Configuration du stockage des informations d’identification externe

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 9 minutes de lecture

    • Configurez votre instance pour obtenir les informations d’identification à partir d’un référentiel distant.

    Ces procédures supposent que vous disposez déjà d’un référentiel externe configuré avec les informations d’identification que vous souhaitez protéger. L’identificateur d’informations d’identification configuré dans l’instance ServiceNow doit être mappé aux informations d’identification réelles dans le référentiel via le fichier JAR.

    Remarque :
    ServiceNow prend en charge deux coffres-forts externes à la fois : un résolveur d’informations d’identification CyberArk par défaut et un résolveur d’informations d’identification externe personnalisé. La création d’un outil de résolution d’informations d’identification CyberArk personnalisé utilise toujours le deuxième coffre-fort externe personnalisé, et aucun coffre-fort externe personnalisé supplémentaire ne peut être utilisé.

    Pour configurer le stockage des informations d’identification externe, effectuez les tâches suivantes dans l’ordre.

    Créer un fichier JAR pour résoudre les informations d’identification

    Créez un fichier JAR pour convertir les identificateurs envoyés par le serveur MID en informations d’identification réelles provenant du référentiel.

    Avant de commencer

    Rôle requis : agent_admin ou admin

    Assurez-vous d’inclure tous les éléments d’informations d’identification attendus par l’instance, tels que la clé privée.

    Pour créer un fichier JAR afin de résoudre les informations d’identification :

    Procédure

    Utilisez les modèles fournis sur GitHub ServiceNow ou l’exemple de fichier Java.
    ATTENTION :
    Ces exemples ne sont destinés qu’à servir de modèle. N’utilisez PAS ce code en production sans le modifier pour votre environnement.
    1. Téléchargez les fichiers JAR open source avec les instructions de GitHub ServiceNow :
    2. Utilisez l’exemple de fichier Java suivant comme modèle et modifiez-le en fonction de votre environnement : 
      
package com.snc.discovery;

import java.util.*;
import java.io.*;

/**
 * Basic implementation of a CredentialResolver that uses a properties file.
 */

public class CredentialResolver {

	private static String ENV_VAR = "CREDENTIAL_RESOLVER_FILE";
	private static String DEFAULT_PROP_FILE_PATH = "C:\\dummycredentials.properties";

	// These are the permissible names of arguments passed INTO the resolve()
	// method.

	// the string identifier as configured on the ServiceNow instance...
	public static final String ARG_ID = "id";

	// a dotted-form string IPv4 address (like "10.22.231.12") of the target
	// system...
	public static final String ARG_IP = "ip";

	// the string type (ssh, snmp, etc.) of credential as configured on the
	// instance...
	public static final String ARG_TYPE = "type";

	// the string MID server making the request, as configured on the
	// instance...
	public static final String ARG_MID = "mid";

	// These are the permissible names of values returned FROM the resolve()
	// method.

	// the string user name for the credential, if needed...
	public static final String VAL_USER = "user";

	// the string password for the credential, if needed...
	public static final String VAL_PSWD = "pswd";

	// the string pass phrase for the credential if needed:
	public static final String VAL_PASSPHRASE = "passphrase";

	// the string private key for the credential, if needed...
	public static final String VAL_PKEY = "pkey";

	// the string authentication protocol for the credential, if needed...
	public static final String VAL_AUTHPROTO = "authprotocol";

	// the string authentication key for the credential, if needed...
	public static final String VAL_AUTHKEY = "authkey";

	// the string privacy protocol for the credential, if needed...
	public static final String VAL_PRIVPROTO = "privprotocol";

	// the string privacy key for the credential, if needed...
	public static final String VAL_PRIVKEY = "privkey";


	private Properties fProps;

	public CredentialResolver() {
	}

	private void loadProps() {
		if(fProps == null)
			fProps = new Properties();

		try {
			String propFilePath = System.getenv(ENV_VAR);
			if(propFilePath == null) {
				System.err.println("Environment var "+ENV_VAR+" not found. Using default file: "+DEFAULT_PROP_FILE_PATH);
				propFilePath = DEFAULT_PROP_FILE_PATH;
			}

			File propFile = new File(propFilePath);
			if(!propFile.exists() || !propFile.canRead()) {
				System.err.println("Can't open "+propFile.getAbsolutePath());
			}
			else {
				InputStream propsIn = new FileInputStream(propFile);
				fProps.load(propsIn);
			}
			//fProps.load(CredentialResolver.class.getClassLoader().getResourceAsStream("dummycredentials.properties"));
		} catch (IOException e) {
			System.err.println("Problem loading credentials file:");
			e.printStackTrace();
		}
	}

	/**
	 * Resolve a credential.
	 */
	public Map resolve(Map args) {
		loadProps();
		String id = (String) args.get(ARG_ID);
		String type = (String) args.get(ARG_TYPE);
		String keyPrefix = id+"."+type+".";

		if(id.equalsIgnoreCase("misbehave"))
			throw new RuntimeException("I've been a baaaaaaaaad CredentialResolver!");

		// the resolved credential is returned in a HashMap...
		Map result = new HashMap();
		result.put(VAL_USER, fProps.get(keyPrefix + VAL_USER));
		result.put(VAL_PSWD, fProps.get(keyPrefix + VAL_PSWD));
		result.put(VAL_PKEY, fProps.get(keyPrefix + VAL_PKEY));
		result.put(VAL_PASSPHRASE, fProps.get(keyPrefix + VAL_PASSPHRASE));
		result.put(VAL_AUTHPROTO, fProps.get(keyPrefix + VAL_AUTHPROTO));
		result.put(VAL_AUTHKEY, fProps.get(keyPrefix + VAL_AUTHKEY));
		result.put(VAL_PRIVPROTO, fProps.get(keyPrefix + VAL_PRIVPROTO));
		result.put(VAL_PRIVKEY, fProps.get(keyPrefix + VAL_PRIVKEY));

		System.err.println("Error while resolving credential id/type["+id+"/"+type+"]");

		return result;
	}


	/**
	 * Return the API version supported by this class.
	 */
	public String getVersion() {
		return "1.0";
	}

	public static void main(String[] args) {
		CredentialResolver obj = new CredentialResolver();
		obj.loadProps();

		System.err.println("I spy the following credentials: ");
		for(Object key: obj.fProps.keySet()) {
			System.err.println(key+": "+obj.fProps.get(key));
		}

	}
}

    Importer un fichier JAR pour résoudre les informations d’identification

    Importez un fichier JAR créé pour résoudre les identificateurs d’informations d’identification envoyés par le serveur MID en informations d’identification réelles provenant du référentiel.

    Avant de commencer

    Rôle requis : agent_admin ou admin

    Une fois le fichier JAR créé, importez-le dans l’instance, où il devient accessible au serveur MID.

    Procédure

    1. Après avoir créé le fichier JAR et les fichiers de propriétés, copiez le fichier de propriétés sur le serveur MID.
    2. Accédez à la Serveur MID > Fichiers JAR.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs suivants :
      Champ Description
      Nom Nom unique et descriptif permettant d’identifier le fichier dans l’instance.
      Version Numéro de version du fichier, le cas échéant.
      Source Emplacement du fichier JAR à des fins de référence. Les informations sources ne sont pas utilisées par le système.
      Description Brève description du fichier JAR et de son objectif dans l’instance.
    5. Cliquez sur l’icône du presse-papier dans la bannière et joignez le fichier JAR à l’enregistrement.
      Figure 1. Joindre un fichier JAR
      L’icône du presse-papier apparaît en regard du bouton Soumettre.
    6. Cliquez sur Envoyer.
    7. Redémarrez le service Serveur MID.
      La plateforme met le fichier JAR à la disposition de tout serveur MID configuré pour communiquer avec l’instance.

    Configurer l’identificateur des informations d’identification

    Configurez l’identificateur d’informations d’identification dans l’instance.

    Avant de commencer

    Rôle requis : admin
    Vérifiez les éléments suivants :

    Procédure

    1. Accédez à la Tous > Découverte > Informations d'identification ou Orchestration > Informations d'identification.
    2. Cliquez sur Nouveau.
    3. Sélectionnez un type d’informations d’identification.
    4. Cochez la case Banque d’identifiants externes .
      Les champs Nom d’utilisateur et Mot de passe disparaissent, tandis que le champ ID d’informations d’identification et le menu Chambre forte de stockage des informations d’identification s’affichent.
    5. Dans le menu Coffre-fort de stockage des informations d’identification , sélectionnez Aucun, le coffre-fort de CyberArk ou un coffre-fort de stockage d’informations d’identification externe personnalisé.
      Remarque :

      Si le coffre-fort de CyberArk est sélectionné, le menu Clé de recherche s’affiche avec quatre choix de clé de recherche : ID d’informations d’identification, adresse IP, FQDN, tous les éléments ci-dessus. Sélectionner Tous les éléments ci-dessus peut dégrader les performances car cela nécessite d’accéder au coffre-fort plusieurs fois.

      1. Pour utiliser un coffre-fort de stockage d’informations d’identification externe personnalisé, accédez à Configurations de coffre-fort [vault_configuration.list] dans l’instance.
      2. Créez un enregistrement à l’aide d’un nom associé à un fichier JAR importé pour un outil de résolution d’informations d’identification personnalisé.

        Consultez les procédures Créer un fichier JAR pour résoudre les informations d’identification et Importer un fichier JAR pour résoudre les informations d’identification pour plus d’informations sur la création d’un coffre-fort de stockage d’informations d’identification externe personnalisé.

    6. Remplissez le formulaire Informations d’identification à l’aide des champs de la table suivante.
      Champ Description
      Nom Entrez un nom unique et descriptif pour ces informations d'identification.
      Actives Activez ou désactivez ces informations d’identification pour les utiliser.
      ID de certification Entrez la clé unique configurée pour les informations d’identification externes dans le fichier JAR chargé sur le serveur MID pour un système d’informations d’identification externes. Il s’agit de l’ID transmis à la classe Java dans la carte des paramètres :
      public static final String ARG_ID   = "id";
      Le serveur MID utilise cet identificateur pour résoudre les informations d’identification réelles sur le référentiel.
      Remarque :
      Ce champ n’est visible que lorsque la case Banque d’identifiants externes est cochée.
      Balise Autorisez les créateurs de workflow à affecter des informations d’identification individuelles à n’importe quelle activité d’un workflow Orchestration ou à attribuer des informations d’identification différentes à chaque occurrence du même type d’activité dans un workflow Orchestration.
      Banque d'identifiants externes Activez cette case à cocher pour utiliser un système de stockage d’informations d’identification externes. Lorsque vous sélectionnez cette option, les champs Nom d’utilisateur et Mot de passe sont remplacés par le champ ID d’informations d’identification . Le stockage des informations d’identification externe n’est disponible que lorsque le module d’extension Stockage des informations d’identification externe est activé.
      Chambre forte de stockage des informations d'identification Choisissez le coffre-fort de stockage des informations d’identification externe dans la liste des coffres disponibles. Le menu est composé d’enregistrements provenant des configurations du coffre-fort [vault_configuration.list]. De nouveaux enregistrements peuvent être ajoutés et utiliser les noms associés aux fichiers JAR pour l’outil de résolution des informations d’identification personnalisées. Consultez les procédures Créer un fichier JAR pour résoudre les informations d’identification et Importer un fichier JAR pour résoudre les informations d’identification pour plus d’informations sur la création d’un coffre-fort de stockage d’informations d’identification externe personnalisé.
      Concerne Choisissez d’appliquer ces informations d’identification à tous les MID Servers de votre réseau, ou à un ou plusieurs MID Servers spécifiques. Spécifiez les serveurs MID qui doivent utiliser ces informations d’identification dans le champ Serveurs MID .
      MID Servers Sélectionnez un ou plusieurs serveurs MID dans la liste des serveurs MID disponibles. Les informations d’identification configurées dans cet enregistrement sont disponibles pour les serveurs MID de cette liste. Ce champ n’est disponible que lorsque vous sélectionnez Serveurs MID spécifiques dans le champ S’applique à .
      Ordre Entrez l’ordre (séquence) dans lequel la plateforme teste ces informations d’identification lorsqu’elle tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des nombres élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d’identification ont le même numéro d’ordre (ou aucun), Discovery ou Orchestration les teste dans un ordre aléatoire.
    7. Cliquez sur Envoyer.

    Configurer l’identificateur d’informations d’identification pour AWS

    Configurez votre instance pour obtenir les informations d’identification à partir d’un référentiel distant.

    Avant de commencer

    Rôle requis : cloud_admin

    Vérifiez que ces modules d’extension sont actifs et que le serveur MID a été installé :
    • Découverte [com.snc.discovery]
    • Mise en service et gouvernance du cloud [com.snc.cloud.mgmt]
    • Stockage des informations d’identification externe [com.snc.discovery.external_credentials]

    Pourquoi et quand exécuter cette tâche

    Ces procédures supposent que vous disposez déjà d’un référentiel externe configuré avec les informations d’identification que vous souhaitez protéger. L’identificateur d’informations d’identification configuré dans l’instance ServiceNow doit être mappé aux informations d’identification réelles dans le référentiel via le fichier JAR.

    Procédure

    1. Accédez à la Tous > Découverte > Informations d'identification.
    2. Sélectionnez les informations d’identification prises en charge par votre fournisseur de stockage d’informations d’identification externes.
    3. Remplissez le formulaire en utilisant les champs de la table.
      Champ Description
      Nom Nom unique et descriptif pour cet identifiant. Par exemple, Amazon Web Services.
      Actives Case à cocher pour activer ou désactiver les informations d’identification.
      ID de certification Entrez le nom sous lequel ces informations d’identification sont stockées dans le fournisseur de stockage des informations d’identification externes.
      Serveurs MID Sélectionnez un ou plusieurs serveurs MID qui peuvent utiliser ces informations d’identification.
      Banque d'identifiants externes Activez cette case à cocher pour utiliser un système de stockage d’informations d’identification externes. Lorsque le stockage externe est activé, le champ ID d’informations d’identification s’affiche. Si cette case n’est pas visible, cliquez sur l’icône de menu dans la barre d’en-tête et sélectionnez Vue > Stockage externe dans le menu contextuel.
      Chambre forte de stockage des informations d'identification Sélectionnez CyberArk.
    4. Cliquez sur Envoyer.