Vault voor Privileged Remote Access

Accounts: Vault-accounts beheren

Vault

Accounts

Informatie over alle gedetecteerde en handmatig toegevoegde accounts bekijken en beheren.

Vault kan tot 60.000 accounts importeren, roteren en beheren.

Beschikbare informatie voor gedeelde accounts bevat onder meer:

  • Type: Het type account, specifiek of het een domeinaccount of een lokaal account is, of een algemeen account met een wachtwoord.
  • Naam: De naam van het account.
  • Gebruikersnaam: De gebruikersnaam die bij het account hoort.
  • Groep: De naam van de accountgroep waartoe het account behoort.
  • Eindpunt: Het eindpunt dat aan het account is gekoppeld.
  • Accountbeleid: Het accountbeleid dat het Vault-account gebruikt.
  • Beschrijving: Korte beschrijving van het account.
  • Laatst uitgecheckt: De laatste keer dat het account is uitgecheckt.
  • Wachtwoordleeftijd: De leeftijd van het wachtwoord.
  • Status: De status van het account. In deze kolom worden bijvoorbeeld waarschuwingen en fouten weergegeven en of het account uitgecheckt is. Deze kolom wordt automatisch verborgen als er geen statussen zijn om weer te geven voor accounts. Meerdere statussen worden gestapeld en met verschillende kleuren aangeduid. U kunt met de muis over een specifieke status bewegen om meer details te bekijken.

U kunt de weergegeven lijst met gedeelde accounts aanpassen met behulp van de filters voor Groep en Wachtwoordleeftijd.

Op basis van deze informatie kunt u diverse acties uitvoeren, waaronder inchecken/uitchecken van inloggegevens en rotatie van inloggegevens.

Beschikbare informatie voor persoonlijke accounts bevat onder meer:

  • Type: Het type account, specifiek of het een domeinaccount of een lokaal account is, of een algemeen account met een wachtwoord.
  • Naam: De naam van het account.
  • Eigenaar: De naam van de persoon die het account heeft aangemaakt en de eigenaar ervan is.
  • Beschrijving: Korte beschrijving van het account.
  • Wachtwoordleeftijd: De leeftijd van het wachtwoord.

U kunt de weergegeven lijst met persoonlijke accounts filteren op Eigenaar en Wachtwoordleeftijd.

Accounts

Account toevoegen

Klik op Toevoegen om handmatig gedeelde of persoonlijke algemene accounts toe te voegen aan de BeyondTrust-Vault.

Roteren

Selecteer een of meerdere gedeelde generieke accounts, klik op Roteren en klik daarna op Rotatie starten.

  • Service-accounts die actief zijn in een omgeving met een cluster voor automatische omschakeling kunnen niet worden geroteerd. De foutmelding "Cluster voor automatische omschakeling gedetecteerd. Het uitvoeren als-wachtwoord voor de service <service_name> kan niet worden gewijzigd" wordt weergegeven wanneer er een poging wordt ondernomen om te roteren. In de kolom Status wordt verder Rotatie mislukt weergegeven voor de service.
  • Services die gebruikmaken van een Microsoft Graph-account als het Uitvoeren als-account kunnen niet worden geroteerd.
  • Services met afhankelijke services kunnen niet worden geroteerd vanwege het risico dat services binnen de serviceketen niet goed opnieuw worden gestart.

Raadpleeg Bevoorrechte inloggegevens wisselen met BeyondTrust Vault voor meer informatie.

Gedeelde accounts zoeken

Zoek naar een specifieke gedeelde account of een groep accounts op basis van Naam, Eindpuntnaam en Beschrijving.

Selecteer zichtbare kolommen

Klik op de knop (kolommenpictogram) Zichtbare kolommen selecteren boven het Accounts-raster en selecteer de kolommen die in het raster moeten worden weergegeven.

Inchecken en uitchecken bij een gedeeld account

Klik op Uitchecken om inloggegevens van een gedeeld account weer te geven en te gebruiken. Wanneer het is geselecteerd verschijnt de prompt Accountwachtwoord, waarin de inloggegevens 60 seconden lang worden getoond zodat u het wachtwoord kunt kopiëren. Wanneer de prompt wordt gesloten, komt de optie Inchecken beschikbaar. Klik wanneer u klaar bent met het gebruik van het account op Inchecken om het wachtwoord terug in het systeem in te checken.

Zie voor meer informatie Inloggegevens uitchecken uit de PRA /login-interface.

Ellipsis-menu voor gedeelde accounts

Klik op Ellipsis (...) om meer acties te bekijken, zoals Wachtwoord roteren, Bewerken en Verwijderen. Wanneer Wachtwoord roteren is geselecteerd, roteert of wijzigt het systeem automatisch het wachtwoord. Als Bewerken is geselecteerd, kunt u de informatie van het account aanpassen. Met de optie Verwijderen wordt het account verwijderd uit de lijst Accounts.

  • Service-accounts die actief zijn in een omgeving met een cluster voor automatische omschakeling kunnen niet worden geroteerd. De foutmelding "Cluster voor automatische omschakeling gedetecteerd. Het uitvoeren als-wachtwoord voor de service <service_name> kan niet worden gewijzigd" wordt weergegeven wanneer er een poging wordt ondernomen om te roteren. In de kolom Status wordt verder Rotatie mislukt weergegeven voor de service.
  • Services die gebruikmaken van een Microsoft Graph-account als het Uitvoeren als-account kunnen niet worden geroteerd.
  • Services met afhankelijke services kunnen niet worden geroteerd vanwege het risico dat services binnen de serviceketen niet goed opnieuw worden gestart.

Raadpleeg Bevoorrechte inloggegevens wisselen met BeyondTrust Vault voor meer informatie.

In persoonlijke accounts zoeken

Zoeken naar een specifiek account of een groep accounts op basis van Naam en Beschrijving.

Wachtwoord voor persoonlijk account bekijken

Klik op Wachtwoord bekijken om inloggegevens weer te geven en te gebruiken. Wanneer het is geselecteerd verschijnt de prompt Accountwachtwoord, waarin de inloggegevens 60 seconden lang worden getoond zodat u het wachtwoord kunt kopiëren.

Persoonlijk account bewerken

Klik op Account bewerken om de accountgegevens aan te passen, specifiek de Naam, Beschrijving, Gebruikersnaam en het Wachtwoord.

Gedeeld account toevoegen

Met de optie Toevoegen > Gedeeld algemeen account kunt u accounts toevoegen zonder een detectietaak uit te moeten voeren. In plaats daarvan kunt u handmatig informatie over het account invoeren. Deze optie is handig in situaties waar een gedeeld account of een combinatie gebruikersnaam/wachtwoord kan worden gebruikt om toegang te krijgen tot veel verschillende systemen.

Naam

Voer een naam in voor het account.

Beschrijving

Voer een korte en makkelijk te onthouden beschrijving van het account in.

Gebruikersnaam

Geef de gebruikersnaam voor het account op.

Verificatie

Selecteer de verificatiemethode voor het account: Wachtwoord, SSH-privésleutel of SSH-privésleutel met certificaat.

Als u een privé SSH-sleutel gebruikt voor de verificatie, moet u een privésleutel opgeven voor het account in OpenSSH-indeling. Optioneel kunt u de wachtwoordzin die bij de privésleutel hoort bijvoegen.

Wachtwoord

Wanneer Wachtwoord is geselecteerd voor verificatie moet u het wachtwoord voor het account invoeren en het wachtwoord bevestigen.

SSH-privésleutel

Wanneer SSH-privésleutel is geselecteerd voor verificatie moet u de SSH-privésleutel voor het account invoeren, alsmede de wachtwoordzin voor de SSH-privésleutel, indien van toepassing.

SSH-privésleutel met certificaat

Wanneer SSH-privésleutel met certificaat is geselecteerd voor verificatie moet u de SSH-privésleutel voor het account invoeren, alsmede de wachtwoordzin voor de SSH-privésleutel, indien van toepassing. U moet ook het openbare SSH-certificaat voor het account verstrekken.

Accountbeleid

Selecteer een specifiek beleid voor het account of laat Accountbeleid ingesteld op de standaardwaarde van Beleidsinstellingen overnemen; in het laatste geval neemt het account de beleidsinstellingen over van de accountgroep. Als er geen accountgroep is geselecteerd voor het account, neemt het account de beleidsinstellingen voor het algemene standaard accountbeleid op de pagina Vault > Opties over.

Accountgroep

Selecteer een groep uit de lijst om het gedeelde account toe te voegen aan een accountgroep. Als er geen groep wordt geselecteerd, wordt het account toegevoegd aan de Standaardgroep.

Groepsbeleidslijnen

Als het account is toegevoegd aan een of meerdere groepsbeleidslijnen, dan staan die hier vermeld met de bijbehorende Vault-accountrollen.

Accountgebruikers

Nieuwe gebruikersnaam

Selecteer gebruikers die toegang tot dit account hebben.

Rol nieuw lid

Selecteer de Vault-accountrol voor de nieuwe gebruiker en klik vervolgens op Toevoegen. Er kan een van de volgende twee rollen aan gebruikers worden toegewezen:

  • Injecteren: (standaardwaarde) Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies.
  • Injecteren en uitchecken: Gebruikers met deze rol kunnen dit account gebruiken in Privileged Remote Access-sessies en het account uitchecken op /login. De machtiging Uitchecken heeft geen invloed op generieke SSH-accounts.

De Vault account-rol is zichtbaar in de lijst met gebruikers die aan het Vault-account zijn toegevoegd.

Als er een BeyondTrust Privileged Remote Access-installatie wordt geüpgraded met de functie Configureerbare Vault uitchecken zal de Vault-accountrol na de upgrade standaard op Injecteren en uitchecken worden ingesteld voor alle bestaande Vault-accountlidmaatschappen die voorafgaand aan de upgrade in Groepsbeleidslijnen werden geconfigureerd.

 

Voorrang voor Vault-accountrol: Vault-accountrollen kunnen aan zowel gebruikers als groepsbeleidslijnen worden toegewezen. Dit betekent dat dezelfde gebruiker verschillende rollen kan hebben voor één Vault-account. Er kan een rol door de groepsbeleidslijnen van de gebruiker worden toegewezen, terwijl er een andere rol kan worden toegewezen op grond van de expliciete toegang van de gebruiker tot het Vault-account. Het systeem gebruikt in deze gevallen de meest specifieke rol voor die gebruiker. Het systeem zal de rol die op de pagina Vault-account bewerken is toegewezen dan prevaleren boven de rol die in het groepsbeleid van de gebruiker is toegewezen. Als de rol op deze manier wordt overschreven, wordt het woord overschreven weergegeven op de pagina Vault-account bewerken voor het lidmaatschap van de gebruiker voor het groepsbeleid. Dit gedrag is consistent met de volgorde van voorrang voor Jumpitem-rollen.

Gebruikersaccounts met de machtiging Toestemming voor het beheer van Vault hebben impliciet toestemming om toegang te krijgen tot elk Vault-account.

Jumpitem-koppelingen

Selecteer het type Jumpitem-koppelingen voor het account. De instelling Jumpitem-koppelingen bepaalt aan welke Jumpitems het account is gekoppeld, zodat het account alleen beschikbaar is voor relevante doelmachines in de toegangsconsole tijdens pogingen om inloggegevens te injecteren. Selecteer een van de volgende koppelingsmethodes:

  • Overgenomen van de accountgroep: Koppelingen voor dit account worden bepaald door de koppelingen die zijn gedefinieerd in de Accountgroep van dit account.
  • Alle Jumpitems: Dit account kan worden geïnjecteerd in een sessie die is gestart vanaf een Jumpitem waar het account van toepassing is.
  • Geen Jumpitems: Dit account kan niet worden geïnjecteerd in een sessie die is gestart vanaf een Jumpitem.
  • Matchingcriteria voor Jumpitems: Dit account kan alleen worden geïnjecteerd in sessies gestart vanaf Jumpitems die overeenkomen met de gedefinieerde criteria, waar het account van toepassing is.
    • U kunt een directe koppeling tussen Vault-accounts en specifieke Jumpitems definiëren door de Jumpitems te selecteren uit de lijst, en vervolgens te klikken op Jumpitem toevoegen.
    • U kunt de koppeling tussen Vault-accounts en Jumpitems verder definiëren door matchingcriteria te specificeren op basis van de volgende Jumpitem-kenmerken. Indien geconfigureerd, is het account beschikbaar voor injectie voor alle Jumpitems die overeenkomen met de gespecificeerde criteria voor kenmerken, bovenop alle specifieke Jumpitems die u hebt toegevoegd als matchingcriteria.
      • Gedeelde Jumpgroepen: Selecteer een Jumpgroep uit de lijst.
      • Naam: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Naam van het Jumpitem in de toegangsconsole.
      • Hostnaam/IP-adres: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Hostnaam / IP van het Jumpitem in de toegangsconsole.
      • Tag: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Label van het Jumpitem in de toegangsconsole.
      • Opmerkingen: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Opmerkingen van het Jumpitem in de toegangsconsole.

Klik op het i-pictogram voor elke optie en kenmerk om specifiekere informatie hierover te bekijken.

Lokale accounts zijn beschikbaar voor injectie binnen de eindpunten waarop ze zijn gevonden.

Persoonlijk account toevoegen

Met de optie Toevoegen > Persoonlijk algemeen account kunt u accounts toevoegen.

Naam

Voer een naam in voor het account.

Beschrijving

Voer een korte en makkelijk te onthouden beschrijving van het account in.

Gebruikersnaam

Geef de gebruikersnaam voor het account op.

Verificatie

Selecteer de verificatiemethode voor het account: Wachtwoord, SSH-privésleutel of SSH-privésleutel met certificaat.

Als u een privé SSH-sleutel gebruikt voor de verificatie, moet u een privésleutel opgeven voor het account in OpenSSH-indeling. Optioneel kunt u de wachtwoordzin die bij de privésleutel hoort bijvoegen.

Wachtwoord

Wanneer Wachtwoord is geselecteerd voor verificatie moet u het wachtwoord voor het account invoeren en het wachtwoord bevestigen.

SSH-privésleutel

Wanneer SSH-privésleutel is geselecteerd voor verificatie moet u de SSH-privésleutel voor het account invoeren, alsmede de wachtwoordzin voor de SSH-privésleutel, indien van toepassing.

SSH-privésleutel met certificaat

Wanneer SSH-privésleutel met certificaat is geselecteerd voor verificatie moet u de SSH-privésleutel voor het account invoeren, alsmede de wachtwoordzin voor de SSH-privésleutel, indien van toepassing. U moet ook het openbare SSH-certificaat voor het account verstrekken.

Lokaal account bewerken

Naam

De naam die gebruikt wordt voor het account weergeven of bewerken.

Beschrijving

De beschrijving van het account weergeven of bewerken.

Gebruikersnaam

De gebruikersnaam die bij het account hoort weergeven.

Wachtwoord

Voer een nieuw wachtwoord in voor het account, of laat het veld leeg om het bestaande wachtwoord te houden. Bevestig het ingevoerde wachtwoord.

Wachtwoordleeftijd

De leeftijd van het bestaande wachtwoord weergeven.

Accountbeleid

Selecteer een specifiek beleid voor het account of laat Accountbeleid ingesteld op de standaardwaarde van Beleidsinstellingen overnemen; in het laatste geval neemt het account de beleidsinstellingen over van de accountgroep. Als er geen accountgroep is geselecteerd voor het account, neemt het account de beleidsinstellingen voor het algemene standaard accountbeleid op de pagina Vault > Opties over.

Accountgroep

Selecteer een groep uit de lijst om het gedeelde account toe te voegen aan een accountgroep. Als er geen groep wordt geselecteerd, wordt het account toegevoegd aan de Standaardgroep.

Naam van eindpunt

Weergeven welk(e) eindpunt(en) bij het account horen.

Hostnaam van eindpunt

De hostnaam van de bijbehorende eindpunten weergeven.

Accountgebruikers

Selecteer gebruikers die toegang tot dit account hebben, evenals hun Vault-accountrol, en klik vervolgens op Toevoegen.

Gebruikersaccounts met de machtiging Toestemming voor het beheer van Vault hebben impliciet toestemming om toegang te krijgen tot elk Vault-account.

Jumpitem-koppelingen

Selecteer het type Jumpitem-koppelingen voor het account. De instelling Jumpitem-koppelingen bepaalt aan welke Jumpitems het account is gekoppeld, zodat het account alleen beschikbaar is voor relevante doelmachines in de toegangsconsole tijdens pogingen om inloggegevens te injecteren. Selecteer een van de volgende koppelingsmethodes:

  • Overgenomen van de accountgroep: Koppelingen voor dit account worden bepaald door de koppelingen die zijn gedefinieerd in de Accountgroep van dit account.
  • Alle Jumpitems: Dit account kan worden geïnjecteerd in een sessie die is gestart vanaf een Jumpitem waar het account van toepassing is.
  • Geen Jumpitems: Dit account kan niet worden geïnjecteerd in een sessie die is gestart vanaf een Jumpitem.
  • Matchingcriteria voor Jumpitems: Dit account kan alleen worden geïnjecteerd in sessies gestart vanaf Jumpitems die overeenkomen met de gedefinieerde criteria, waar het account van toepassing is.
    • U kunt een directe koppeling tussen Vault-accounts en specifieke Jumpitems definiëren door de Jumpitems te selecteren uit de lijst, en vervolgens te klikken op Jumpitem toevoegen.
    • U kunt de koppeling tussen Vault-accounts en Jumpitems verder definiëren door matchingcriteria te specificeren op basis van de volgende Jumpitem-kenmerken. Indien geconfigureerd, is het account beschikbaar voor injectie voor alle Jumpitems die overeenkomen met de gespecificeerde criteria voor kenmerken, bovenop alle specifieke Jumpitems die u hebt toegevoegd als matchingcriteria.
      • Gedeelde Jumpgroepen: Selecteer een Jumpgroep uit de lijst.
      • Naam: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Naam van het Jumpitem in de toegangsconsole.
      • Hostnaam/IP-adres: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Hostnaam / IP van het Jumpitem in de toegangsconsole.
      • Tag: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Label van het Jumpitem in de toegangsconsole.
      • Opmerkingen: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Opmerkingen van het Jumpitem in de toegangsconsole.

Klik op het i-pictogram voor elke optie en kenmerk om specifiekere informatie hierover te bekijken.

Lokale accounts zijn beschikbaar voor injectie binnen de eindpunten waarop ze zijn gevonden.

Domeinaccount bewerken

Naam

De naam die gebruikt wordt voor het account weergeven of bewerken.

Beschrijving

De beschrijving van het account weergeven of bewerken.

Gebruikersnaam

De gebruikersnaam die bij het account hoort weergeven.

Wachtwoord

Voer een nieuw wachtwoord in voor het account, of laat het veld leeg om het bestaande wachtwoord te houden. Bevestig het ingevoerde wachtwoord.

Wachtwoordleeftijd

De leeftijd van het bestaande wachtwoord weergeven.

Distinguished Name

De DN-naam voor het account weergeven.

Accountbeleid

Selecteer een specifiek beleid voor het account of laat Accountbeleid ingesteld op de standaardwaarde van Beleidsinstellingen overnemen; in het laatste geval neemt het account de beleidsinstellingen over van de accountgroep. Als er geen accountgroep is geselecteerd voor het account, neemt het account de beleidsinstellingen voor het algemene standaard accountbeleid op de pagina Vault > Opties over.

Accountgroep

Selecteer een groep uit de lijst om het gedeelde account toe te voegen aan een accountgroep. Als er geen groep wordt geselecteerd, wordt het account toegevoegd aan de Standaardgroep.

Accountgebruikers

Selecteer gebruikers die toegang tot dit account hebben, evenals hun Vault-accountrol, en klik vervolgens op Toevoegen.

Gebruikersaccounts met de machtiging Toestemming voor het beheer van Vault hebben impliciet toestemming om toegang te krijgen tot elk Vault-account.

Jumpitem-koppelingen

Selecteer het type Jumpitem-koppelingen voor het account. De instelling Jumpitem-koppelingen bepaalt aan welke Jumpitems het account is gekoppeld, zodat het account alleen beschikbaar is voor relevante doelmachines in de toegangsconsole tijdens pogingen om inloggegevens te injecteren. Selecteer een van de volgende koppelingsmethodes:

  • Overgenomen van de accountgroep: Koppelingen voor dit account worden bepaald door de koppelingen die zijn gedefinieerd in de Accountgroep van dit account.
  • Alle Jumpitems: Dit account kan worden geïnjecteerd in een sessie die is gestart vanaf een Jumpitem waar het account van toepassing is.
  • Geen Jumpitems: Dit account kan niet worden geïnjecteerd in een sessie die is gestart vanaf een Jumpitem.
  • Matchingcriteria voor Jumpitems: Dit account kan alleen worden geïnjecteerd in sessies gestart vanaf Jumpitems die overeenkomen met de gedefinieerde criteria, waar het account van toepassing is.
    • U kunt een directe koppeling tussen Vault-accounts en specifieke Jumpitems definiëren door de Jumpitems te selecteren uit de lijst, en vervolgens te klikken op Jumpitem toevoegen.
    • U kunt de koppeling tussen Vault-accounts en Jumpitems verder definiëren door matchingcriteria te specificeren op basis van de volgende Jumpitem-kenmerken. Indien geconfigureerd, is het account beschikbaar voor injectie voor alle Jumpitems die overeenkomen met de gespecificeerde criteria voor kenmerken, bovenop alle specifieke Jumpitems die u hebt toegevoegd als matchingcriteria.
      • Gedeelde Jumpgroepen: Selecteer een Jumpgroep uit de lijst.
      • Naam: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Naam van het Jumpitem in de toegangsconsole.
      • Hostnaam/IP-adres: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Hostnaam / IP van het Jumpitem in de toegangsconsole.
      • Tag: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Label van het Jumpitem in de toegangsconsole.
      • Opmerkingen: Dit filter wordt vergeleken met de waarde die verschijnt in de kolom Opmerkingen van het Jumpitem in de toegangsconsole.

Klik op het i-pictogram voor elke optie en kenmerk om specifiekere informatie hierover te bekijken.

Lokale accounts zijn beschikbaar voor injectie binnen de eindpunten waarop ze zijn gevonden.

Persoonlijk algemeen (wachtwoord) account bewerken

Naam

Voer een naam in voor het account.

Beschrijving

Voer een korte en makkelijk te onthouden beschrijving van het account in.

Gebruikersnaam

Geef de gebruikersnaam voor het account op.

Wachtwoord en Wachtwoord bevestigen

Wanneer Wachtwoord is geselecteerd voor verificatie moet u het wachtwoord voor het account invoeren en het wachtwoord bevestigen.