Aller au contenu principal

Qu'est-ce qu'un compte ?

Un compte est l'identité que VaultPAM utilise sur le système cible. Le compte n'est pas la même chose que l'identifiant qui le déverrouille. VaultPAM conserve cette distinction de manière explicite afin que vous puissiez faire tourner les identifiants, appliquer une politique et auditer leur utilisation sans reconstruire l'intégralité du modèle d'accès.

Compte versus identifiant

  • Compte : l'identité de connexion sur la cible, telle que root, Administrator ou un compte de service nommé.
  • Identifiant : le mot de passe ou la clé qui prouve la possession de ce compte.

Cette séparation vous permet de garder le compte stable tout en modifiant le secret sous-jacent.

Identifiants statiques et juste-à-temps

Certains coffres-forts utilisent un mot de passe statique qui existe pendant une période plus longue. D'autres utilisent des identifiants juste-à-temps adossés à OpenBao. Dans le modèle JIT, VaultPAM demande le secret au démarrage de la session et l'injecte au niveau du proxy. Le secret n'a jamais besoin d'être copié dans un presse-papiers géré par l'utilisateur.

Comment VaultPAM délivre l'identifiant

VaultPAM lie le compte à un coffre-fort. Lorsqu'un membre lance une session, le connecteur et le proxy gèrent le transfert de l'identifiant. L'utilisateur voit la session, pas le mot de passe. Si la politique du coffre-fort bloque l'accès au presse-papiers, l'identifiant reste totalement invisible pour l'utilisateur.

Ce modèle réduit le risque de fuite de secrets et simplifie le départ des utilisateurs. Vous supprimez l'accès en mettant à jour l'appartenance au coffre-fort ou en remplaçant la liaison du compte, et non en pourchassant le même mot de passe à travers une douzaine de systèmes.

Articles connexes