如何使用Sharepoint+SCO實現(xiàn)PAM門戶

這篇文章主要介紹如何使用Sharepoint+SCO實現(xiàn)PAM門戶，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

目前創(chuàng)新互聯(lián)已為上千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計、鹽田網(wǎng)站維護等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

在實際企業(yè)應(yīng)用來說，企業(yè)希望的不僅僅是通過人為審批+人工操作Powershell，最好是有一個門戶，用戶可以在上面去申請權(quán)限，通過在線工作流進行審批，底層是PAM技術(shù)工具的支撐，這樣更加貼近實際環(huán)境，也便于檢閱，本篇進階文章我們就把PAM的操作部分與報告部分做成門戶，實現(xiàn)三個功能

1. 用戶在門戶申請時效性權(quán)限，管理員審批通過，自動加入到本域安全組或安全主體 

2. 申請成功后自動把用戶的申請以及審批信息歸檔做成報告 。

3. 支持在門戶上對用戶申請記錄進行權(quán)限回收，變更回收字段，后臺自動回收安全組或安全主體權(quán)限。

對于微軟的產(chǎn)品體系而言，要對接PAM底層的JIT JEA 安全主體技術(shù)，實現(xiàn)門戶申請，審批，歸檔，有三種選擇，Sharepoint+SCO，SCO+SCSM，MIM2016。

本篇文章我們將主要關(guān)注于Sharepoint +SCO實現(xiàn)PAM門戶，Sharepoint+SCO+PAM三個部分的流程對接，思維引導(dǎo)，對于PAM概念，PAM技術(shù)工具原理，PAM技術(shù)配置，本文將不再做復(fù)述。

各個組件在流程扮演的作用如下

Sharepoint：創(chuàng)建申請列表，審計報告列表，由管理員定義需要錄入的信息，需要注意申請列表的信息要包括：申請域賬戶，目標(biāo)申請組，申請時間，等三個基本信息，這三個信息會被SCO監(jiān)控到，SCO會拿著這三個信息去讓AD域執(zhí)行加入安全組或加入安全主體操作。除此之外Sharepoint還要實現(xiàn)審批工作流，以此作為每條記錄的跟蹤確認項，用戶的申請先要在Sharepoint里面進行人為審批，審批通過后，申請記錄工作流狀態(tài)變?yōu)橐淹ㄟ^

SCO：對于Sharepoint來說工作流已經(jīng)結(jié)束，但對于下一站SCO來說工作流剛剛開始，SCO捕捉審批狀態(tài)已通過的項目，將已通過項目的數(shù)據(jù)通過databus傳遞到下一站執(zhí)行腳本，執(zhí)行腳本活動拿著用戶輸入的信息，連接到域控服務(wù)執(zhí)行加入安全組或加入到安全主體操作。

可以看到整套流程里面Sharepoint主要扮演申請輸入，審批，展示，存放的一方，SCO在做的是對接Sharepoint的信息與PAM，將Sharepoint輸入的結(jié)果，直接讓AD域去執(zhí)行，讓Sharepoint輸入的信息從靜態(tài)變?yōu)檎嬲А?/p>

對于SCO這個產(chǎn)品，老王這里還是簡單介紹一下，SCO全稱System Center Orchestrator，是微軟System Center2012套件里面的自動化產(chǎn)品，主要功能

1. 支撐微軟私有云自助化實現(xiàn)，對接SCSM和底層VMM，將用戶的SCSM自助申請，傳遞到VMM創(chuàng)建生效，

2. 支持混合云場景，支持和Azure IAAS 整合資源申請，和Azure SMA整合混合自動化呼叫。

3. 協(xié)調(diào)數(shù)據(jù)中心內(nèi)，系統(tǒng)上不同組件，或不同系統(tǒng)之間的自動化協(xié)作。

4. 管理員可以通過拖拽的方式設(shè)計自動化協(xié)作流程，降低自動化門檻。

SCO產(chǎn)品安裝組件

Management Server：負責(zé)SCO與數(shù)據(jù)庫的對接，用戶導(dǎo)入的集成包，以及寫好的runbook會存放在SCO數(shù)據(jù)庫中，SCO會通過Management Server去數(shù)據(jù)庫撈取runbook，集成包數(shù)據(jù)

Runbook Server：負責(zé)Runbook的實際執(zhí)行

Orchestrator Console and Web service：SCO安裝好之后會有一個Web console 供網(wǎng)頁查看執(zhí)行runbook，默認端口82，Web Service供SCSM或其它web程序調(diào)用runbook，默認端口81

Runbook Designer：Runbook的可視化設(shè)計器，只負責(zé)流程設(shè)計，流程真正執(zhí)行是在Runbook Server

各組件可以安裝到不同服務(wù)器，每個組件支持部署多個，每個Runbook支持指定不同的Runbook Server執(zhí)行

SCO系統(tǒng)服務(wù)

Orchestrator Management  Service：Managment Server角色服務(wù)，負責(zé)接收runbook server請求去數(shù)據(jù)庫撈取資料

Orchestrator Runbook Service：Runbook Server角色服務(wù)，負責(zé)執(zhí)行runbook活動流程

Orchestrator Runbook Server Monitor：Runbook Server角色服務(wù)，監(jiān)控Runbook 執(zhí)行狀態(tài)與事件

Orchestrator Remoting Service：Deployment Manager遠程部署IP使用

SCO術(shù)語介紹

Runbook：描述Orchestrator設(shè)計好的一條自動化流程，一條Runbook可以由多個活動組成，將多個活動連接起來形成自動化流程。

IP：Intergration Pack，默認情況下Runbook只能基于默認現(xiàn)有的活動設(shè)計流程，可以通過導(dǎo)入不同產(chǎn)品IP讓SCO擁有更多活動，完成Runbook的設(shè)計。

Deployment Manager：用于部署IP包，每一個IP包需要部署到用于設(shè)計的Runbook Designer，還要部署到用于執(zhí)行的Runbook Server 

databus：當(dāng)我們在runbook中通過連接線把多個活動連接在一起，那么上一個活動監(jiān)控到的數(shù)據(jù)或執(zhí)行完產(chǎn)生的數(shù)據(jù)，會通過databus傳遞到下一個活動中，下一個活動中可以通過訂閱已發(fā)布的數(shù)據(jù)方式，使用上一個活動產(chǎn)生的數(shù)據(jù)來完成接下來的自動化活動。單獨的一個活動沒有databus的概念，當(dāng)多個活動通過連接線連接，databus將在后面每個活動里面?zhèn)鬟f。

連接線：通過拖拉的方式將多個活動進行連接 形成流程，連接線可以按照不同結(jié)果傳遞到不同的活動，如上一個操作執(zhí)行成功傳遞到下一個活動A，執(zhí)行失敗傳遞到下一個活動B，可以自定義連接線標(biāo)簽提醒管理員用途，可以自定義上一個活動執(zhí)行后延遲多久再執(zhí)行下一個活動，連接線是搭建databus的橋梁。

簽入簽出：當(dāng)我們新建一個runbook時，默認它會處于簽出狀態(tài)，當(dāng)經(jīng)過runbook tester測試之后，我們將runbook簽入，然后才可以運行runbook，讓runbook生效，一條正在運行的runbook是不能被直接修改的，需要停止runbook，將runbook簽出，修改完成后再將runbook簽入，修改的內(nèi)容才會生效。

對于本次流程而言，最重要的是要理解SCO中databus的概念，我們要建立runbook流程，讓runbook流程去監(jiān)控sharepoint填寫的數(shù)據(jù)，監(jiān)控到工作流已通過后，通過databus把數(shù)據(jù)傳遞到下一個活動，不論是本域加入到時效組，或者添加到堡壘林安全主體也好，都是要通過腳本執(zhí)行，所以監(jiān)控sharepoint活動的下一個活動一定要接執(zhí)行腳本的活動，我們要把監(jiān)控sharepoint活動監(jiān)控到的數(shù)據(jù)，傳遞到執(zhí)行腳本的活動中，最終執(zhí)行的腳本其實是sharepoint的輸入數(shù)據(jù)。

下文將開始進行實際的流程設(shè)計和演示，通過實驗來幫大家加固理解，由于篇幅有限，將不對SCO，Sharepoint的安裝，以及基本配置，如列表創(chuàng)建，集成包導(dǎo)入等進行演示，我們將逐步實現(xiàn)目標(biāo)的三個功能，首先我們將實現(xiàn)在單域時效性組成員資格的場景下，三個功能的PAM門戶實現(xiàn)。

當(dāng)前ABC公司已經(jīng)升級域控到2016，林域功能級別升級到2016，已經(jīng)開啟了PAM功能，對于特權(quán)管理組已經(jīng)進行梳理準(zhǔn)備，只保留必備功能管理員，個人管理員已經(jīng)被清除，現(xiàn)希望通過門戶實現(xiàn)個人管理員時效性成員資格的在線請求，審批，歸檔，回收。

實驗環(huán)境介紹

PRIVDC 2016域控 虛擬機1VCPU 2GB內(nèi)存

Sharepoint 2013 +SCO 2012R2 虛擬機4VCPU 8GB內(nèi)存 

功能1：實現(xiàn)用戶在門戶申請時效性權(quán)限，管理員審批通過，自動加入到本域安全組或安全主體 

準(zhǔn)備工作：Sharepoint創(chuàng)建權(quán)限申請自定義列表，除必備申請域賬號，申請目標(biāo)組，申請時效外，管理員可自行設(shè)計所需要的欄目

申請域賬號是最終實際要加入到特權(quán)組的域賬號名稱

申請目標(biāo)組是最終實際要加入到的特權(quán)組名稱

申請時間是傳遞到后面腳本執(zhí)行時的TTL，可以設(shè)計為天，小時，分，秒，這里我設(shè)計為分鐘，隨后腳本中也設(shè)計TTL為分鐘。

申請人信息可以直接使用列表自帶創(chuàng)建者修改。

在網(wǎng)站集功能開啟工作流功能，隨后在列表設(shè)置工作流設(shè)置中創(chuàng)建審批工作流，在啟動選項處勾選 新建項目將啟動此工作流

配置工作流審批者，可以規(guī)劃一個安全組作為分配對象，實驗這里我指定每次都由Stat這個人進行審批

在這個功能里面，我們需要Sharepoint做的已經(jīng)到位了，提供Web申請的表單，提供在線工作流審批，接下來是SCO的表演時間，開場之前不要忘記為SCO Runbook Server和Designer服務(wù)器導(dǎo)入AD和Sharepoint的IP包，導(dǎo)入完成后記得在Designer界面上方選項處，配置每個IP包，例如AD包要連接到那個域，Sharepoint要連接到的網(wǎng)站集合是哪個。

這里會遇見第一個坑，一定要注意，配置sharepoint連接里面，有一個Default Monitor Interval Seconds的屬性，是sharepoint活動每次去輪詢監(jiān)控sharepoint數(shù)據(jù)的默認間隔時間，所有sharepoint活動會繼承此設(shè)置，默認是15秒，你千萬自作聰明給它改短，改短后你會發(fā)現(xiàn)sharepoint的自動化活動失敗。

要想實現(xiàn)這個功能啊，其實也并不是那么容易，也需要SCO活動的支持，設(shè)想一下我們有兩個傳遞到下一個活動的先決條件

傳遞每一個新建的且sharepoint里面工作流審批已通過的記錄

傳遞新建后審批未通過，但是經(jīng)過一段時間后審批已通過的記錄。

從設(shè)計上面講這個是必須要有的合理需求，但是從實現(xiàn)的角度來講，并不是那么容易，SCO如果要監(jiān)控某一個具體的txt，某個具體的日志還可以，但是要監(jiān)控每一條更新的就有點難度，幸好，7.2版本的sharepoint ip里面的Monitor List items活動完美支持我們的需求，可以監(jiān)控新建的記錄，監(jiān)控變更的記錄，并且可以設(shè)計滿足篩選條件再收數(shù)據(jù)。

拖拽Monitor List items活動進入設(shè)計面板，選擇需要監(jiān)控的申請列表，確保Monitor Interval Seconds為15秒及以上 Monitor New items為true，監(jiān)控新建項目，Monitor Modifieds items為true，監(jiān)控變更項目。

Filters里面設(shè)計篩選流程審批字段為已通過，實現(xiàn)效果，當(dāng)新申請接入，只有在sharepoint方工作流已經(jīng)走完，審批狀態(tài)已通過，才會監(jiān)控到這條數(shù)據(jù)，把這條監(jiān)控的數(shù)據(jù)在SCO databus上面?zhèn)鬟f到下一個活動。除了新建外，變更也一樣，假設(shè)我們在sharepoint里面，新建了一條記錄，但是審批者沒有及時審批，流程審批字段狀態(tài)會是進行中，這時候這條記錄就不會經(jīng)過SCO databus流向下一個活動，過了一會之后審批者審批了這條記錄，記錄變?yōu)橐淹ㄟ^，Monitor Interval Seconds時間到達后Monitor List Items同樣會感知到這次修改，把修改為已通過的這條數(shù)據(jù)通過databus流向下一個活動。

添加運行.NET腳本活動，語言類型選擇Powershell

在Monitor List Items活動處，繪制連接線，連接到下一個活動，建立databus流

在腳本活動中復(fù)制這段腳本

$session = New-PSSession -Computer PRIVDC

Invoke-Command  -session $session -ScriptBlock {

Import-Module ActiveDirectory

$TTL = New-TimeSpan -Minutes 10

Add-ADGroupMember -Identity“Domain Admins”-Members “Tony”-MemberTimeToLive $TTL

}

接下來就是有意思的事情了，我們要把sharepoint里面輸入的數(shù)據(jù)，通過databus，傳遞給腳本去AD執(zhí)行

在腳本處，點擊 -Minutes 刪除掉數(shù)字10 ，點擊右鍵，選擇訂閱 - 已發(fā)布數(shù)據(jù)，從databus尋找數(shù)據(jù)

選擇這里的minutes ttl時間，不要使用靜態(tài)的，而是要使用上一個活動傳遞過來的申請時間數(shù)值

依次替代申請目標(biāo)組，申請域賬戶數(shù)據(jù)為sharepoint傳來數(shù)值

這就是SCO的神奇之處，它可以在不同系統(tǒng)之間傳遞數(shù)據(jù)，你前一個活動系統(tǒng)是sharepoint，后一個活動系統(tǒng)是AD域，沒關(guān)系，我同樣可以通過databus傳遞到下一個活動，只要你傳遞的數(shù)據(jù)，不違反下一個活動執(zhí)行需要的格式類型就行。

這里有些人會遇見第二個坑，是腳本層面的問題，原來我們執(zhí)行命令時在-Identity命令后面會有個空格，然后是domain admins靜態(tài)組，但是被我們替換成從sharepoint傳來的數(shù)據(jù)后，在-identity后面會少一個空格，所以會遇見這個活動執(zhí)行失敗

還有，后面的一個參數(shù)也有此問題，TTL參數(shù)前面本來是有空格的，前面是靜態(tài)的要加入到時間資格組的用戶，但是被我們替換成sharepoint里面的申請域用戶之后，這個空格會消失

所以會導(dǎo)致.NET腳本這個活動執(zhí)行失敗，大家可以把SCO做完sharepoint傳遞的腳本拿出來到ISE復(fù)制就可以看到，回到SCO中把這兩個地方的空格處理掉問題可解

至此第一個功能SCO與Sharepoint部分配置完成，下面進行功能驗證

用戶eric是普通用戶，登陸sharepoint門戶申請5分鐘的domain admins組資格權(quán)限

申請得到stat及時審批，流程審批更新為已通過，SCO Monitor List Items感知到新項目建立，監(jiān)控成功，觸發(fā)下一個活動，在下方可以看到Runbook的執(zhí)行記錄

查看管理員組時效成員資格，可以看到Eric的TTL時效資格已經(jīng)生效

Get-ADGroup -Identity “Domain Admins” -Properties * -ShowMemberTimeToLive |fl member

當(dāng)前Jack用戶提交申請，但是未得到stat的及時審批，審批狀態(tài)為進行中，SCO活動不會被觸發(fā)

經(jīng)過一段時間后 stat審批了jack的請求，狀態(tài)更新為已通過

SCO Monitor List Items感知有已通過項目更新，監(jiān)控成功，將數(shù)據(jù)傳遞到下一個活動執(zhí)行腳本，可在日志歷史紀(jì)錄查看執(zhí)行記錄。

查看命令可以看到Jack也已經(jīng)獲得了時效性成員組資格。

至此我們完成了第一個申請功能的實現(xiàn)，用戶并不知道后臺發(fā)生的事情，他們只會看到審批通過之后權(quán)限就生效了，只有我們知道，其實我們是結(jié)合了Sharepoint+SCO實現(xiàn)了很酷的東西，如果企業(yè)有Exchange服務(wù)器，還可以再添加一個活動，當(dāng)腳本活動執(zhí)行成功后，郵件通知用戶已獲得臨時權(quán)限。

接下來是第二個審計功能，PAM里面一個主要部分的是要對特權(quán)權(quán)限的申請記錄化，包括申請人，申請原因，申請?zhí)貦?quán)組，審批人，特權(quán)生效時間，等等，形成一個可視化的審計報告，Sharepoint在里面發(fā)揮的作用是提供SCO自動填充的審計列表，老王在sharepoint自己設(shè)計了審計需要的信息欄目，僅供參考

SCO部分對于審計功能，我們的設(shè)計思路是添加創(chuàng)建列表項目的第三個活動，讓SCO自動去獲取Monitor list items活動的數(shù)據(jù)，當(dāng)?shù)诙€腳本執(zhí)行成功后，自動把第一個活動的數(shù)據(jù)填充進來創(chuàng)建列表項目，由于第三個創(chuàng)建項目的活動需要使用第一個活動的數(shù)據(jù)，因此需要確保三個活動都接入連接線，在同一條databus上面，即是說當(dāng)一個申請在sharepoint里面審批通過后，進入SCO要經(jīng)過三個活動 1.獲取數(shù)據(jù) 2.傳遞到AD執(zhí)行腳本 3.基于獲取數(shù)據(jù)創(chuàng)建審計數(shù)據(jù) ，三個活動執(zhí)行成功后此條流程結(jié)束。

拖拽Create List items活動進入設(shè)計面板

進行數(shù)據(jù)訂閱，選擇從第一個活動訂閱已發(fā)布數(shù)據(jù)

依次將第一個活動中的數(shù)據(jù)進行填充，有一個特權(quán)生效時間，老王建議可以從第二個運行腳本的活動中獲取，這個數(shù)值取第二個活動執(zhí)行成功結(jié)束時間，這個時間結(jié)束后，普通用戶就肯定加入到了特權(quán)組，所以取這個自動時間一定是最準(zhǔn)確的。這也是通過自動化實現(xiàn)的好處，避免了很多人為記憶的偏差。

針對于權(quán)限是否回收，老王是在sharepoint里面做成了選項列表，默認設(shè)置為未回收

流程現(xiàn)在設(shè)置如下

這個功能到這里已經(jīng)設(shè)計完成，下面進行功能驗證

用戶mike在申請列表提交申請請求

Stat審批通過，流程審批狀態(tài)變?yōu)橐淹ㄟ^

SCO活動監(jiān)控到匹配數(shù)據(jù)，開始觸發(fā)活動，三步活動執(zhí)行成功

查看Mike當(dāng)前已經(jīng)獲取到了時效權(quán)限內(nèi)的特權(quán)組權(quán)限

打開創(chuàng)建好的IT權(quán)限審計列表可以看到，由SCO自動拿著第一個活動和第二個活動的數(shù)據(jù)自動創(chuàng)建出來的審計信息

第三個功能：支持在門戶上對用戶申請記錄進行權(quán)限回收，用戶變更回收字段，后臺自動回收安全組或安全主體權(quán)限

大家可以看到，我們在第二個功能里面設(shè)計了一個權(quán)限是否回收的欄，這個對于審計信息而言老王覺得也是需要的，如果不做成自動化流程，那么就需要審計人員去與審批人確認，該權(quán)限是否回收，然后更新記錄。有了自動化流程之后我們就可以實現(xiàn)，審計人員或者IT管理人員，查看權(quán)限審計列表，如果覺得某一個權(quán)限應(yīng)該被回收，只需要變更權(quán)限是否回收的字段為需要回收，后臺SCO后檢測到這個變更，觸發(fā)一個從安全組或安全主體移除用戶的命令，將用戶移除權(quán)限，然后再更新列表權(quán)限是否回收為已回收，更新權(quán)限回收時間為從安全組或安全主體移除用戶的時間。

這個功能不僅可以適用于我們此次通過申請創(chuàng)建的時效性資格自動更新的審計記錄，企業(yè)的IT管理員也可以把手動賦予過的權(quán)限登記在這里，定期檢查是否已經(jīng)回收，是否需要回收，如需要，自動化完成。

實現(xiàn)起來，這個我們需要單獨再做一個runbook流程，因為同一個runbook里面不能做兩個監(jiān)控list活動，這個runbook用于監(jiān)控IT權(quán)限審計列表，監(jiān)控過濾權(quán)限是否回收字段，匹配到需要回收，就把數(shù)據(jù)傳給下一個活動執(zhí)行腳本，當(dāng)腳本執(zhí)行成功后更新回收狀態(tài)為已回收。

新建一個runbook，添加monitor list items活動，這次選擇監(jiān)控IT權(quán)限審計列表

設(shè)置Filters，僅收集和傳遞 權(quán)限是否回收 等于 需要回收 的數(shù)據(jù)

添加運行.NET腳本活動，將要 原本靜態(tài)從中刪除的組 替換成已發(fā)布數(shù)據(jù) 申請?zhí)貦?quán)組 ，這個數(shù)值是審計列表而來，審計列表是權(quán)限已經(jīng)賦予了才會生成，所以定不會有錯

$session = New-PSSession -Computer PRIVDC

Invoke-Command  -session $session -ScriptBlock {

Import-Module ActiveDirectory

$ConfirmPreference = 'none'

Remove-AdGroupMember "Domain Admins" -Members  Jack

}

要移除的成員替換為 審計列表 權(quán)限申請人，也就是申請時填寫的申請域賬號，實際被加入到特權(quán)組的人。

如果腳本執(zhí)行失敗，不要忘記檢查空格，還有-ScriptBlock最后結(jié)束的}不要丟失。

添加第三個活動，update list item，選擇要更新的項目：權(quán)限回收狀態(tài)，權(quán)限回收時間。

權(quán)限是否回收更新為已回收，回收時間可以從第二個活動運行.NET腳本，取活動結(jié)束時間，需要注意這個數(shù)值要勾選下方的顯示常用已發(fā)布數(shù)據(jù)才可見。

ID需要從第一個活動中訂閱，這是當(dāng)時那條滿足條件傳遞到第二活動的那條數(shù)據(jù)的ID。

三個功能到這里都已經(jīng)設(shè)計完成，最后我們來一個整體功能的驗證

Jack當(dāng)前是一個臨時為外包人員創(chuàng)建的賬號，Jack需要拿著這個賬戶去給服務(wù)器做巡檢，臨時申請1小時的domain admins權(quán)限

Jack提交申請后，甲方管理stat審批，審批通過后流程審批狀態(tài)更新為已通過，SCO捕捉到數(shù)據(jù)，傳遞到后面的活動執(zhí)行

流程執(zhí)行成功后，驗證賬戶已經(jīng)得到臨時權(quán)限

同時賬戶的數(shù)據(jù)被寫入到審計列表，權(quán)限是否回收為未回收，權(quán)限回收時間為空

外包人員通知甲方人員告知已經(jīng)完成巡檢，可以回收權(quán)限，甲方人員設(shè)置權(quán)限為需要回收即可

第二條Runbook流程捕捉到需要回收的數(shù)據(jù)傳入，將監(jiān)控到的數(shù)據(jù)傳遞給下一個腳本活動，腳本活動從AD組中移除用戶

第三個活動更新權(quán)限是否回收狀態(tài)為已回收，更新權(quán)限回收時間。

至此我們完整實現(xiàn)了所有規(guī)劃的PAM門戶功能，可以看到Sharepoint SCO PAM技術(shù)很好的工作在一起，三個組件相依相靠，實現(xiàn)最終可用的方案，在整個功能體系中，管理員需要時刻清楚，這個一個流程操作和下一個流程之間的關(guān)系，培養(yǎng)自己這種理解多個系統(tǒng)之間協(xié)作的能力，例如sharepoint輸入的數(shù)據(jù)要被傳到SCO，最終AD域執(zhí)行，sharepoint列表如果更新欄名稱，需要在SCO進行刷新，SCO要確保數(shù)據(jù)可以傳遞到AD正確執(zhí)行。

通過sharepoint作為門戶最大的好處是可以獲得靈活，我們可以定制自己需要的欄信息，可以自定義sharepoint里面的工作流，不需要面對復(fù)雜的MIM門戶部署，也不需要面對復(fù)雜的SCSM服務(wù)目錄堆棧，只需要額外再維護一個SCO即可。通過Sharepoint+SCO+N，將可以實現(xiàn)很多場景的需求，因為SCO和sharepoint的對接好，流程不用太復(fù)雜就可以把數(shù)據(jù)傳遞到其它系統(tǒng)執(zhí)行，強烈建議管理員們?nèi)チ私鈙harepoint 了解sco，在自己的企業(yè)里面實現(xiàn)跨系統(tǒng)的自動化流程，展現(xiàn)自己的價值。

事實上PAM并不是只有微軟提出的概念，這是一個安全業(yè)界里面公認的一個主要話題，企業(yè)在PAM進程里面，老王認為可以分為五個階段

1. 了解PAM概念，認識到重要性，認可要做PAM

2. 在企業(yè)里面開始規(guī)劃PAM，將技術(shù)與行政手段并行，如特權(quán)賬號必須滿足密碼復(fù)雜度要求，建立管理員組成員登記表，特權(quán)賬號在使用者離職后必須修改密碼，特權(quán)賬號必須和服務(wù)賬戶隔離，與外包人員簽訂項目時告知不得將臨時賬號用于應(yīng)用系統(tǒng)賬戶，臨時分配的管理賬戶將被禁用，要求外包人員規(guī)范化使用服務(wù)賬戶和管理賬號，識別權(quán)限申請，針對于臨時性權(quán)限，通過郵件等方式臨時授予，到達期限必須刪除。針對于應(yīng)用系統(tǒng)盡量使用最小化權(quán)限。

3. 了解PAM工具技術(shù)，如微軟AD2016 JIT ，JEA等概念，開始對環(huán)境內(nèi)先有管理員進行梳理，特權(quán)組只保留關(guān)鍵功能賬號，密碼高度安全，剩余個人管理賬戶疏解出特權(quán)組，開始通過powershell+人工操作授予試用。

4. 落地PAM應(yīng)用，使用sharepoint+sco或sco+scsm或mim2016或自開發(fā)Web系統(tǒng)構(gòu)建權(quán)限申請，權(quán)限審計門戶，對于特權(quán)權(quán)限使用，必須經(jīng)過申請，必須通過審批，必須通過歸檔審計，必須可以操作回收，以此實現(xiàn)PAM的操作-審計模型，對于特權(quán)賬戶保護，如果采用MIM作為安全門戶，可以設(shè)計在用戶申請權(quán)限時通過Azure MFA驗證才可以得到特權(quán)權(quán)限，如果使用sharepoint也可以設(shè)計在用戶登錄sharepoint時候通過Azure MFA或智能卡驗證。針對于重要服務(wù)器，管理員工作站安裝防病毒軟件，防竊取軟件。

5. 管理與應(yīng)用分離，徹底的將用戶個人管理賬戶，從現(xiàn)有生產(chǎn)林中剝離出來，構(gòu)建單獨的堡壘林，用于存放管理賬戶，當(dāng)需要執(zhí)行特權(quán)訪問的時候，再經(jīng)過門戶進行審批，依此降低生產(chǎn)林管理賬戶被破解，橫向攻機的風(fēng)險。

微軟特權(quán)訪問管理一文發(fā)出后，也有網(wǎng)友和老王討論過，關(guān)于堡壘林在國內(nèi)應(yīng)用的問題，不可否認，這確實是一件大動干戈的事情，要把管理賬戶梳理出來，生產(chǎn)林不存在管理賬戶，這并不是一件容易的事情，一定要對每個系統(tǒng)做好排查，確認沒有使用后再移除。但是到底值不值得就要企業(yè)結(jié)合自身需要的安全級別去做思考。

我和網(wǎng)友討論了一個很有意思的例子，我們把當(dāng)前單林單域應(yīng)用和管理賬戶一體的架構(gòu)稱為全火影忍者架構(gòu)，每個管理員都是火影忍者，那么惡意的管理員只要掌握一個忍者的特征就可以混進忍者高層，時效訪問資格是針對于一些需要臨時的任務(wù)，由下影經(jīng)過上影批準(zhǔn)后獲得臨時成為上影的權(quán)利，堡壘林的架構(gòu)是，除了村長和幾個必不可少的上影外，其它任何下影全部單獨拿出去變?yōu)榇迕?，平時和火影忍者沒有任何往來，當(dāng)需要執(zhí)行任務(wù)的時候，臨時申請變成忍者(加入安全主體)，任務(wù)結(jié)束的時候重新變成和和忍者沒有任何關(guān)系的普通村民

不知道大家是否有理解，所謂的堡壘林架構(gòu)，其實就是去壓縮hacker的破解空間，原來你可以去掃描生產(chǎn)林里面100個管理員，現(xiàn)在我生產(chǎn)林里面就只有5個，而且都是高權(quán)限，開啟了身份保護，當(dāng)執(zhí)行管理操作的時候呢，堡壘林的普通用戶會申請加入已經(jīng)創(chuàng)建好的安全主體，當(dāng)完成管理操作的時候堡壘林用戶又變成普通權(quán)限。將原來100個管理員，現(xiàn)在變成堡壘林的安全主體，需要的時候臨時將堡壘林用戶穿透過去執(zhí)行，生產(chǎn)林是看不到這些堡壘林用戶成員的，如果破解堡壘林用戶也沒有意義，因為堡壘林用戶日常就是普通權(quán)限，而且不一定每次是由那個堡壘林用戶來申請安全主體。

MS有時會說做到第五階段才叫PAM，老王卻以為未必要如此，企業(yè)要導(dǎo)入PAM，PAM的成功與否，還是看行政手段+技術(shù)手段最后是否有生效，內(nèi)部管理人員有多大程度上遵循PAM的規(guī)則來完成特權(quán)賬號的獲取，申請，審批，使用，記錄，操控，特權(quán)賬戶的生命周期有多大程度上是安全可控的。

針對于微軟PAM的未來，老王希望，下一步微軟能夠控制拿到JIT時效資格的管理員只能在有限的服務(wù)器上執(zhí)行管理操作，能夠?qū)崿F(xiàn)回收權(quán)限后自動關(guān)閉遠程撥入和郵箱功能，減少自身MIM門戶的部署復(fù)雜度，簡化JEA的設(shè)置步驟允許配置文件實時更新。

文章最后作為彩蛋，我們將實戰(zhàn)第五階段堡壘林，生產(chǎn)林架構(gòu)下如何利用Sharepoint+SCO，實現(xiàn)門戶請求陰影主體角色。

要做陰影主體申請，我們需要變更堡壘林Sharepoint的列表，把申請目標(biāo)組變?yōu)槟繕?biāo)主體角色，可以做成選項菜單，這里菜單的內(nèi)容需要是已經(jīng)在堡壘林里面創(chuàng)建好的陰影主體，這里我添加Domain admins，Enterprise admins，以及JEA定義的Automation admins角色。

修改IT權(quán)限申請列表如下

制作Runbook流程，第一個活動還是監(jiān)控Sharepoint列表，監(jiān)控流程審批為已通過的項目，通過databus傳遞給下一個活動

第二個活動也還是運行.NET腳本，復(fù)制這段腳本進去

$session = New-PSSession -Computer PRIVDC

Invoke-Command  -session $session -ScriptBlock {

Import-Module ActiveDirectory

Set-ADObject -Identity "CN=ABC-Domain Admins,CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=admin,DC=com" -Add @{'member'="<TTL=600,CN=Mike,OU=ITAccount,DC=admin,DC=com>"}

}

替換三個地方 1.CN=ABC-目標(biāo)主體角色 2.TTL=申請時間秒 3.CN=堡壘林賬戶

相信看完整篇文章的朋友都應(yīng)該知道老王這里在說什么，我就不再放出圖片指示，要注意空格問題，以及最后}號問題。

堡壘林用戶Mike登錄堡壘林Sharepoint，提交目標(biāo)主體權(quán)限申請

Stat審批通過后，Runbook捕捉數(shù)據(jù)，傳遞到下一個活動，腳本活動按照預(yù)先設(shè)置好的跨系統(tǒng)映射執(zhí)行。

打開堡壘林陰影主體，可以看到，mike用戶已經(jīng)作為生產(chǎn)林domain admins陰影主體的成員，此時堡壘林用戶mike通過陰影主體具備生產(chǎn)林domain admins組權(quán)限，可以登錄到生產(chǎn)林服務(wù)器，但將在時效性到達后自動移出陰影主體成員，或做第二個runbook支持管理員門戶操作移除權(quán)限。由此Sharepoint+SCO不僅可以實現(xiàn)本域內(nèi)時效性組資格申請，也可以做堡壘林架構(gòu)的跨林陰影主體申請。

以上是“如何使用Sharepoint+SCO實現(xiàn)PAM門戶”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

分享標(biāo)題：如何使用Sharepoint+SCO實現(xiàn)PAM門戶
本文鏈接：http://www.muchs.cn/article34/pgdgpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、營銷型網(wǎng)站建設(shè)、網(wǎng)站收錄、用戶體驗、定制網(wǎng)站、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)