Créer un fournisseur PAM AnyIdentity dans Devolutions Server

Sur cette page

Les fournisseurs AnyIdentity sont construits et gérés à l'aide de modèles. Les modèles tirent parti des efforts de Devolutions et de la communauté pour créer des fournisseurs, réduisant ainsi le besoin pour les utilisateurs de les créer à partir de zéro.

Un modèle est un objet au sein de Devolutions PAM qui sert de cadre pour construire un fournisseur AnyIdentity.

Les modèles guident Devolutions Server dans le mappage des paramètres et des sorties du script d'action vers les propriétés internes de Devolutions PAM, facilitant l'entrée et l'échange d'informations. Les modèles permettent aux utilisateurs de renseigner les propriétés d'un fournisseur d'identité pour créer un fournisseur.

Créer un modèle AnyIdentity ou importer un des modèles qui existent déjà.

Le WinRM doit être activé pour que cela fonctionne.

Créer un modèle AnyIdentity

Une fois les scripts d'action créés, l'étape suivante est de développer le modèle AnyIdentity au sein de Devolutions Server.

  1. Dans Devolutions Server, aller à Administration – Octroi de l'accès – Fournisseurs.
  2. Cliquer sur Modèles AnyIdentity.
    Administration – Privileged access – Providers – templates
    Administration – Privilèges d'accès – Fournisseurs – modèles
  3. Cliquer sur Ajouter pour créer un nouveau modèle.
    Add a new template
    Ajouter un nouveau modèle
  4. Dans Général, fournir un Nom (obligatoire) et une Description (optionnelle) pour votre nouveau modèle. Il est aussi possible de changer l'icône affichée.
  5. Trois actions peuvent être activées, chacune avec leur propre script. Cocher les cases à côté de celles que vous souhaitez que ce fournisseur implémente.
    • Rotation des mots de passe, pour réinitialiser les mots de passe des comptes.
    • Heartbeat, pour synchroniser les comptes.
    • Détection de compte, pour l'analyse.

General settings
General settings

Bien qu'il ne soit pas obligatoire d'activer chaque action, il est recommandé de le faire afin de tirer pleinement parti des avantages d'un fournisseur AnyIdentity.

  1. Dans Propriétés du fournisseur et Propriétés du compte, définir les champs que les fournisseurs et les comptes implanteront.

    • Les propriétés du fournisseur définissent les attributs qu'AnyIdentity utilise pour authentifier et se connecter à un fournisseur d'identité. Ces propriétés peuvent inclure le nom d'utilisateur, le mot de passe, le nom d'hôte ou tout autre attribut unique d'un fournisseur d'identité.
    • Propriétés du compte sont des attributs liés à un compte spécifique sur un fournisseur d'identité. Les propriétés courantes du compte incluent ID, nom d'utilisateur, et secret. Les propriétés du compte identifient de manière unique les comptes du fournisseur et fournissent une valeur pour stocker le mot de passe d'un compte ou d'autres informations d'identification sécurisées.

    Ajouter des propriétés en cliquant sur Ajouter propriété. Pour chaque propriété, fournir un Nom et un Type. Ci-dessous se trouve une liste des différents types :

    • Booléen
    • Description (chaîne)
    • Int
    • Mot de passe (SecureString)
    • Données sensibles (SecureString)
    • Chaîne
    • Identificateur unique (chaîne)
    • Nom d'utilisateur (chaîne)

Provider and account properties
Provider and account properties

Veiller à fournir un type d'identificateur unique si vous prévoyez d'utiliser la détection de compte. Ce champ aide à suivre quels comptes ont été ajoutés depuis le dernier scan.

  1. Cocher la case Obligatoire à côté d'une propriété si les champs sont requis pour la création/modification.

  2. Pour chaque action qui a été activée dans la section Général, aller à la section correspondante dans le menu de gauche.

  3. Mapper les propriétés du fournisseur/compte nécessaires au script en fournissant les éléments suivants :

    • Nom : Nom de la variable dans le script.
    • Source : Si la valeur est fournie par le fournisseur ou le compte.
    • Propriété: La propriété source qui sera injectée dans le script.

    Avoir toutes les actions associées à des scripts d'action avec au moins deux ou trois paramètres. Faire comprendre à AnyIdentity comment mapper une propriété à un paramètre de script pour définir la relation entre l'objet AnyIdentity (fournisseur ou compte) et chaque script d'action. Autoriser les paramètres de script à spécifier à AnyIdentity quels paramètres possèdent chacun de vos scripts d'action et à quelle propriété de AnyIdentity ce paramètre de script doit être mappé. Ajouter d'autres paramètres de script si besoin.

    Actions parameters
    Actions parameters

  4. Insérer le script de l'action en parcourant votre ordinateur pour le trouver ou en éditant manuellement le champ Script. Vous pouvez également générer un script de base sur lequel construire.

    Action script
    Action script

  5. Tester votre script une fois qu'il est terminé, puis Enregistrer votre nouveau modèle. Votre nouveau modèle AnyIdentity a été créé et se trouve dans la liste des modèles. Vous pouvez passer à Créer un fournisseur AnyIdentity.

Exemple de modèle

Ci-dessous un exemple de valeurs pour un modèle AnyIdentity complété basé sur les scripts d'action suivants :

[CmdletBinding()]
param(
    [Parameter(Mandatory)]
    [string]$IdentityProviderEndpoint,

    [Parameter(Mandatory)]
    [string]$IdentityProviderEndpointUserName,

    [Parameter(Mandatory)]
    [securestring]$IdentityProviderEndpointPassword
)

[CmdletBinding()]
param(
    [Parameter(Mandatory)]
    [string]$IdentityProviderEndpoint,

    [Parameter(Mandatory)]
    [string]$IdentityProviderEndpointUserName,

    [Parameter(Mandatory)]
    [securestring]$IdentityProviderEndpointPassword,

    [Parameter(Mandatory)]
    [securestring]$NewPassword,

    [Parameter(Mandatory)]
    [string]$AccountUserName
)

[CmdletBinding()]
param(
    [Parameter(Mandatory)]
    [string]$IdentityProviderEndpoint,

    [Parameter(Mandatory)]
    [string]$IdentityProviderEndpointUserName,

    [Parameter(Mandatory)]
    [securestring]$IdentityProviderEndpointPassword,

    [Parameter(Mandatory)]
    [securestring]$AccountSecret,

    [Parameter(Mandatory)]
    [string]$AccountUserName
)

Propriétés du fournisseur

Nom de la propriété Type de propriété Obligatoire
IdentityProviderEndpoint String Oui
IdentityProviderEndpointUserName Nom d'utilisateur Oui
Mot de passe du point de terminaison du fournisseur d'identité Mot de passe Oui

Propriétés du compte

Nom de la propriété Type de propriété Obligatoire
AccountUserName UniqueIdentifier Oui
AccountSecret Mot de passe Oui

Types de paramètres de script

Nom du paramètre Action(s) Propriété Source Obligatoire
IdentityProviderEndpoint Rotation des mots de passe, Heartbeat, détection de compte IdentityProviderEndpoint Fournisseur Oui
IdentityProviderEndpointUserName Rotation des mots de passe, Heartbeat, détection de compte IdentityProviderEndpointUserName Fournisseur Oui
Mot de passe du point de terminaison du fournisseur d'identité Rotation des mots de passe, Heartbeat, détection de compte Mot de passe du point de terminaison du fournisseur d'identité Fournisseur Oui
NewPassword Rotation des mots de passe N/A Système Oui
AccountUserName Rotation des mots de passe, Heartbeat AccountUserName Compte Oui
AccountSecret Battement de cœur AccountSecret Compte Oui

Importer un modèle AnyIdentity

Vous pouvez accéder à notre répertoire GitHub public pour trouver des fournisseurs PAM AnyIdentity créés par l'équipe Devolutions et des instructions sur comment les utiliser.

  1. Dans Devolutions Server, aller à Administration – Octroi de l'accès – Fournisseurs.
  2. Cliquer sur Modèles AnyIdentity.
    Administration – Privileged access – Providers – templates
    Administration – Privilèges d'accès – Fournisseurs – modèles
  3. Cliquer sur Importer.
    Import an template
    Importer un modèle
  4. Charger votre fichier .json, puis cliquer sur Importer.
  5. Adapter les paramètres du modèle si nécessaire, puis cliquer sur Enregistrer.

Votre modèle a maintenant été importé et se trouve dans la liste des modèles AnyIdentity.

Créer un fournisseur PAM AnyIdentity

Une fois votre modèle créé ou importé, vous êtes prêt à créer un fournisseur AnyIdentity.

  1. Aller à Administration – Gestion de l'accès privilégié – Fournisseurs, puis cliquer sur Ajouter.
    Administration – Gestion de l'accès privilégié – Fournisseurs – Ajouter
    Administration – Gestion de l'accès privilégié – Fournisseurs – Ajouter
  2. Aller à AnyIdentity dans le menu de gauche, puis sélectionner votre nouveau modèle dans la liste. Cliquer sur Continuer.
    sélection du modèle
    sélection du modèle
  3. Dans la page de configuration du fournisseur, fournir un nom et un nom d'utilisateur, car ces informations sont obligatoires. Ensuite, si nécessaire, définir les autres options selon vos besoins.
    Configuration du fournisseur
    Configuration du fournisseur
  4. Cliquer Enregistrer.

Votre nouveau fournisseur AnyIdentity a été créé et peut être trouvé dans la liste des fournisseurs.

Devolutions Forum logo Donnez-nous vos commentaires