Externer Anmeldeinformationsspeicher

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Eine Instanz kann Anmeldeinformationen speichern, die von verwendet werden Discovery, Orchestration und Service-MappingIn einem externen Anmeldeinformations-Repository anstatt direkt in einem ServiceNowAnmeldeinformationsdatensatz

    Die Instanz verwaltet einen eindeutigen Bezeichner für jede Anmeldeinformation, den Anmeldeinformationstyp (z. B. SSH, SNMP oder Windows) und alle Anmeldeinformationsaffinitäten. Der MID-Server ruft den Anmeldeinformationsbezeichner von der Instanz ab und verwendet dann eine vom Kunden bereitgestellte JAR-Datei, um den Bezeichner aus dem Repository in nutzbare Anmeldeinformationen aufzulösen. Derzeit ist ServiceNow®Plattform unterstützt die Verwendung von CyberArk-Tresor Oder BeyondTrust für externen Anmeldeinformationsspeicher.

    Speicherarchitektur für externe Anmeldeinformationen

    Abbildung : 1. Speicherarchitektur für externe Anmeldeinformationen
    ServiceNow – Architektur des externen Anmeldeinformationsspeichers

    Prozess-Flow für Anmeldeinformationen

    Der MID-Server ruft Anmeldeinformationen aus einem externen Speicher mit diesem Prozess ab:
    1. MID-Server lädt Anmeldeinformationsobjekte aus herunter ServiceNowTabelle mit Anmeldeinformationen [Discovery_credentials], die die entsprechende Anmeldeinformations-ID aus dem ZielTresor enthält.
    2. Wie jede Probe oder jedes Muster von ausgeführt wird DiscoveryOder OrchestrationAufträge fordert der MID-Server die Anmeldeinformationen an, indem Informationen wie Anmeldeinformations-ID, Ziel-IP-Adresse und Anmeldeinformationstyp an die Java-JAR-Datei des Anmeldeinformationslösers übergeben werden. Die Details zum richtigen Anmeldeinformationsobjekt, das aus dem Tresor abgerufen werden soll, werden vom Anmeldeinformationslöser bestimmt.

      Viele Anmeldeinformationslöser wie CyberArk rufen eine Anwendung auf, die vom Drittanbieter-Tresoranbieter bereitgestellt wird, der auf demselben Computer wie der MID-Server ausgeführt wird. Diese Anwendung kann häufig so konfiguriert werden, dass Anmeldeinformationen zwischengespeichert werden. Sie weiß, den Cache zu aktualisieren, wenn sich Anmeldeinformationen im Tresor ändern. Dies ist sehr wichtig, um unnötige Netzwerkaufrufe beim Tresor jedes Mal zu vermeiden, wenn DER MID-Server eine Anmeldeinformation anfordert. Der Anmeldeinformationslöser (mit optionaler Lieferantenanwendung, falls vorhanden) ruft den Tresor an, um den tatsächlichen Anwendernamen, das Passwort usw. abzurufen

      Für sofort einsatzbereite Anmeldeinformationslöser (heute nur CyberArk) speichert der MID-Server nur Anmeldeinformationen bis zu mehrere Sekunden lang mithilfe von Verschlüsselung im MID-Server-Prozessspeicher. Dies bedeutet, dass der MID-Server mehrere Anforderungen an den Anmeldeinformationslöser für dieselben Anmeldeinformationen stellen kann, auch wenn ein einzelnes Gerät erkannt wird. Wenden Sie sich an Drittpartei-Lieferanten, um Informationen zum Zwischenspeichern von Implementierungen für andere Anmeldeinformationslöser zu erhalten.

    3. MID-Server führt die Probe mit den entsprechenden Anmeldeinformationen aus.
    Hinweis:
    Anmeldeinformationsaffinität gilt weiterhin. Der Mechanismus bleibt derselbe, da der einzige echte Unterschied aus der Perspektive des MID-Servers darin besteht, dass die echten Anmeldeinformationsdetails (Anwendername und Passwort) aus dem Tresor der Drittpartei stammen.

    Protokollierung des Speichers für externe Anmeldeinformationen

    Der MID-Server veröffentlicht Protokollnachrichten zum externen Anmeldeinformationsspeicher.

    Wenn das Repository beim Versuch, eine Anmeldeinformationsanforderung zu lösen, auf einen Fehler stößt, postet der MID-Server Protokollnachrichten mit diesem Präfix: Problem mit CredentialResolver des Clients:

    Komponenten, die mit externem Anmeldeinformationsspeicher installiert sind

    Geschäftsregel

    Die Geschäftsregel „externer Anmeldeinformationsspeicher“ führt die folgenden Aufgaben aus, wenn ein Administrator Änderungen an der Eigenschaft „externen Anmeldeinformationsspeicher aktivieren“ vornimmt:

    • Ändert die Ansicht für die Datensatzliste und das Formular „Anmeldeinformationen“ in die Ansicht „externer Speicher“. Mit dieser Ansicht können Anwender anzeigen Anmeldeinformations-ID Spalte in der Liste.
    • Weist den MID-Server an, seinen Anmeldeinformationscache zu aktualisieren, um eine Änderung der Art und Weise vorzubereiten, wie Anmeldeinformationen abgerufen werden.
    Eigenschaft

    Eine Eigenschaft mit der Bezeichnung „externen Anmeldeinformationsspeicher aktivieren“ [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „externer Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Die Eigenschaft befindet sich in Discovery-Definition > Eigenschaften und Orchestration > MID-Server-Eigenschaften, Und ist aktiviert, wenn Sie das Plugin aktivieren.

    Wenn Sie den externen Anmeldeinformationsspeicher mit der Systemeigenschaft deaktivieren, legt das System alle externen Anmeldeinformationen in der Instanz automatisch auf inaktiv fest. Wenn Sie die Funktion mit dieser Eigenschaft erneut aktivieren, setzt das System die externen Anmeldeinformationsdatensätze nicht auf „aktiv“ zurück. Sie müssen jede erneut aktivieren Anmeldeinformationsdatensatz Manuell.