CyberArk Intégration de stockage des informations d’identification

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • L’intégration Serveur MIDCyberArk au coffre-fort permet ServiceNow® Orchestrationà , ServiceNow® Découverte et ServiceNow® Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Présentation de CyberArk

    CyberArk Le produit Application Identity Management (AIM) utilise la solution de sécurité des comptes privilégiés pour éliminer la nécessité de stocker les mots de passe d’application intégrés dans des applications, des scripts ou des fichiers de configuration, et permet à ces mots de passe hautement sensibles d’être stockés, journalisés et gérés de manière centralisée dans le CyberArk coffre-fort. Cette approche permet aux organisations de se conformer aux exigences internes et réglementaires de remplacement périodique des mots de passe et de surveiller les activités associées à tous les types d’identités privilégiées, que ce soit sur site ou dans le cloud.

    L’instance gère un identificateur unique pour chaque information d’identification, le type d’information d’identification (par exemple, SSH, SNMP ou Windows) et toutes les relations d’identification. Le obtient Serveur MID l’identificateur d’informations d’identification, le type d’informations d’identification et l’adresse IP de l’instance, puis utilise le CyberArk coffre pour résoudre ces éléments en informations d’identification utilisables. Le résolveur d’informations d’identification peut également rechercher le nom d’hôte, le nom de domaine complet et utiliser la recherche DNS inversée pour obtenir le nom de domaine complet.

    L’intégration CyberArk nécessite le ServiceNow® module d’extension Stockage des informations d’identification externe, disponible dans Définitions des systèmes > Modules d'extension. Le Serveur MID client AIM/API doit CyberArk être installé sur le même ordinateur. Les versions 12.0.1 et ultérieures de CyberArk Application Access Manager (AAM) Credential Providers sont prises en charge.

    Installé avec CyberArk

    • Règle métier : la règle métier Stockage des informations d’identification externe effectue les tâches suivantes lorsqu’un administrateur apporte des modifications à la propriété de stockage des informations d’identification externe :
      • Elle remplace la vue de la liste et du formulaire d'enregistrement Informations d'identification par la vue Stockage externe. Cette vue permet aux utilisateurs d’afficher la colonne ID d’informations d’identification dans la liste.
      • Indique à l’d’actualiser son cache d’informations d’identification Serveur MID non externes en vue d’un changement dans la façon dont les informations d’identification sont obtenues.
    • Propriété système : une propriété appelée Activer le stockage des informations d’identification externe [com.snc.use_external_credentials] active ou désactive le module d’extension Stockage des informations d’identification externe après son activation. Cette propriété est située àDéfinition de découverte > PropriétésetOrchestration > Propriétés de serveur MIDet est activé lorsque vous activez le module d’extension.
      Remarque :
      Si vous désactivez le stockage des informations d’identification externes avec la propriété système, le système définit automatiquement toutes les informations d’identification externes comme inactives dans l’instance. Si vous réactivez la fonctionnalité avec cette propriété, le système ne réinitialise pas les enregistrements d’informations d’identification externes sur actif. Vous devez réactiver chaque enregistrement d’informations d’identification manuellement.

    Types d’informations d’identification pris en charge

    L’intégration CyberArk prend en charge ces ServiceNow types d’informations d’identification :
    • GCP
    • Azure
    • CIM
    • JMS
    • Forum SNMP
    • SNMPv3
    • Authentification de base
    • Paire de clés SSH
    • Clé privée SSH (avec clé, phrase de passe et mot de passe)
    • VMware
    • Windows
    • Informations d'identification applicatives
    Remarque :
    Pour utiliser CyberArk l’intégration avec le type d’informations d’identification GCP, vous devez modifier le fichier jar de stockage des informations d’identification externe. Pour plus d’informations, consultez Outil de résolution des informations d’identification ServiceNow GCP à l’aide de CyberArk.

    ServiceNow AI Platform Les fonctionnalités qui utilisent ces protocoles réseau prennent également en charge l’utilisation des informations d’identification stockées sur un CyberArk coffre-fort.

    Tableau 1. Informations d’identification prises en charge par le protocole réseau
    Protocole réseau ServiceNow® Studio de workflow soutien Orchestration soutien
    SOAP Étape SOAP Créer une activité de service Web SOAP avec des remplacements d’authentification de base
    REST Étape REST Créer une activité de service Web REST avec des remplacements d’authentification de base
    JDBC Étape JDBC Activité JDBC
    SSH Étape SSH Activité SSH
    PowerShell Étape PowerShell Activité PowerShell
    SFTP Étape SFTP Activité SFTP
    JMS Activité JMS
    Important :
    Vous ne pouvez pas gérer les informations d’identification stockées sur un CyberArk coffre et un système de stockage d’informations d’identification externe personnalisé à l’aide de cette même méthode Serveur MID. Le Serveur MID client AIM/API doit CyberArk être installé sur le même ordinateur.

    Architecture CyberArk

    Figure 1. CyberArk Architecture de stockage
    CyberArk Architecture de stockage.
    Remarque :
    CyberArk Utilise le fichier de mid.jar du système de base pour résoudre les informations d’identification.

    Comment le Serveur MID gère les Windows comptes

    La recherche d’informations d’identification tente initialement de faire correspondre l’ID d’informations d’identification spécifié à une valeur existante dans le champ Nom du CyberArk coffre. Si une correspondance est trouvée, ces informations d’identification sont renvoyées. Si aucune correspondance n’est trouvée, la recherche d’informations d’identification tente de trouver une correspondance à l’aide de l’adresse IP. Si la recherche d’adresse IP correspond à plusieurs informations d’identification, telles que Windows et Tomcat sur le même serveur, la recherche échoue. Pour éviter ce problème, définissez le ext.cred.type_specifier paramètre dans le Serveur MID fichier config.xml sur true pour forcer CyberArk le renvoi d’informations d’identification qui correspondent à la fois au type d’informations d’identification et à l’adresse IP. Par exemple, si une adresse IP est partagée par les deux Windows et , Tomcat un type d’information d’identification renvoie Windows uniquement les informations d’identification Windows .

    Mettre à niveau la CyberArk bibliothèque

    Vous pouvez mettre à niveau la CyberArk bibliothèque si un paramètre de configuration sécurisé est nécessaire.

    Vérifiez le paramètre de configuration suivant dans le config.xml : <nom du paramètre="mid.secure_config.provider » value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider"/>

    Procédez comme suit pour effectuer la mise à niveau si un fournisseur de paramètres de configuration sécurisé est configuré.
    1. Renommez la CyberArk version du client en JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jar.
    2. Créez une nouvelle entrée jar dans la table ecc_agent où le fichier jar renommé peut être joint. Cette nouvelle entrée est téléchargée dans le fichier Serveur MID. Cette étape génère deux fichiers jar (Passworsdk.jar et JavaPasswordSDK _12_X_X.jar).
    3. Supprimez l’ancienne entrée de ecc_agent de l’instance. Cette étape supprime Passworsdk.jar de , Serveur MID et le _12_X_X.jar JavaPasswordSDK reste dans le système.