用語および概念

チーム

チームは、アドバンストサーバーアクセスにおける最上位レベルの組織概念です。チームは、基本的に、固有名および関連するIDプロバイダー(IdP)で構成されます。

アドバンストサーバーアクセスのその他のすべての構成オブジェクトはチームを対象とします。

IDプロバイダー(IdP)

すべてのチームにはIDプロバイダー(Oktaなど) が存在し、このIDプロバイダーに対し、ユーザーはチームの認証方法を使用して認証を行います。IdPはユーザーのIDと現在のアクセスについての信頼できる情報源です。異なるIDプロバイダーは異なる認証方法をサポートしています(OAuthまたはSAMLなど)。

ユーザー

ユーザーとは、チームに属し、チームのIDプロバイダーを使用して認証する個人です。アドバンストサーバーアクセスにおけるユーザーの権限は、グループのメンバーシップによって決定されます。

ユーザーは、クライアントに対し、クライアントインベントリに追加することを承認し、クライアントが認証情報を受信できるようにします。

サーバーのユーザーアカウント

LinuxおよびWindowsサーバーのユーザーアカウントは、アドバンストサーバーアクセスのエージェントが管理できます。「ユーザー管理」をご覧ください。

サービスユーザー

サービスユーザーは、アドバンストサーバーアクセスで特定の権限を付与できるサービスまたはソフトウェア自動化の抽象概念です。ユーザーと同様、サービスユーザーはチームに属し、そのアクセス許可はグループメンバーシップによって決定されます。サービスユーザーは、アドバンストサーバーアクセスAPIに対してアクションを自動化するのに使用されたり、サーバーに資格情報を付与するのに使われます。「サービスユーザー」をご覧ください。

クライアント

アドバンストサーバーアクセスのクライアントは、ユーザーがインフラストラクチャにアクセスするために使用するデバイス(ノートブックやワークステーションなど)にインストールされます。アドバンストサーバーアクセスのクライアントは、ユーザーがアドバンストサーバーのアクセス管理対象リソースに透過的にアクセスできるよう、デバイス上の動的資格情報を管理します。「アドバンストサーバーアクセスのクライアントをインストールする」をご覧ください。

グループ

グループは、アドバンストサーバーアクセスのダッシュボードおよびAPI内のユーザーに権限(管理構成権限など) を付与するために使用され、グループをプロジェクトにリンクさせて、そのプロジェクト内で権限を付与することもできます。「グループについて」をご覧ください。

プロジェクト

プロジェクトは、リソース(サーバーまたは内部サービスなど)を役割ベースのアクセス制御(RBAC)構成に接続するアドバンストサーバーアクセスの組織概念です。Active DirectoryのドメインまたはKerberosの領域のように考えることができます。「プロジェクト」をご覧ください。

動的資格情報

プロジェクトを、RBAC構成に従って短期の証明書を発行するプログラム可能な証明機関(CA)と考えることもできます。

これらの各証明書には、少なくとも次の情報が含まれています。

  1. 証明書の発行対象であるアドバンストサーバーアクセスのプロジェクト
  2. 証明書が発行されたアドバンストサーバーアクセスのユーザーのサーバーで使用されるユーザー名
  3. 証明書の有効期限が切れる時刻

アドバンストサーバーアクセス資格情報は、期間が短くプロジェクトの範囲が限られているので、資格情報が攻撃者によって侵害された場合、攻撃者にとって、証明書の有効期限が切れる前に証明書を使用する時間が非常に限られており、その証明書もプロジェクト内のリソースに対してのみ使用できます。

関連項目

アドバンストサーバーアクセスのコンポーネント