PMP MSP版本入门
概述
ManageEngine Password Manager Pro已经支持MSP版本了,这是考虑到管理服务提供商的需求特别设计的。如果您是一个(管理服务提供商),希望在一个单独的管理控制台管理您客户的管理密码或者为他们提供密码管理服务,您可以使用MSP版本。
MSP管理员可以和他们各自的客户进行安全的密码共享,需要确认的是,只有密码的拥有者或者被共享者才可以访问密码。该解决方案可以根据需求灵活地将密码的控制权委派给MSP管理员、终端用户,或者这两者。
MSP版本也遵循PMP的基本密码权限模型。也就是说,在任何时间里,用户都只可以查看自己拥有的密码或者被共享的密码。作为MSP管理员,您可以查看您所管理的机构的名称。也可以查看所有您客户的数据,前提是您添加了这些客户的资源或者他们将资源共享给了您。而您的客户将会看到属于他们自己机构的数据。
MSP版本入门
注意事项
- 如果您需要测试MSP版本,请将其单独部署到一台机器。如果您在正在运行PMP的机器上安装MSP版本,已有的PMP将会被卸载。
开始
- 下载并安装ManageEngine_PMP_MSP.exe
步骤1:添加用户到MSP机构
让我们从用户管理开始来了解MSP的管理过程吧。第一步就是将用户添加到您的MSP机构中。 您需要为每个客户指定一个管理员作为“账户经理”。继续 添加用户。
步骤2:添加您的客户机构
添加用户之后,您需要添加您的客户机构。导航至管理 >> 定制 您将会看到“组织”图标。接下来需要在PMP中注册需要由MSP管理的机构。
您可以手动依次添加客户机构或者从CSV文件批量导入所有机构。
手动添加机构
- 导航至 管理 >> 定制 您将会看到 “组织” 图标
- 点击按钮““添加组织”
- 在打开的界面中,给正在添加的组织机构指定一个名称
- 显示名:用于识别正在添加的组织机构的名称。这里只允许无空格的字母和数字,并且是一个单独的单词。在这里输入的名称将会出现在PMP机构的名称。这里只允许无空格的字母和数字,并且是一个单独的单词。在这里输入的名称将会出现在PMP
GUI右上方的下拉列表中。除此之外,显示名也会出现在PMP登陆URL中。比如,如果您指定”xyz"作为显示名,那么机构的登陆URL就是https://
: /xyz - 账户经理: 您可以在为正在添加的组织机构指定任何一个管理员作为“账户经理”。跟字面意思一样,账户经理是您正在添加的组织机构的联系人,他将有权添加管理组织中的资源。在PMP中有“管理员”角色的账户经理也可以管理组织机构中的用户。每个需要管理的组织机构中只可以指定一个账户经理。同一个管理员可以成为多个客户机构的账户经理
- 根据需要,填写其他信息,如:部门,地址等等
从CSV导入机构
您可以使用导入向导从一个CSV文件导入多个机构。该CSV应该含有机构名称、显示名以及其他逗号分隔的信息。每个机构的信息应该放在新的一行。CSV文件中的所有行都应该是一致的并且含有相同字段数量。如果该CSV文件含有.txt和.csv这样的拓展名也是可以的。要导入机构,请看如下步骤:
- 导航至管理 >> 定制您将看到 “组织机构" 图标
- 点击 “导入组织机构” 按钮
- 在打开的界面中,浏览并选择包含机构的CSV文件
- 点击“下一步”
- 在打开的界面中,您可以选择CSV文件中的字段分别匹配到机构中其对应的属性
- 最后,点击 “完成”
每一行的导入结果都会作为审计记录记录下来
赋予管理组织机构的权限
除了可以将管理员指定为“账户经理”, 您还可以将您MSP机构成员赋予“管理组织机构”的权限。在赋予某个管理员此权限是,他将会拥有对客户机构的管理权限。同样,如果这个权限指派给了密码管理员或者密码用户,他们将会拥有相应的权限.
出于安全考虑,PMP会强制对管理机构的过程执行强制审批。也就是说,当任意一个管理员需要向用户赋予管理权限的时候,必须得到MSP机构中的其他管理员的批准。提出该请求的管理员和即将被指派权限的用户将无权进行审批,必须交由第三方管理员审批。这样是为了确保在没有其他管理员批准的情况下,管理员无法向自己或他人赋予管理权限。这也意味着MSP机构应该有尽量少的第三方管理员来执行这个过程。
例如:假设当“管理员A”想要给“管理员B”赋予组织机构“ABC”的管理权限。在这种情况下,管理员A(授权人)和管理员B(被授权人)将无法进行审批。必须由另外一个管理员,比如,“管理员C”将会去审批。
如何给组织机构指定管理权限
- 登陆您的MSP账户并导航至 管理 >> 用户
- 在 “用户动作” 下点击 “管理组织” 图标
- 在打开的界面中,选择所需的客户组织并移至右侧
- 选择审批者名字
- 点击 “保存”
一旦批准通过,该用户将会获取管理权限。
或者,您也可以从“组织机构”页面点击“用户动作”下的“管理组织机构” 来指派权限。
MSPOrg 默认机构
默认状态下,一个叫做“MSPOrg”的组织机构可供使用。这个默认的机构就是您的机构(MSP机构)。您在这里添加的密码将适用于您自己的机构,而不适用于您客户的机构。
客户机构密码管理
在添加机构之后,您将在PMP GUI的顶部“选择机构”中看到需要进行管理的机构名单(也就是您具有管理权限或者您作为账户经理的那些机构)。
选择需要管理的机构并继续添加资源。然后您就可以将密码共享给您的客户了。另外,如果您提供密码管理服务,请让您的客户自行去添加密码。
怎样访问特定客户机构?
您可以通过https://<PMP-Host-Name>:7272/来访问您的MSP机构。您可以在PMP的GUI顶端选择需要管理的客户机构。
您的客户如何访问PMP?
创建机构之后,您的客户可以连接到他们的机构并且通过输入以下URL浏览或管理密码:
https://<Host Name:<port>/<Name of the org>
例如,假设您客户机构的名字是“abc”,而PMP正在主机“pmphost”上运行,那么连接到机构的URL就是 https://pmphost:7272/abc
对于如何执行不同密码管理功能,请参照帮助文档的相关章节。