Vault für Privileged Remote Access

Konten: Vault-Konten verwalten

Vault

Konten

Zeigen Sie Informationen zu allen erfassten und manuell hinzugefügten Konten an und verwalten Sie sie.

Vault kann bis zu 60.000 Konten importieren, rotieren und verwalten.

Zu den verfügbaren Informationen zu geteilten Konten gehören:

  • Typ: Der Kontotyp, insbesondere, ob es sich um ein Domänenkonto oder ein lokales Konto oder ein generisches Passwort-Konto handelt.
  • Name: Der Name des Kontos.
  • Benutzername: Der mit dem Konto verknüpfte Benutzername.
  • Gruppe: Der Name der Kontogruppe, der das Konto angehört.
  • Endpunkt: Der Endpunkt, mit dem das Konto verknüpft ist.
  • Kontorichtlinie: Die mit dem Vault-Konto verbundene Kontorichtlinie.
  • Beschreibung: Kurzbeschreibung zum Konto.
  • Letzter Checkout: Das letzte Mal, an dem das Konto ausgecheckt worden ist.
  • Passwortalter: Das Alter des Passworts.
  • Status: Der Status des Kontos. In dieser Spalte werden z. B. Warnungen, Fehler und ob man vom Konto abgemeldet ist, angezeigt. Diese Spalte wird automatisch ausgeblendet, wenn es für keine Konten einen Status anzugeben gibt. Mehrere Statusangaben werden gestapelt und in verschiedenen Farben angezeigt. Sie können mit dem Mauszeiger über einen bestimmten Status fahren, um weitere Details zu diesem anzuzeigen.

Sie können die Liste der geteilten Konten, die angezeigt werden, anhand der Filter für Gruppe und Passwortalter filtern.

Anhand dieser Informationen können Sie verschiedene Aktionen ausführen, wie beispielsweise das Auschecken von Anmeldedaten, das Einchecken und die Anmeldedaten-Rotation.

Zu den verfügbaren Informationen über persönliche Konten gehören:

  • Typ: Der Kontotyp, insbesondere, ob es sich um ein Domänenkonto oder ein lokales Konto oder ein generisches Passwort-Konto handelt.
  • Name: Der Name des Kontos.
  • Eigentümer: Der Name der Person, die das Konto erstellt hat und besitzt.
  • Beschreibung: Kurzbeschreibung zum Konto.
  • Passwortalter: Das Alter des Passworts.

Sie können die Liste der persönlichen Konten, die angezeigt werden, nach Eigentümer und Passwortalter filtern.

Konten

Konto hinzufügen

Klicken Sie auf Hinzufügen, um manuell geteilte oder persönliche generische Konten zum BeyondTrust-Vault hinzuzufügen.

Freigegebene Konten durchsuchen

Suchen Sie anhand von Name, Endpunkt-Name oder Beschreibung nach einem bestimmten freigegebenen Konto oder einer Gruppe von Konten.

Sichtbare Spalten auswählen

Klicken Sie auf die Schaltfläche Sichtbare Spalten auswählen (Spaltensymbol) über dem Raster Konten und wählen Sie die Spalten, die im Raster angezeigt werden sollen.

Auschecken und Einchecken eines geteilten Kontos

Klicken Sie auf Auschecken, um einen Satz geteilter Anmeldedaten anzuzeigen und zu verwenden. Nach der entsprechenden Auswahl wird die Eingabeaufforderung Konto-Passwort angezeigt, und der Anmeldedaten-Satz wird für 60 Sekunden angezeigt, damit Sie das Passwort kopieren können. Sobald die Eingabeaufforderung geschlossen ist, wird die Option Einchecken verfügbar. Wenn Sie mit der Nutzung des Kontos fertig sind, klicken Sie auf Einchecken, um das Passwort wieder im System einzuchecken.

Weitere Informationen finden Sie in Anmeldedaten von der PRA /login-Schnittstelle auschecken.

Ellipsis-Menü für geteilte Konten

Klicken Sie auf die Ellipse (...), um weitere Aktionen anzuzeigen, wie Passwort rotieren, Bearbeiten und Löschen. Wenn Passwort rotieren ausgewählt ist, rotiert oder ändert das System das Passwort automatisch. Wenn Bearbeiten ausgewählt ist, können Sie die Informationen des Kontos ändern. Über die Option Löschen entfernen Sie das Konto aus der Liste Konten.

Weitere Informationen finden Sie in Privilegierte Anmeldedaten mit BeyondTrust Vault rotieren.

Persönliche Konten durchsuchen

Suchen Sie anhand von Name und Beschreibung nach einem bestimmten persönlichen Konto oder einer Gruppe von Konten.

Passwort für persönliche Konten anzeigen

Klicken Sie auf Passwort anzeigen, um persönliche Anmeldedaten anzuzeigen und zu verwenden. Nach der entsprechenden Auswahl wird die Eingabeaufforderung Konto-Passwort angezeigt, und der Anmeldedaten-Satz wird für 60 Sekunden angezeigt, damit Sie das Passwort kopieren können.

Persönliches Konto bearbeiten

Klicken Sie auf Konto bearbeiten, um die Kontoinformationen zu ändern, insbesondere Name, Beschreibung, Benutzername und Passwort.

Geteiltes Konto hinzufügen

Anhand der Option Hinzufügen > Geteiltes generisches Konto können Sie Konten hinzufügen, ohne einen Discovery-Auftrag ausführen zu müssen. Stattdessen können Sie manuell Informationen zum Konto eingeben. Diese Option ist in Situationen nützlich, in denen ein geteiltes Konto oder eine Kombination aus Benutzername und Passwort verwendet werden kann, um auf viele verschiedene Systeme zuzugreifen.

Name

Geben Sie einen Namen für das Konto ein.

Beschreibung

Geben Sie eine knappe, aber prägnante Beschreibung für das Konto ein.

Benutzername

Geben Sie den Benutzernamen für das Konto an.

Authentifizierung

Wählen Sie die Authentifizierungsmethode für das Konto aus: Passwort, Privater SSH-Schlüssel oder Privater SSH-Schlüssel mit Zertifikat.

Wenn Sie einen privaten SSH-Schlüssel zur Authentifizierung verwenden, müssen Sie einen privaten Schlüssel für das Konto im OpenSSH-Format angeben. Optional können Sie die mit dem privaten Schlüssel verknüpfte Passphrase eingeben.

Passwort

Wird zur Authentifizierung Passwort ausgewählt, müssen Sie das Passwort für das Konto eingeben und das Passwort dann bestätigen.

Privater SSH-Schlüssel

Wird zur Authentifizierung Privater SSH-Schlüssel ausgewählt, müssen Sie den privaten SSH-Schlüssel für das Konto eingeben, sowie gegebenenfalls die SSH-Schlüssel-Passphrase.

Privater SSH-Schlüssel mit Zertifikat

Wird zur Authentifizierung Privater SSH-Schlüssel mit Zertifikat ausgewählt, müssen Sie den privaten SSH-Schlüssel für das Konto eingeben, sowie gegebenenfalls die SSH-Schlüssel-Passphrase. Sie müssen auch das öffentliche SSH-Zertifikat für das Konto angeben.

Kontorichtlinie

Wählen Sie eine bestimmte Richtlinie für das Konto aus oder belassen Sie Konto-Richtlinie auf dem Standardwert Richtlinieneinstellungen übernehmen. In diesem Fall übernimmt das Konto die Richtlinieneinstellungen der Kontogruppe. Wenn für das Konto keine Kontogruppe ausgewählt wird, übernimmt das Konto die Richtlinieneinstellungen, die für die globale Standardkontorichtlinie auf der Seite Vault > Optionen festgelegt wurden.

Kontogruppe

Wählen Sie eine Gruppe aus der Liste aus, die dem geteilten Konto einer Kontogruppe hinzugefügt werden soll. Wenn keine Gruppe ausgewählt ist, wird das Konto der Standardgruppe hinzugefügt.

Gruppenrichtlinien

Wenn die Kontengruppe zu Gruppenrichtlinien hinzugefügt wurde, werden sie hier zusammen mit ihren Vault-Kontorollen aufgeführt.

Kontobenutzer

Neuer Benutzername

Legen Sie fest, welche Benutzer auf dieses Konto zugreifen können.

Neue Mitgliedsrolle

Wählen Sie die Vault-Kontorolle für den neuen Benutzer aus und klicken Sie dann auf Hinzufügen. Benutzern kann eine von zwei Rollen zugewiesen werden:

  • Einfügen (Standardwert): Benutzer mit dieser Rolle können dieses Konto in Privileged Remote Access-Sitzungen verwenden.
  • Einfügen und auschecken: Benutzer mit dieser Rolle können dieses Konto in Privileged Remote Access-Sitzungen verwenden und das Konto auf /login auschecken. Die Berechtigung Auschecken hat keinen Einfluss auf generische SSH-Konten.

Die Vault-Konto-Rolle ist in der Liste der dem Vault-Konto hinzugefügten Benutzer sichtbar.

Bei der Aktualisierung auf eine BeyondTrust Privileged Remote Access-Installation mit der Funktion Konfigurierbarer Vault-Checkout haben alle bestehenden Vault-Konto-Mitgliedschaften, die vor der Aktualisierung in den Gruppenrichtlinien konfiguriert wurden, ihre Vault-Konto-Rolle nach der Aktualisierung standardmäßig auf Eingeben und Auschecken eingestellt.

 

Priorität der Vault-Konto-Rolle: Vault-Konto-Rollen können sowohl Benutzern als auch Gruppenrichtlinien zugewiesen werden. Das bedeutet, dass ein und derselbe Benutzer verschiedene Rollen für ein einziges Vault-Konto haben kann. Eine Rolle kann durch die Gruppenrichtlinien des Benutzers zugewiesen werden, während eine andere Rolle durch den expliziten Zugriff des Benutzers auf das Vault-Konto zugewiesen werden kann. In solchen Fällen verwendet das System die spezifischste Rolle für diesen Benutzer. Daher lässt das System die auf der Seite Vault-Konto bearbeiten zugewiesene Rolle die in der Gruppenrichtlinie des Benutzers zugewiesene Rolle überschreiben. Wenn die Rolle auf diese Weise überschrieben wird, erscheint das Wort überschrieben auf der Seite Vault-Konto bearbeiten für die Gruppenrichtlinien-Mitgliedschaft des Benutzers. Dieses Verhalten entspricht der Rangfolge der Jump-Element-Rollen.

Benutzerkonten mit der Berechtigung Kann Vault verwalten ist es ausdrücklich gestattet, auf jedes Vault-Konto zuzugreifen.

Jump-Item-Verknüpfungen

Wählen Sie den Typ der Jump-Item-Verknüpfungen für das Konto. Die Einstellung Jump-Item-Verknüpfungen legt fest, mit welchen Jump-Items das Konto verknüpft ist, sodass das Konto nur für die entsprechenden Zielcomputer in der access console bei Anmeldedaten-Eingabeversuchen verfügbar ist. Wählen Sie eine der folgenden Verknüpfungsmethoden:

  • Von der Kontogruppe übernommen: Die Verknüpfungen für dieses Konto werden durch die in der Kontogruppe dieses Kontos definierten Verknüpfungen bestimmt.
  • Beliebige Jump-Items: Dieses Konto kann in jede Sitzung injiziert werden, die von einem Jump-Item aus gestartet wird, in dem das Konto anwendbar ist.
  • Keine Jump-Items: Dieses Konto kann nicht in eine Sitzung eingefügt werden, die über ein Jump-Item gestartet wird.
  • Abgleichkriterien für Jump-Items: Dieses Konto kann nur in Sitzungen eingefügt werden, die von Jump-Items gestartet werden, die den von Ihnen definierten Kriterien entsprechen, in denen das Konto anwendbar ist.
    • Sie können direkte Verknüpfungen zwischen Vault-Konten und bestimmten Jump-Items definieren, indem Sie die Jump-Items in der Liste auswählen und dann auf Jump-Item hinzufügen klicken.
    • Sie können die Verknüpfungen zwischen Vault-Konten und Jump-Items weiter definieren, indem Sie Abgleichkriterien auf der Grundlage der folgenden Jump-Item-Attribute angeben. Wenn das Konto konfiguriert ist, steht es für die Injektion für alle Jump-Items zur Verfügung, die den angegebenen Attributkriterien entsprechen, zusätzlich zu den spezifischen Jump-Items, die Sie als Übereinstimmungskriterien hinzugefügt haben.
      • Freigegebene Jump-Gruppen: Wählen Sie eine Jump-Gruppe aus der Liste aus.
      • Name: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Name des Jump-Items in der access console erscheint.
      • Hostname/IP: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Hostname/IP des Jump-Items in der access console erscheint.
      • Tag: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Tag des Jump-Items in der access console erscheint.
      • Kommentare: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Kommentare des Jump-Items in der access console erscheint.

Klicken Sie für jede Option und jedes Attribut auf das Symbol i, um genauere Informationen darüber zu erhalten.

Lokale Konten sind für die Injektion innerhalb der Endpunkte verfügbar, auf denen sie entdeckt wurden.

Persönliches Konto hinzufügen

Anhand der Option Hinzufügen > Persönliches generisches Konto können Sie Konten hinzufügen.

Name

Geben Sie einen Namen für das Konto ein.

Beschreibung

Geben Sie eine knappe, aber prägnante Beschreibung für das Konto ein.

Benutzername

Geben Sie den Benutzernamen für das Konto an.

Authentifizierung

Wählen Sie die Authentifizierungsmethode für das Konto aus: Passwort, Privater SSH-Schlüssel oder Privater SSH-Schlüssel mit Zertifikat.

Wenn Sie einen privaten SSH-Schlüssel zur Authentifizierung verwenden, müssen Sie einen privaten Schlüssel für das Konto im OpenSSH-Format angeben. Optional können Sie die mit dem privaten Schlüssel verknüpfte Passphrase eingeben.

Passwort

Wird zur Authentifizierung Passwort ausgewählt, müssen Sie das Passwort für das Konto eingeben und das Passwort dann bestätigen.

Privater SSH-Schlüssel

Wird zur Authentifizierung Privater SSH-Schlüssel ausgewählt, müssen Sie den privaten SSH-Schlüssel für das Konto eingeben, sowie gegebenenfalls die SSH-Schlüssel-Passphrase.

Privater SSH-Schlüssel mit Zertifikat

Wird zur Authentifizierung Privater SSH-Schlüssel mit Zertifikat ausgewählt, müssen Sie den privaten SSH-Schlüssel für das Konto eingeben, sowie gegebenenfalls die SSH-Schlüssel-Passphrase. Sie müssen auch das öffentliche SSH-Zertifikat für das Konto angeben.

Lokales Konto bearbeiten

Name

Zeigen Sie den für das Konto verwendeten Namen an oder bearbeiten Sie ihn.

Beschreibung

Zeigen Sie die Beschreibung des Kontos an oder bearbeiten Sie sie.

Benutzername

Zeigen Sie den mit dem Konto verknüpften Benutzernamen an.

Passwort

Geben Sie ein neues Passwort für das Konto an oder lassen Sie das Feld leer, um das vorhandene Passwort zu behalten. Bestätigen Sie das eingegebene Passwort.

Passwortalter

Zeigen Sie das Alter des vorhandenen Passworts an.

Kontorichtlinie

Wählen Sie eine bestimmte Richtlinie für das Konto aus oder belassen Sie Konto-Richtlinie auf dem Standardwert Richtlinieneinstellungen übernehmen. In diesem Fall übernimmt das Konto die Richtlinieneinstellungen der Kontogruppe. Wenn für das Konto keine Kontogruppe ausgewählt wird, übernimmt das Konto die Richtlinieneinstellungen, die für die globale Standardkontorichtlinie auf der Seite Vault > Optionen festgelegt wurden.

Kontogruppe

Wählen Sie eine Gruppe aus der Liste aus, die dem geteilten Konto einer Kontogruppe hinzugefügt werden soll. Wenn keine Gruppe ausgewählt ist, wird das Konto der Standardgruppe hinzugefügt.

Name des Endpunkts

Zeigen Sie an, welcher Endpunkt bzw. welche Endpunkte mit dem Konto verknüpft sind.

Hostname des Endpunkts

Zeigen Sie den Hostnamen der verknüpften Endpunkte an.

Kontobenutzer

Legen Sie fest, welche Benutzer auf dieses Konto zugreifen können, sowie ihre Vault-Kontorolle, und klicken Sie dann auf Hinzufügen.

Benutzerkonten mit der Berechtigung Kann Vault verwalten ist es ausdrücklich gestattet, auf jedes Vault-Konto zuzugreifen.

Jump-Item-Verknüpfungen

Wählen Sie den Typ der Jump-Item-Verknüpfungen für das Konto. Die Einstellung Jump-Item-Verknüpfungen legt fest, mit welchen Jump-Items das Konto verknüpft ist, sodass das Konto nur für die entsprechenden Zielcomputer in der access console bei Anmeldedaten-Eingabeversuchen verfügbar ist. Wählen Sie eine der folgenden Verknüpfungsmethoden:

  • Von der Kontogruppe übernommen: Die Verknüpfungen für dieses Konto werden durch die in der Kontogruppe dieses Kontos definierten Verknüpfungen bestimmt.
  • Beliebige Jump-Items: Dieses Konto kann in jede Sitzung injiziert werden, die von einem Jump-Item aus gestartet wird, in dem das Konto anwendbar ist.
  • Keine Jump-Items: Dieses Konto kann nicht in eine Sitzung eingefügt werden, die über ein Jump-Item gestartet wird.
  • Abgleichkriterien für Jump-Items: Dieses Konto kann nur in Sitzungen eingefügt werden, die von Jump-Items gestartet werden, die den von Ihnen definierten Kriterien entsprechen, in denen das Konto anwendbar ist.
    • Sie können direkte Verknüpfungen zwischen Vault-Konten und bestimmten Jump-Items definieren, indem Sie die Jump-Items in der Liste auswählen und dann auf Jump-Item hinzufügen klicken.
    • Sie können die Verknüpfungen zwischen Vault-Konten und Jump-Items weiter definieren, indem Sie Abgleichkriterien auf der Grundlage der folgenden Jump-Item-Attribute angeben. Wenn das Konto konfiguriert ist, steht es für die Injektion für alle Jump-Items zur Verfügung, die den angegebenen Attributkriterien entsprechen, zusätzlich zu den spezifischen Jump-Items, die Sie als Übereinstimmungskriterien hinzugefügt haben.
      • Freigegebene Jump-Gruppen: Wählen Sie eine Jump-Gruppe aus der Liste aus.
      • Name: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Name des Jump-Items in der access console erscheint.
      • Hostname/IP: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Hostname/IP des Jump-Items in der access console erscheint.
      • Tag: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Tag des Jump-Items in der access console erscheint.
      • Kommentare: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Kommentare des Jump-Items in der access console erscheint.

Klicken Sie für jede Option und jedes Attribut auf das Symbol i, um genauere Informationen darüber zu erhalten.

Lokale Konten sind für die Injektion innerhalb der Endpunkte verfügbar, auf denen sie entdeckt wurden.

Domänenkonto bearbeiten

Name

Zeigen Sie den für das Konto verwendeten Namen an oder bearbeiten Sie ihn.

Beschreibung

Zeigen Sie die Beschreibung des Kontos an oder bearbeiten Sie sie.

Benutzername

Zeigen Sie den mit dem Konto verknüpften Benutzernamen an.

Passwort

Geben Sie ein neues Passwort für das Konto an oder lassen Sie das Feld leer, um das vorhandene Passwort zu behalten. Bestätigen Sie das eingegebene Passwort.

Passwortalter

Zeigen Sie das Alter des vorhandenen Passworts an.

Eindeutiger Name

Zeigen Sie den eindeutigen Namen des Kontos an.

Kontorichtlinie

Wählen Sie eine bestimmte Richtlinie für das Konto aus oder belassen Sie Konto-Richtlinie auf dem Standardwert Richtlinieneinstellungen übernehmen. In diesem Fall übernimmt das Konto die Richtlinieneinstellungen der Kontogruppe. Wenn für das Konto keine Kontogruppe ausgewählt wird, übernimmt das Konto die Richtlinieneinstellungen, die für die globale Standardkontorichtlinie auf der Seite Vault > Optionen festgelegt wurden.

Kontogruppe

Wählen Sie eine Gruppe aus der Liste aus, die dem geteilten Konto einer Kontogruppe hinzugefügt werden soll. Wenn keine Gruppe ausgewählt ist, wird das Konto der Standardgruppe hinzugefügt.

Kontobenutzer

Legen Sie fest, welche Benutzer auf dieses Konto zugreifen können, sowie ihre Vault-Kontorolle, und klicken Sie dann auf Hinzufügen.

Benutzerkonten mit der Berechtigung Kann Vault verwalten ist es ausdrücklich gestattet, auf jedes Vault-Konto zuzugreifen.

Jump-Item-Verknüpfungen

Wählen Sie den Typ der Jump-Item-Verknüpfungen für das Konto. Die Einstellung Jump-Item-Verknüpfungen legt fest, mit welchen Jump-Items das Konto verknüpft ist, sodass das Konto nur für die entsprechenden Zielcomputer in der access console bei Anmeldedaten-Eingabeversuchen verfügbar ist. Wählen Sie eine der folgenden Verknüpfungsmethoden:

  • Von der Kontogruppe übernommen: Die Verknüpfungen für dieses Konto werden durch die in der Kontogruppe dieses Kontos definierten Verknüpfungen bestimmt.
  • Beliebige Jump-Items: Dieses Konto kann in jede Sitzung injiziert werden, die von einem Jump-Item aus gestartet wird, in dem das Konto anwendbar ist.
  • Keine Jump-Items: Dieses Konto kann nicht in eine Sitzung eingefügt werden, die über ein Jump-Item gestartet wird.
  • Abgleichkriterien für Jump-Items: Dieses Konto kann nur in Sitzungen eingefügt werden, die von Jump-Items gestartet werden, die den von Ihnen definierten Kriterien entsprechen, in denen das Konto anwendbar ist.
    • Sie können direkte Verknüpfungen zwischen Vault-Konten und bestimmten Jump-Items definieren, indem Sie die Jump-Items in der Liste auswählen und dann auf Jump-Item hinzufügen klicken.
    • Sie können die Verknüpfungen zwischen Vault-Konten und Jump-Items weiter definieren, indem Sie Abgleichkriterien auf der Grundlage der folgenden Jump-Item-Attribute angeben. Wenn das Konto konfiguriert ist, steht es für die Injektion für alle Jump-Items zur Verfügung, die den angegebenen Attributkriterien entsprechen, zusätzlich zu den spezifischen Jump-Items, die Sie als Übereinstimmungskriterien hinzugefügt haben.
      • Freigegebene Jump-Gruppen: Wählen Sie eine Jump-Gruppe aus der Liste aus.
      • Name: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Name des Jump-Items in der access console erscheint.
      • Hostname/IP: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Hostname/IP des Jump-Items in der access console erscheint.
      • Tag: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Tag des Jump-Items in der access console erscheint.
      • Kommentare: Dieser Filter wird mit dem Wert abgeglichen, der in der Spalte Kommentare des Jump-Items in der access console erscheint.

Klicken Sie für jede Option und jedes Attribut auf das Symbol i, um genauere Informationen darüber zu erhalten.

Lokale Konten sind für die Injektion innerhalb der Endpunkte verfügbar, auf denen sie entdeckt wurden.

Persönliches generisches (Passwort) Konto bearbeiten

Name

Geben Sie einen Namen für das Konto ein.

Beschreibung

Geben Sie eine knappe, aber prägnante Beschreibung für das Konto ein.

Benutzername

Geben Sie den Benutzernamen für das Konto an.

Passwort und Bestätigung des Passworts

Wird zur Authentifizierung Passwort ausgewählt, müssen Sie das Passwort für das Konto eingeben und das Passwort dann bestätigen.