访问控制工作流

(此功能只在白金版和企业版中可用。)

概述

登录到Password Manager Pro之后,用户就可以查看自己拥有的以及别人共享给他们的密码了。当存储非常机密的密码时,管理员会希望给以这些密码更高的安全级别。有时,管理员还需要赋予特定用户在指定的时间段,临时访问密码的权限。

有时也会需要给予用户独占密码的权限。这是指在某一个时间段只有某个用户可以访问该密码。当多个用户需要使用同一资源时,就会产生协调问题。访问控制工作流可以为您解决此类问题。

使用密码访问工作流,可以帮您实现以上需求。此篇文档会向您介绍如何在PMP中使用访问控制工作流。

密码访问控制工作流是如何工作的?

一旦启用了访问控制工作流,用户访问密码会经过如下工作流程:

    1. 用户需要访问共享给他/她的密码
    2. 提交密码访问请求给管理员
    3. 用户将请求发送给管理员请求批准。如果多个用户需要使用同一密码,所有密码请求都要排队等候管理员的批准。
    4. 如果在指定的时间内,管理员没有批准用户提交的请求,则请求过期作废。
    5. 如果管理员拒绝了您的请求,则不能使用该密码
    6. 如果管理员批准了您的请求,用户就可以签出密码。如果密码必须由两个管理员共同批准,则在两个管理员都批准密码访问请求之后,用户才可以访问该密码。
    7. 一旦用户签出密码,密码将被用户独占使用,直到超出独占使用时限。
    8. 如果这时有其他用户需要访问同一密码,则只能等到前面的用户签入密码后才可以访问该密码。此规则适用于所有管理员、密码管理员、以及密码拥有者。
    9. 管理员可以随时强制收回密码。这时,密码将被强制签入并终止用户的访问。
    10. 一旦用户完成他的工作,该密码将被重置

重要提示:访问控制工作流不会覆盖密码所有权以及PMP共享机制。也就是说,它只会增强访问控制机制。通常,当一个密码共享给一个用户时,用户就可以直接查看密码。当开启访问控制时,用户必须先向管理员发送密码访问请求,在管理员批准后才能访问密码。

下面的图例为您介绍了典型的访问控制工作流:

如何使用访问控制工作流?

开启访问控制,管理员需要执行如下管理设置:

管理设置

    1. 点击"资源"标签
    2. 选择需要启用访问控制的资源
    3. 点击"更多选项"中的"配置访问控制"

在打开的画面中,

    1. 指定可以审核密码访问请求的管理员。 所有管理员和密码管理员会在左侧列表中列出。你可以根据需要指定能够授权密码访问请求的管理员。此外,您可以设置必须通过两个管理员的审批才能访问密码。如需此功能,请点击"至少需要两个管理员来批准密码访问。"并为其选择两个管理员。
    2. 列出被排除的用户。当您将一个用户排除审批之后,则此用户在检索密码时就不在需要管理员批准。也就不需要向管理员提交“密码访问请求”了。
    3. 如果您在第一步选择了"至少需要两个管理员来批准密码访问"
    4. 请输入当管理员没有批准密码访问请求时,密码访问请求最大有效期(小时)
    5. 并发控制:您可以限制对密码的并发访问。就是说,当密码在某一个时段被某个用户独占使用时,其他用户不可以使用,包括资源拥有者也不可以。您可以设置资源被用户独占使用的时间。例如,如果您设置时限为2小时,则在2小时内,该用户独占密码,其他用户不能使用。两小时后,则该用户将不能再访问该密码。其他用户就可以使用此密码了。

    6. 提示:默认,独占时限为8小时,您可以根据自己的需要进行修改。如果您将值设置为“0”,则密码独占将没有时间限制。


    7. 在密码独占使用后(即密码被用户签入)重置密码。您还可以设置在使用完密码后强制重置密码。如需此功能,请选择“ 在密码独占使用后(即密码被用户签入)重置密码。”

    8. 重要提示:要是密码自动重置生效,请确保资源中已经为远程密码重置配置了正确的凭证。或者您应该已经在资源中安装了PMP代理。否则,自动重置密码将不会生效。


    9. 自动审批已提交的密码访问请求: Password Manager Pro提供一个选项,用于动态批准密码访问请求。也就是说,用户在进行访问控制流程时,不需要等待被授权管理员的批准。请求会自动被批准并向授权管理员发送通知。自动批准后,密码被释放,并在一段时间内被被请求人独占使用。
    10. 您可以设置在哪一天的哪个时段进行自动批准密码访问请求 - 例如,从下午2点到3点。同样,您也可以用自动批准来替换定时批准。

      自动审批功能适用于当管理员不能够批准用户请求时。除了自动审批功能之外,其它的功能都与访问控制工作流中的功能相同。

    11. 点击"保存并激活"

通过以上步骤,将对所选资源开启访问控制工作流

使用案例

下面是一些使用访问控制工作流的案例:

案例一:用户需要访问密码

用户需要访问密码,该密码由访问控制机制保护,所以用户必须向管理员发送请求,才能被赋予查看密码的权限。

创建请求

    1. 点击"主页"标签
    2. "显示谁的"下拉列表中,您可以选择"所有"查看全部密码;选择"资源组"查看您所拥有的密码;选择"共享的组"查看别人共享给您的密码。
    3. 在您进行选择后,所有符合条件的密码都会列出,如下所示
    4. 每一个资源都是一个连接,点击后可以查看资源明细
    5. 在弹出的界面中点击"请求",输入请求注释检索请求,请求会被发送给管理员进行审批。
    6. 在您发送完密码访问请求后,在管理员批准您的请求之前,请求状态为。"等候批准"
    7. 在管理员批准之后,请求状态将变为“签出”。如需查看密码请点击"签出"并在打开的界面中输入查看密码的理由并点击"保存"
    8. 现在,您可以查看密码了

案例2:管理员批准密码访问请求

用户请求管理员批准密码时,管理员会收到请求邮件通知。在'管理'标签中,您可以查看所有未批准的请求。

批准一个请求,

    1. 点击"管理" >> "密码访问请求"
    2. 点击"批准"之后,用户就可以查看密码了。(如果点击“拒绝”,请求将被从队列中移除,并且用户不能访问密码)。
    3. 在管理员批准密码请求后,请求状态会立即变为"未使用",表示密码还未签出。一旦用户查看了密码,则状态将变为"正在使用"

案例3:用户不再使用密码

访问控制机制的核心就是可以允许用户临时访问密码。所以,一旦用户完成了工作,不再需要密码时,可以弃用密码。

弃用密码,

    1. 点击"签入"之后,密码状态将再次变为“请求”。
    2. 这时就不能再查看密码了。如需再次访问密码,请再次发出密码访问请求。

案例4: 管理员强制签入密码

访问控制机制的根本是在指定的时间让用户可以独占使用密码。在这个时段里,其他人不可以访问该密码包括密码拥有者。如果需要紧急撤销用户对密码的独占访问权限,管理员可以随时强制签入密码。

强制签入密码的步骤,

    1. 点击"管理" >> "密码访问请求"
    2. 点击"签入"撤销用户独占密码的权限。之后,用户就不允许查看密码了,请求也会从列表中消失。

    案例6:密码签入时,如果自动密码重置失败怎么办?

    在用户签出密码后,如果出现如下情况,密码将被签入:

      1. 用户用完密码之后,自己签入密码
      2. 超出密码独占时限,系统自动收回密码并签入
      3. 管理员强制签入

    当密码被签入时,如果管理员设置为需要自动密码重置,PMP将会重置密码。如果PMP不能重置资源的密码,就会向管理员(对用户授权密码访问控制的管理员)发送邮件通知。管理员可以排除故障并正确设置。密码重置失败信息也会在审计页面反映出来。

    案例7:用户签出密码之后,如果已经配置了密码重置计划,会发生什么?

    您可以创建计划任务,定期进行密码自动重置。用户通过计划任务执行密码重置是十分很常用的功能。如果重置任务执行成功,用户原来的密码将会作废。为了避免此类问题发生,PMP不允许只对单独的密码进行重置。(计划任务中的其它资源的其它所有的密码都将会被重置)。重置密码失败的计划信息会出现在审计页面。

    案例8:禁用访问控制

    如需对资源禁用访问控制,您(管理员)需要执行如下操作:

      1. 点击"资源"
      2. 选择需要禁用访问控制的资源
      3. 点击"更多选项"中的"配置访问控制"
      4. 选择"撤销"

    所选资源的访问控制将被撤销。任何用户都可以查看拥有的或共享给自己的密码,而不必经过访问控制流程。

    术语摘要

    术语 术语解释

    请求

    用户在查看密码之前必须先要提交请求

    等待批准

    用户提交了请求,正在等待用户批准

    签出

    管理员已经批准了请求,用户可以查看密码

    批准/拒绝

    管理员可以批准或拒绝密码请求

    未使用

    表示用户还没有查看密码

    正在使用

    密码正在被用户独占使用

    签入

    放弃/撤销密码访问

版权所有 ©2016, 卓豪(北京)技术有限公司,保留一切权利。

顶部