Naar hoofdinhoud gaan

Wat is een Account?

Een Account is de identiteit die VaultPAM op het doelsysteem gebruikt. De Account is niet hetzelfde als de credential die deze ontsluit. VaultPAM maakt dit onderscheid expliciet zodat u credentials kunt roteren, beleid kunt toepassen en gebruik kunt controleren zonder het gehele toegangsmodel opnieuw in te stellen.

Account versus credential

  • Account: de aanmeldingsidentiteit op het doel, zoals root, Administrator, of een benoemde serviceaccount.
  • Credential: het wachtwoord of de sleutel die eigendom van die account bewijst.

Deze scheiding stelt u in staat de Account stabiel te houden terwijl u het geheim eronder wijzigt.

Statische en just-in-time credentials

Sommige Safes gebruiken een statisch wachtwoord dat voor een langere periode bestaat. Anderen gebruiken just-in-time credentials ondersteund door OpenBao. In het JIT-model vraagt VaultPAM het geheim op wanneer de sessie begint en injecteert het op de proxy. Het geheim hoeft nooit in een door de gebruiker beheerd klembord te worden gekopieerd.

Hoe VaultPAM de credential levert

VaultPAM bindt de Account aan een Safe. Wanneer een lid een sessie start, verzorgen de Connector en proxy de credential-overdracht. De gebruiker ziet de sessie, niet het wachtwoord. Als het Safe-beleid clipboardtoegang blokkeert, blijft de credential volledig onzichtbaar voor de gebruiker.

Dit model vermindert het risico op gelekte geheimen en maakt afboording eenvoudiger. U verwijdert toegang door het Safe-lidmaatschap bij te werken of de Account-binding te vervangen, niet door hetzelfde wachtwoord over een dozijn systemen na te jagen.

Gerelateerde artikelen