Erste Schritte mit Anmeldeinformationen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Der MID Server verwendet die Anmeldeinformationen, die Sie in der Tabelle „Anmeldeinformationen“ [discovery_credentials] erstellen, um auf Ressourcen für Discovery, Orchestration, Service Mapping und Cloud Management zuzugreifen.

    Verwendung von Anmeldeinformationen durch MID Server

    Standardmäßig verwenden Windows-MID Server die Anmeldeinformationen des MID Server-Service auf dem Hostcomputer, um Windows-Geräte im Netzwerk zu ermitteln. Sie sollten die Anmeldeinformationen für den Windows MID Server-Service so konfigurieren, dass sie mindestens über lokale Administratorrechte verfügen. Für Linux - und UNIX -Computer und -Netzwerkgeräte verwendet der MID Server die SSH- und SNMP-Anmeldeinformationen, die in der Instanz in konfiguriert sind Discovery > Berechtigungen.

    MID Server, die von Orchestration verwendet werden, müssen Zugriff auf die erforderlichen Anmeldeinformationen haben, um Befehle auf Computern im Netzwerk auszuführen, wie in den Workflow-Aktivitätenangegeben. Orchestration kann dieselben SSH- und SNMP-Anmeldeinformationen wie Discoveryverwenden, verfügt jedoch über zwei zusätzliche Anmeldeinformationen, die für bestimmte Workflow-Aktivitäten entwickelt wurden: Windows (für PowerShell-Aktivitäten) und VMware.

    Verschlüsselung und Entschlüsselung

    Die Plattform speichert die Anmeldeinformationen in einem verschlüsselten Feld in der Tabelle „Anmeldeinformationen“ [discovery_credentials]. Einmal eingegeben, können sie nicht angezeigt werden.

    Wenn der MID Server Anmeldeinformationen anfordert, entschlüsselt Now Platform die Anmeldeinformationen mit dem folgenden Prozess:
    1. Die Anmeldeinformationen werden in der Instanz mit dem festen Schlüssel „password2“ entschlüsselt.
    2. Die Anmeldeinformationen werden in der Instanz mit dem öffentlichen Schlüssel des MID Servers erneut verschlüsselt.
    3. Die Anmeldeinformationen werden im Lastenausgleichsmodul mit SSL verschlüsselt.
    4. Die Anmeldeinformationen werden auf dem MID Server mit SSL entschlüsselt.
    5. Die Anmeldeinformationen werden auf dem MID Server mit dem privaten Schlüssel des MID Servers entschlüsselt.
    Hinweis:
    Die Plattform verfügt nicht über separate Verschlüsselungsschlüssel für Instanzen mit mehreren Mandanten.

    Reihenfolge der Anmeldeinformationen

    Anmeldeinformationen kann ein Wert für die Reihenfolge im Anmeldeinformationsformular zugewiesen werden. Die Anwendung wird so gezwungen, alle verfügbaren Anmeldeinformationen in einer bestimmten Reihenfolge durchzugehen. Wenn Sie keinen Wert für die Reihenfolge angeben, versucht die Anwendung die Anmeldeinformationen in der Tabelle „Anmeldeinformationen“ [discovery_credential] nach dem Zufallsprinzip, bis ein funktionierender gefunden wird. Beispiel:
    • Orchestration versucht, einen Befehl auf einem SSH-Server auszuführen, z. B. auf einem Linux- oder UNIX-Computer.
    • Discovery versucht, ein SNMP-Gerät abzufragen, z. B. einen Drucker, Router oder eine UPS.
    Nach der Ermittlung der Anmeldeinformationen für ein Gerät erstellen Discovery und Orchestration anhand der Tabelle „Anmeldeinformationsaffinität“ [dscy_credentials_affinity] eine Affinität zwischen den Anmeldeinformationen und dem Gerät. Bei allen nachfolgenden Ermittlungen oder Orchestration-Aktivitäten wird versucht, die Anmeldeinformationen in dieser Tabelle einem Gerät zuzuordnen, für das eine Affinität besteht. Wenn sich die Anmeldeinformationen für ein Gerät ändern, testen Discovery und Orchestration alle verfügbaren Anmeldeinformationen erneut, bis sie eine neue Affinität herstellen.
    Hinweis:
    Wenn Orchestration und Discovery installiert sind und der Anmeldeinformationsalias aktiviert ist, können mehrere Affinitäten vorhanden sein. In diesem Fall sucht die Plattform nach Anmeldeinformationen für jede Affinität und fügt die Anmeldeinformation für die Affinität mit der niedrigsten Reihenfolgenummer in die Probe ein.
    Das Angeben einer Reihenfolge für die Anmeldeinformationen ist in den folgenden Situationen hilfreich:
    • Die Tabelle „Anmeldeinformationen“ enthält viele Anmeldeinformationen, von denen einige häufiger als andere verwendet werden. Beispiel: Die Tabelle enthält 150 SSH-Anmeldeinformationen, und fünf dieser Anmeldeinformationen werden für die Anmeldung bei 90 % der Geräte verwendet. Es wird empfohlen, diese fünf Anmeldeinformationen mit niedrigen Reihenfolgenummern zu konfigurieren, wodurch sie oben in der Ausführungsliste platziert werden. Discovery und Orchestration arbeiten schneller, wenn sie zuerst diese allgemeinen Anmeldeinformationen ausprobieren. Nach der ersten erfolgreichen Verbindung weiß Now Platform, welche Anmeldeinformationen beim nächsten Mal für jedes Gerät verwendet werden sollen.
    • Now Platform verfügt über eine aggressive Anmeldesicherheit. Konfigurieren Sie Datenbankanmeldeinformationen beispielsweise mit einem niedrigen Wert für die Reihenfolge, wenn Solaris-Datenbankserver im Netzwerk nur drei fehlgeschlagene Anmeldeversuche bereitstellen, bevor der MID Server gesperrt wird.

    Anmeldeinformationsaliasse

    Aliasse für Anmeldeinformationen sind für Discovery und Orchestrationverfügbar.

    Mit Aliassen für Discovery kann ein Administrator:
    • ein Filterverhalten für Anmeldeinformationen mit konfigurierbaren Compliance-Stufen einsetzen.
    • mehrere Anmeldeinformationsaliase einem Discovery-Zeitplan zuweisen.
    • Verhindern Sie die Erstellung von Anmeldeinformationsaffinitäten, die unangemessene oder vertrauliche Anmeldeinformationen verwenden. Weitere Informationen finden Sie unter Affinitäten von Anmeldeinformationen.
    Aliasse für Orchestration ermöglichen Workflow-Erstellern Folgendes:
    • jeder Aktivität in einem Orchestration-Workflow individuelle Anmeldeinformationen zuweisen
    • jeder Aktion in Flow Designer individuelle Anmeldeinformationen zuweisen
    • jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zuweisen.
    • jedem Vorkommen derselben Aktion im Designer-Flow unterschiedliche Anmeldeinformationen zuweisen

    Externe Anmeldeinformationsspeicher

    Wenn Sie nicht möchten, dass Anmeldeinformationen in Ihrer Instanz gespeichert werden, können Sie externe Repositorien für Anmeldeinformationen verwenden. Externe Anmeldeinformationsspeicher speichern die Anmeldeinformationen an einem externen Standort, auf den Ihre Instanz zugreifen kann. CyberArk ist der einzige externe Anmeldeinformationsspeicher, der unterstützt wird. Andere externe Speicher können jedoch mithilfe der ServiceNow-API konfiguriert werden.