Cos'è un Account?
Un Account è l'identità che VaultPAM utilizza nel sistema di destinazione. L'Account non è la stessa cosa della credenziale che lo sblocca. VaultPAM mantiene questa distinzione esplicita in modo da poter ruotare le credenziali, applicare policy e controllare l'utilizzo senza ricostruire l'intero modello di accesso.
Account versus credenziale
- Account: l'identità di accesso sul sistema di destinazione, come
root,Administratoro un account di servizio denominato. - Credenziale: la password o la chiave che prova la proprietà di quell'account.
Questa separazione consente di mantenere l'Account stabile mentre si modifica il segreto sottostante.
Credenziali statiche e just-in-time
Alcuni Safes utilizzano una password statica che esiste per un periodo più lungo. Altri utilizzano credenziali just-in-time supportate da OpenBao. Nel modello JIT, VaultPAM richiede il segreto all'avvio della sessione e lo inserisce nel proxy. Il segreto non ha mai bisogno di essere copiato negli appunti gestiti dall'utente.
Come VaultPAM fornisce la credenziale
VaultPAM associa l'Account a un Safe. Quando un membro avvia una sessione, il Connector e il proxy gestiscono lo scambio della credenziale. L'utente vede la sessione, non la password. Se la policy del Safe blocca l'accesso agli appunti, la credenziale rimane completamente invisibile all'utente.
Questo modello riduce il rischio di segreti compromessi e semplifica l'offboarding. Si rimuove l'accesso aggiornando l'appartenenza al Safe o sostituendo il binding dell'Account, non inseguendo la stessa password in una dozzina di sistemi.