Temel Kavramlar

Bu bölüm, Grizzle ZT-PAM mimarisinde kullanılan temel kavramların ve bileşenlerin açıklamalarını içerir.
Her kavram, sistemdeki rolü ve kullanım amacıyla birlikte tanımlanmıştır.

User (Kullanıcı)

Grizzle ZT-PAM sistemine erişim yetkisi olan kişidir.
Kullanıcı, doğrudan ayrıcalıklı sistemlere erişmez; erişim taleplerini PSM veya Web Gateway üzerinden gerçekleştirir.
Her kullanıcıya roller, politikalar ve MFA tanımları atanır.

Örnek: Active Directory kullanıcıları, local olarak oluşturulan kullanıcılar.

Account (Hesap)

Vault’ta tanımlı, yönetimi Grizzle ZT-PAM tarafından yapılan ayrıcalıklı veya servis hesabıdır.
Her hesap bir platforma aittir ve genellikle CPM tarafından parola rotasyonuna tabidir.

Örnek: Domain Admin, root, dbadmin, service-sqlbackup.

Vault

Tüm kimlik bilgileri, parolalar, SSH anahtarları ve sertifikaların şifreli biçimde saklandığı merkezi dijital kasadır.
Vault erişimi yalnızca yetkili servisler tarafından yapılabilir.

Safe (Kasa / Güvenli Alan)

Vault içinde belirli bir amaç veya sistem grubuna ait hesapların mantıksal olarak gruplandığı alandır.
Erişim kontrolü Safe bazında yapılır; kullanıcı bir Safe’e yetkiliyse yalnızca o Safe’teki hesapları görebilir.

Örnek: Windows-Servers-Safe, Database-Admins-Safe.

Platform

Account bilgilerini kullanarak sistemlere bağlantı yapılırken gerekli olan parametreleri içeren ayarlar bütünüdür.
Bir şablon (template) gibi düşünülebilir ve çoğaltılabilir.

Örnek: Windows Local Account, Unix SSH Account, MSSQL Database Account, Fortigate Admin Account.
Platform tanımları, CPM’in parolayı nasıl değiştireceğini ve PSM’in nasıl bağlanacağını belirler.

Connection Component (Bağlantı Bileşeni)

Bağlantı yapılacak protokole veya uygulamaya özgü olarak geliştirilen bağlantı tanımlayıcısıdır.

Örnek: RDP, SSH, Telnet, MSSQL, Web uygulamaları vb.

CPM (Central Password Manager)

Parola yaşam döngüsünü yöneten bileşendir.
Parolaları politikalar doğrultusunda otomatik olarak değiştirir, doğrular ve gerektiğinde uzlaştırır (reconciliation).

PSM (Privileged Session Manager)

Ayrıcalıklı oturumların güvenli, izole ve kaydedilebilir biçimde başlatılmasını sağlayan bileşendir.
Kullanıcı, hedef sisteme PSM aracılığıyla bağlanır; parolayı görmez.

Web Gateway (HTML5 Gateway)

Kullanıcının herhangi bir istemci yazılım kurmadan, doğrudan web tarayıcısı üzerinden güvenli oturum açmasını sağlayan erişim katmanıdır.
Tüm bağlantılar HTTPS (443) portu üzerinden gerçekleştirilir.

Credential Provider (CP)

PSM sunucuları içinde barınır ve Windows işletim sistemlerinde oturum açma ekranlarını özelleştirmek için kullanılan bir giriş bileşenidir.
Kullanıcı kimlik bilgileri ZT-PAM Vault veya kimlik doğrulama API’leri üzerinden güvenli şekilde doğrulanır.

Policy (Politika)

Kullanıcıların hangi sistemlere, hangi koşullarda erişebileceğini ve parolaların ne zaman değişeceğini belirleyen kurallar bütünüdür.

Role (Rol)

Yetki ve görev setlerini tanımlar.
Kullanıcılara roller atanarak erişim izinleri merkezi biçimde yönetilir.

Örnek Roller: Auditor, Admin, User.

Policies

Sistemin hesap yönetimi, bağlantı ve parola değişimi gibi genel kurallarını barındırır.
Bu ayarlar sistemin tamamına uygulanabileceği gibi istisna (exception) da yazılabilir.

Exception

Genel ayarlar dışında özel durum veya istisna tanımlamasını ifade eder.

Örnek:

Windows Local hesapların şifreleri 120 günde bir değişsin.
Windows Domain hesapların şifresi 30 günde bir değişsin.
Windows DB hesaplarının şifresi her bağlantıdan sonra değişsin.
Domain Administrators hesabı kullanılırken başka bir yöneticiden onay istensin.

Reconciliation Account

Parola değişimi başarısız olduğunda, CPM tarafından uzlaştırma (resetleme) işlemini yapmak için kullanılan ayrı bir yetkili hesaptır.

Session (Oturum)

Kullanıcının bir sistemle PSM veya Gateway aracılığıyla kurduğu bağlantıdır.
Her oturum kaydedilir, denetlenebilir ve gerektiğinde sonlandırılabilir.

MFA (Multi-Factor Authentication)

Çok faktörlü kimlik doğrulama mekanizmasıdır.
Kullanıcı doğrulaması için birden fazla kimlik faktörünün (şifre, OTP, cihaz, biyometrik vb.) birlikte kullanılması esasına dayanır.

Discovery Job / Task

Belirli aralıklarla çalışarak yeni sistem veya hesap keşfi yapan görev tanımıdır.
Otomatik keşif sayesinde yeni eklenen sistemler platforma dinamik biçimde dahil edilir.

Dual Control / Approval Workflow

Belirli işlemler (örneğin parola görüntüleme, erişim başlatma) için ikinci bir kişinin onayını gerektiren kontrol mekanizmasıdır.
Bu yapı, denetim gerekliliklerine ve güvenlik politikalarına uyum sağlar.

Check-Out / Check-In

Kullanıcının bir hesabın parolasını geçici olarak alması (check-out) ve işi bitince iade etmesi (check-in) mekanizmasıdır.
Bu süreç, hesap parolalarının denetlenebilir şekilde yönetilmesini sağlar.

Access Request (Erişim Talebi)

Kullanıcının belirli bir sisteme erişim izni almak için oluşturduğu taleptir.
Onaylı erişim modeli (request/approval) süreçlerinde kullanılır.

User (Kullanıcı)​

Account (Hesap)​

Vault​

Safe (Kasa / Güvenli Alan)​

Platform​

Connection Component (Bağlantı Bileşeni)​

CPM (Central Password Manager)​

PSM (Privileged Session Manager)​

Web Gateway (HTML5 Gateway)​

Credential Provider (CP)​

Policy (Politika)​

Role (Rol)​

Policies​

Exception​

Reconciliation Account​

Session (Oturum)​

MFA (Multi-Factor Authentication)​

Discovery Job / Task​

Dual Control / Approval Workflow​

Check-Out / Check-In​

Access Request (Erişim Talebi)​