نقشهای کاربران در PAM360
PAM360 بهعنوان یک مخزن برای حسابها و کلمات عبور حساس عمل میکند و دسترسی اولیه را از طریق نقشهای کاربری کنترل میکند. دسترسی به اپلیکیشن PAM360 وابسته به داشتن نقش خاص است که دامنه عملیات مجاز کاربر را تعیین میکند. این مکانیزم کنترل دقیق دسترسی دادهها را از دسترسی غیرمجاز از طریق رابط PAM360 محافظت میکند که از طریق کنترل دسترسی مبتنی بر نقش انجام میشود.
PAM360 دارای شش نقش کاربری است:
| نقش کاربری |
|---|
| مدیر با امتیاز ویژه/Privileged Administrator |
| مدیر/Administrator |
| مدیر کلمه عبور.Password Administrator |
| بازرس کلمه عبور/Password Auditor |
| کاربر کلمه عبور/Password User |
| کاربر اتصال/Connection User |
PAM360 دارای شش نقش کاربری مختلف است که هر کدام وظایف خاص خود را دارند و دسترسیهای متفاوتی به منابع سیستم دارند. در ادامه توضیحات دقیقتری درباره این نقشها و دسترسیهای مربوطه آورده شده است:
1. مدیر با امتیاز ویژه (Privileged Admin)
- این نقش بالاترین سطح دسترسی را دارد و به کاربر امکان مدیریت کامل سیستم را میدهد. مدیر با امتیاز ویژه میتواند تمام تنظیمات PAM360 را پیکربندی کند و تمامی دسترسیها را مدیریت نماید.
- سطح دسترسیها:
- مدیریت کامل همه منابع و حسابها.
- تنظیمات و پیکربندی سیستم.
- مشاهده و ویرایش کلمات عبور برای هر کاربری.
- اضافه و حذف کردن کاربران و نقشها.
- مدیریت دسترسیها و تنظیمات امنیتی.
2. مدیر (Administrator)
- مدیر مسئول نظارت کلی بر سیستم است و میتواند دسترسی به منابع مختلف را برای دیگر کاربران تعیین کند.
- سطح دسترسیها:
- دسترسی به تنظیمات سیستم و مدیریت کاربران.
- محدودیت در برخی از پیکربندیهای سطح بالاتر که مختص مدیر با امتیاز ویژه است.
- مدیریت کلمات عبور و ایجاد یا حذف منابع.
- قابلیت دسترسی به اطلاعات امنیتی، مانند ثبت وقایع و هشدارها.
3. مدیر کلمه عبور (Password Administrator)
- این نقش به کاربر اجازه میدهد که مدیریت کلمات عبور کاربران و منابع مختلف را انجام دهد.
- سطح دسترسیها:
- مدیریت کلمات عبور منابع.
- بهروزرسانی و تغییر کلمات عبور برای منابع.
- مشاهده و ویرایش اطلاعات کلمات عبور مربوط به منابع تحت مدیریت خود.
4. بازرس کلمه عبور (Password Auditor)
- این نقش برای کاربرانی است که نیاز به نظارت بر کلمات عبور دارند اما نمیتوانند آنها را ویرایش کنند. بازرسها برای انجام بازرسیها و نظارت بر امنیت سیستم طراحی شدهاند.
- سطح دسترسیها:
- مشاهده کلمات عبور و منابع.
- گزارشدهی و بررسی وضعیت امنیتی.
- دسترسی به گزارشهای فعالیتهای کلمات عبور و منابع.
- عدم توانایی در تغییر یا ویرایش کلمات عبور.
5. کاربر کلمه عبور (Password User)
- این نقش به کاربر اجازه میدهد که از کلمات عبور برای دسترسی به منابع استفاده کند.
- سطح دسترسیها:
- استفاده از کلمات عبور به منظور دسترسی به منابع مشخص.
- تغییر کلمه عبور خود در صورت نیاز.
- دسترسی به اطلاعات مورد نیاز برای عملکرد خود اما بدون امکان تغییر تنظیمات مدیریتی.
6. کاربر اتصال (Connection User)
- کاربرانی که به منابع متصل میشوند و به آنها دسترسی دارند، اما نیازی به مدیریت یا استفاده از کلمات عبور ندارند.
- سطح دسترسیها:
- دسترسی به منابع خاص از طریق روشهای اتصال (مثلاً اتصال به سرور یا اپلیکیشن).
- انجام عملیات مشخصی که به منابع خاص وابسته است.
- عدم دسترسی به کلمات عبور یا مدیریت آنها.
نکته مهم:
نقش "مدیر" شامل سه گروه مدیران است: مدیران، مدیران کلمه عبور و مدیران با امتیاز ویژه. به همین دلیل، تعداد کل مدیران در سیستم محدود است، در حالی که تعداد کاربران کلمه عبور و بازرسان کلمه عبور هیچ محدودیتی ندارد. این به این معنی است که میتوان تعداد زیادی از کاربران کلمه عبور و بازرسان کلمه عبور را بدون محدودیت در سیستم تعریف کرد.
مدیریت نقشهای کاربری و مجوزها
نقشهای مختلف کاربری در PAM360 دامنه عملیات مجاز برای هر کاربر را مشخص میکند:
| نقش کاربری | توضیحات |
|---|---|
| مدیر با امتیاز ویژه | کاربران این نقش توانایی پیکربندی، شخصیسازی و نظارت بر اپلیکیشن PAM360 را دارند. آنها قادر به تنظیم کنترلهای حریم خصوصی و امنیتی هستند و به منابع و حسابهایی که ایجاد کردهاند یا با آنها به اشتراک گذاشته شده دسترسی دارند. همچنین، میتوانند سایر مدیران را به وضعیت "مدیر فوقالعاده" ارتقا دهند. |
| مدیر ابری | این نقش بهطور خاص برای مدیریت ویژگیهای Cloud Entitlements در PAM360 طراحی شده است. کاربران این نقش مشابه مدیران با امتیاز ویژه دسترسی دارند اما قادر به تنظیم کنترلهای حریم خصوصی و امنیتی نیستند. آنها میتوانند حسابهای ابری پشتیبانیشده را مدیریت کنند. |
| مدیر | مدیران مشابه مدیران با امتیاز ویژه دسترسی دارند ولی نمیتوانند برخی از کنترلهای حریم خصوصی و امنیتی را پیکربندی کنند. |
| مدیر کلمه عبور | این نقش مسئول تمام پیکربندیها و عملیات مرتبط با حسابها و مدیریت کلمات عبور است. مانند مدیران، آنها تمام منابع و حسابهایی که ایجاد کردهاند یا با آنها به اشتراک گذاشته شده است را مدیریت میکنند، اما به مدیریت کاربران، گزارشها و داشبوردها دسترسی ندارند. |
| کاربر کلمه عبور | این کاربران تنها به حسابهایی که توسط مدیران، مدیران کلمه عبور یا مدیران با امتیاز ویژه با آنها به اشتراک گذاشته شده است دسترسی دارند و میتوانند در صورت مجاز بودن، تغییراتی در آنها ایجاد کنند. |
| بازرس کلمه عبور | این نقش مشابه با نقش کاربر کلمه عبور است و به علاوه دسترسی به داشبوردها، سوابق بازرسی و گزارشها از تمام منابع در PAM360 را نیز دارد. |
| کاربر اتصال | کاربران این نقش مشابه کاربران کلمه عبور هستند و علاوه بر آن میتوانند اتصالات HTTPS، اتصالات RemoteApp و انتقال فایلهای امن را انجام دهند. |
تخصیص این نقشها به کاربران باعث میشود که دسترسی به دادههای حساس در PAM360 بهطور دقیق کنترل شده و خطر دسترسی یا سوءاستفاده غیرمجاز کاهش یابد.
نکته: مدیر، مدیر کلمه عبور و مدیر با امتیاز ویژه میتوانند به عنوان مدیر فوقالعاده منصوب شوند. مدیر فوقالعاده به تمامی منابع سرور ذخیرهشده در PAM360 دسترسی دارد، بدون توجه به مالکیت منابع. برای امنیت بیشتر، یک کاربر با نقش مدیر میتواند تنها توسط سایر مدیران PAM360 به عنوان مدیر فوقالعاده منصوب شود.
جدول سطح دسترسی کاربران
| نقش | مدیریت کاربران | مدیریت منابع و حسابها | دسترسی به رمزهای عبور حسابها و مدیریت رمزهای عبور شخصی | دسترسی به حسابرسی و گزارشها | کنترلهای حریم خصوصی و امنیت | دسترسی از راه دور | انتقال امن فایل، سرور دروازه HTTPS و دسترسی به RemoteApp | مدیریت مجوزهای ابری |
|---|---|---|---|---|---|---|---|---|
| مدیر ممتاز | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| مدیر ابری | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| مدیر | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| مدیر رمز عبور | ✗ | ✓ | ✓ | ✗ | ✓ | ✓ | ✗ | ✗ |
| حسابرس رمز عبور | ✗ | ✗ | ✓ | ✗ | ✓ | ✗ | ✗ | ✗ |
| کاربر رمز عبور | ✗ | ✗ | ✓ | ✗ | ✓ | ✗ | ✗ | ✗ |
| کاربر اتصال | ✗ | ✗ | ✓ | ✗ | ✓ | ✓ | ✗ | ✗ |
این جدول نشاندهنده دسترسیهای مختلف برای نقشهای متفاوت در سیستم است. علامت ✓ نشاندهنده دسترسی و ✗ نشاندهنده عدم دسترسی است.
نقش هر کاربری را می توانید تغییر دهید
نقشهای سفارشی
علاوه بر نقشهای از پیش تعریفشده در PAM360، مدیران قابلیت ایجاد نقشهای سفارشی متناسب با نیازهای خاص سازمان خود را دارند. این ویژگی به مدیران این امکان را میدهد که نقشها را از ابتدا طراحی کرده و از بیش از 100 عملیات موجود در PAM360 انتخاب کنند.
ایجاد یک نقش سفارشی جدید
- به مسیر Admin >> Customization >> Roles بروید.
- در پنجره "Roles"، گزینه Add Role را انتخاب کنید.
- نام و توضیحی برای نقش جدید وارد کنید.
- اگر میخواهید از یک نقش موجود بهعنوان الگو استفاده کنید، گزینه Use an Existing Role as Template را انتخاب کنید.
- دامنه نقش را در ماژولهای مختلف PAM360 انتخاب کنید و عملیات مورد نیاز را از لیست موجود انتخاب کنید.
به عنوان مثال،
اگر میخواهید یک نقش برای تنها هدف مدیریت کاربران ایجاد کنید، مانند افزودن کاربران جدید در PAM360، ویرایش/حذف پروفایلهای کاربران، تغییر نقشها و انتقال منابع بین کاربران، در اینجا عملیات پایهای هستند که باید از ماژول کاربران انتخاب شوند:
| عنوان انگلیسی | به فارسی | شرح |
|---|---|---|
| Users | کاربران | افرادی که به سیستم دسترسی دارند |
| User Authentication Protocols | پروتکلهای احراز هویت کاربران | روشها و سیستمهایی برای تأیید هویت کاربران |
| User Groups | گروههای کاربران | گروههایی که کاربران در آنها قرار میگیرند |
| Manage Web Users | مدیریت کاربران وب | مدیریت کاربران سیستمهای وب |
| Add Users Manually | افزودن کاربران به صورت دستی | افزودن کاربران جدید به طور دستی |
| Import From AD | وارد کردن از Active Directory | وارد کردن اطلاعات کاربران از دایرکتوری اکتیو |
| Import From LDAP | وارد کردن از LDAP | وارد کردن اطلاعات کاربران از سیستم LDAP |
| Import From Microsoft Entra ID | وارد کردن از Microsoft Entra ID | وارد کردن اطلاعات از Microsoft Entra ID |
| Import From File | وارد کردن از فایل | وارد کردن اطلاعات از فایلهای ذخیره شده |
| Edit | ویرایش | تغییر اطلاعات موجود کاربران |
| Lock / Unlock Users | قفل / باز کردن کاربران | قفل کردن یا باز کردن دسترسی کاربران |
| Delete | حذف | حذف کاربران از سیستم |
| Manage API Users | مدیریت کاربران API | مدیریت کاربران در سیستمهای API |
| Change User Roles | تغییر نقشهای کاربران | تغییر نقشهای دسترسی کاربران در سیستم |
| Transfer Resources Owned by a User | انتقال منابع متعلق به یک کاربر | انتقال منابع تحت مالکیت یک کاربر به دیگران |
| Generate Reports | تولید گزارشها | تولید گزارشهای مختلف از فعالیت کاربران |
| Manage Active Directory | مدیریت Active Directory | مدیریت دایرکتوری فعال کاربران |
| Manage LDAP | مدیریت LDAP | مدیریت سیستم LDAP برای احراز هویت کاربران |
| Manage Microsoft Entra ID | مدیریت Microsoft Entra ID | مدیریت Microsoft Entra ID برای دسترسی کاربران |
| Manage SAML Single Sign-on | مدیریت ورود یکپارچه SAML | مدیریت احراز هویت یکپارچه با استفاده از SAML |
| Manage RADIUS Authentication | مدیریت احراز هویت RADIUS | مدیریت سیستم احراز هویت RADIUS |
| Manage Smart Card Authentication | مدیریت احراز هویت کارت هوشمند | مدیریت احراز هویت با استفاده از کارت هوشمند |
| Manage Two-factor Authentication | مدیریت احراز هویت دو عاملی | مدیریت سیستم احراز هویت دو عاملی |
| Reset Two Factor Authentication | بازنشانی احراز هویت دو عاملی | بازنشانی و تنظیم دوباره احراز هویت دو عاملی |
| Manage Browser Extension/Mobile Access for Users | مدیریت دسترسی از طریق افزونه مرورگر/دستگاه موبایل برای کاربران | مدیریت دسترسی کاربران از طریق افزونههای مرورگر یا دستگاههای موبایل |
| Manage Remote Connect for Users | مدیریت اتصال راه دور برای کاربران | مدیریت دسترسی به سیستم از طریق اتصال راه دور |
| Add | افزودن | اضافه کردن کاربران یا تنظیمات جدید |
| Manage user group settings | مدیریت تنظیمات گروههای کاربری | مدیریت تنظیمات و ویژگیهای گروههای کاربری |
| Modify an Existing Group | ویرایش یک گروه موجود | تغییر و ویرایش تنظیمات یک گروه کاربری موجود |
| Generate Reports | تولید گزارشها | تولید و مشاهده گزارشهای مختلف در سیستم |
| Delete | حذف | حذف کاربران یا گروهها از سیستم |
اگر میخواهید یک نقش برای تکنسینهای کمتجربه که تعداد محدودی منابع را در سازمان شما نگهداری میکنند، ایجاد کنید، یک نقش با عملیات زیر مورد نیاز است:
فیلتر نقشها
ویژگی فیلتر نقشها به مدیران این امکان را میدهد که تخصیص نقشها را تسهیل کرده و مشخص کنند که کدام نقشها باید در فیلد نقش هنگام اضافه کردن کاربر قابل مشاهده باشند.
- به مسیر Admin >> Customization >> Roles >> Role Filter بروید.
- گزینه Enable Role Filter را فعال کنید.
- نقشها را سازماندهی کرده و بهصورت انتخابی نقشهایی که باید نمایش داده شوند را فعال یا غیرفعال کنید.
تغییر نقشها برای کاربران
مدیران میتوانند به راحتی نقشها را برای کاربران بهطور انفرادی یا گروهی تغییر دهند.
- به مسیر Admin >> Customization >> Roles >> Change Roles بروید.
- کاربران مرتبط با یک نقش خاص را از طریق فیلتر مشاهده کنید.
- برای تغییر نقش یک کاربر، روی دکمه Change Role کلیک کرده و نقش جدید را انتخاب کنید.
ویرایش/حذف نقشهای سفارشی
برای ویرایش یک نقش سفارشی، روی آیکون Edit کنار نقش کلیک کرده و تغییرات مورد نظر را انجام دهید. پس از تایید تغییرات توسط یک مدیر دیگر، آنها اعمال خواهند شد.
برای حذف یک نقش سفارشی، روی آیکون Delete کنار نقش کلیک کرده و نقش را حذف کنید. در صورتی که کاربران با این نقش مرتبط باشند، باید ابتدا آنها را به نقش دیگری منتقل کنید.
