoint,
[Parameter(Mandatory)]
[string]$IdentityProviderEndpointUserName,
[Parameter(Mandatory)]
[securestring]$IdentityProviderEndpointPassword,
[Parameter(Mandatory)]
[securestring]$AccountSecret,
[Parameter(Mandatory)]
[string]$AccountUserName
)
Nom de la propriété | Type de propriété | Obligatoire |
---|---|---|
IdentityProviderEndpoint | String | Oui |
IdentityProviderEndpointUserName | Nom d'utilisateur | Oui |
Mot de passe du point de terminaison du fournisseur d'identité | Mot de passe | Oui |
Nom de la propriété | Type de propriété | Obligatoire |
---|---|---|
AccountUserName | UniqueIdentifier | Oui |
AccountSecret | Mot de passe | Oui |
Nom du paramètre | Action(s) | Propriété | Source | Obligatoire |
---|---|---|---|---|
IdentityProviderEndpoint | Rotation des mots de passe, Heartbeat, détection de compte | IdentityProviderEndpoint | Fournisseur | Oui |
IdentityProviderEndpointUserName | Rotation des mots de passe, Heartbeat, détection de compte | IdentityProviderEndpointUserName | Fournisseur | Oui |
Mot de passe du point de terminaison du fournisseur d'identité | Rotation des mots de passe, Heartbeat, détection de compte | Mot de passe du point de terminaison du fournisseur d'identité | Fournisseur | Oui |
NewPassword | Rotation des mots de passe | N/A | Système | Oui |
AccountUserName | Rotation des mots de passe, Heartbeat | AccountUserName | Compte | Oui |
AccountSecret | Battement de cœur | AccountSecret | Compte | Oui |
Vous pouvez accéder à notre répertoire GitHub public pour trouver des fournisseurs PAM personnalisés créés par l'équipe Devolutions et des instructions sur la façon de les utiliser.
Dans Devolutions Server, aller à Administration – Octroi de l'accès – Fournisseurs.
Cliquer sur Modèles PAM personnalisés.
Cliquer sur Importer.
Charger votre fichier .json, puis cliquer sur Importer.
Adapter les paramètres du modèle si nécessaire, puis cliquer sur Enregistrer.
Votre modèle a maintenant été importé et peut être trouvé dans la liste des Modèles PAM personnalisés.
Une fois votre modèle créé ou importé, vous êtes prêt à créer un fournisseur PAM personnalisé.
Aller à Administration – Accès privilégié – Fournisseurs, puis cliquer sur Ajouter.
Aller à Personnalisé dans le menu de gauche, puis sélectionner votre nouveau modèle dans la liste. Cliquer sur Continuer.
Dans la page de configuration du Fournisseur, fournir un Nom et un Nom d'utilisateur, car ces informations sont obligatoires. Ensuite, si nécessaire, configurer les autres options selon vos besoins.
Cliquer Enregistrer.
Votre nouveau fournisseur PAM personnalisé a été créé et peut être trouvé dans la liste des fournisseurs.