CyberArk Integration des Anmeldeinformationsspeichers

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Durch die Integration von MID-Server mit dem Tresor ServiceNow® OrchestrationCyberArk können [], ServiceNow® Discoveryund ServiceNow® Service-Mapping ausgeführt werden, ohne dass Anmeldeinformationen in der Instanz gespeichert werden.

    Einführung in CyberArk

    Das ProduktCyberArk Application Identity Management (AIM) nutzt die Lösung für die Sicherheit privilegierter Konten, um zu verhindern, dass Anwendungspasswörter eingebettet in Anwendungen, Skripts oder Konfigurationsdateien gespeichert werden, und ermöglicht die zentrale Speicherung, Protokollierung und Verwaltung dieser vertraulichen Passwörter im CyberArk. ] Tresor. Dieser Ansatz ermöglicht es Organisationen, die internen und behördlichen Anforderungen hinsichtlich der periodischen Ersetzung von Passwörtern zu erfüllen und Aktivitäten zu überwachen, die mit allen Arten von privilegierten Identitäten verbunden sind, ob vor Ort oder in der Cloud.

    Die Instanz verwaltet einen eindeutigen Bezeichner für jede Anmeldeinformation, den Anmeldeinformationstyp (z. B. SSH, SNMP oder Windows) und alle Anmeldeinformationsaffinitäten. MID-Server ruft den Bezeichner der Anmeldeinformationen, den Typ der Anmeldeinformationen und die IP-Adresse von der Instanz ab und verwendet dann den Tresor CyberArk, um diese Elemente in verwendbare Anmeldeinformationen zu konvertieren. Der Resolver für Anmeldeinformationen kann auch den Hostnamen und den FQDN suchen und die umgekehrte DNS-Suche verwenden, um den FQDN abzurufen.

    Die Integration CyberArk erfordert das ServiceNow® Plugin Externer Anmeldeinformationsspeicher, das in verfügbar ist Systemdefinitionen > Pluginsan. Der AIM/API-Client MID-Server und CyberArk müssen auf demselben Computer installiert sein. CyberArk Application Access Manager (AAM) Version 12.0.1 und höher für Anmeldeinformationsanbieter wird unterstützt.

    Mit CyberArk installierte Komponenten

    • Business-Regel: Die Business-Regel „Externer Anmeldeinformationsspeicher“ führt die folgenden Aufgaben aus, wenn ein Administrator Änderungen an der Eigenschaft „Externer Anmeldeinformationsspeicher“ vornimmt:
      • Ändern der Ansicht für die Datensatzliste und des Formulars für Anmeldeinformationen in die Ansicht „Externer Speicher“. In dieser Ansicht können Benutzer die Spalte „Nachweis-ID“ in der Liste sehen.
      • Weist MID-Server an, den Cache für nicht externe Anmeldeinformationen zu aktualisieren, als Vorbereitung auf eine Änderung der Art und Weise, wie Anmeldeinformationen abgerufen werden.
    • Systemeigenschaft: Die Eigenschaft „Externen Anmeldeinformationsspeicher aktivieren“ [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „Externer Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Diese Eigenschaft befindet sich inDiscovery-Definition > EigenschaftenundOrchestration > MID-Server-Eigenschaften, und werden aktiviert, wenn Sie das Plugin aktivieren.
      Hinweis:
      Wenn Sie die Einsatzbereitschaft des externen Anmeldeinformationsspeichers über die Systemeigenschaft widerrufen, setzt das System automatisch alle externen Anmeldeinformationen in der Instanz auf „Inaktiv“. Wenn Sie die Funktion mithilfe dieser Eigenschaft erneut in Einsatzbereitschaft versetzen, setzt das System die externen Anmeldeinformationsdatensätze nicht wieder auf „Aktiv“. Sie müssen jeden Anmeldeinformationsdatensatz manuell neu aktivieren.

    Unterstützte Anmeldeinformationstypen

    Die CyberArk -Integration unterstützt die folgenden ServiceNow -Anmeldeinformationstypen:
    • GCP
    • Azure
    • CIM
    • JMS
    • SNMP-Forum
    • SNMPv3
    • Basisauth.
    • SSH-Schlüsselpaar
    • Privater SSH-Schlüssel (mit Schlüssel, Passphrase und Passwort)
    • VMware
    • Windows
    • Applicative-Anmeldeinformationen
    Hinweis:
    Um die Integration CyberArk mit dem Anmeldeinformationstyp GCP zu verwenden, müssen Sie die JAR-Datei für den externen Anmeldeinformationsspeicher ändern. Einzelheiten hierzu finden Sie unter ServiceNow GCP Credential Resolver with CyberArk (Resolver für Anmeldeinformationen von ServiceNow GCP mit CyberArk).

    Die FunktionenNow Platform, die diese Netzwerkprotokolle verwenden, unterstützen auch die Verwendung von Anmeldeinformationen, die in einem CyberArk -Tresor gespeichert sind.

    Tabelle : 1. Vom Netzwerkprotokoll unterstützte Anmeldeinformationen
    Netzwerkprotokoll ServiceNow® Workflow-Studio Unterstützung Orchestration -Unterstützung
    SOAP SOAP-Schritt Erstellt eine SOAP-Webservice-Aktivität mit Außerkraftsetzung der Standardauthentifizierung
    REST REST-Schritt Erstellen Sie eine REST-Webservice-Aktivität mit Außerkraftsetzung der Standardauthentifizierung
    JDBC JDBC-Schritt JDBC-Aktivität
    SSH SSH-Schritt SSH-Aktivität
    PowerShell PowerShell-Schritt PowerShell-Aktivität
    SFTP SFTP-Schritt SFTP-Aktivität
    JMS JMS-Aktivität
    Wichtig:
    Sie können Anmeldeinformationen, die in einem CyberArk Tresor und einem anwenderdefinierten externen Anmeldeinformationsspeichersystem gespeichert sind, nicht mit demselben MID-Serververwalten. Der AIM/API-Client MID-Server und CyberArk müssen auf demselben Computer installiert sein.

    CyberArk-Architektur

    Abbildung : 1. CyberArk Speicherarchitektur
    CyberArk Speicherarchitektur.
    Hinweis:
    CyberArk verwendet die Basissystemdatei mid.jar zum Auflösen von Anmeldeinformationen.

    Wie der MID-Server mit den Accounts Windows umgeht

    Die Suche nach Anmeldeinformationen versucht zunächst, die angegebene Anmeldeinformations-ID einem vorhandenen Wert im Feld Name des Tresors CyberArk zuzuordnen. Wenn eine Übereinstimmung gefunden wird, werden die Anmeldeinformationen ausgegeben. Wenn keine Übereinstimmung gefunden wird, versucht die Anmeldeinformationssuche, mithilfe der IP-Adresse eine Übereinstimmung zu finden. Wenn die IP-Adressensuche mit mehreren Anmeldeinformationen übereinstimmt, z. B. Windows und Tomcat auf demselben Server, schlägt die Suche fehl. Um dieses Problem zu vermeiden, legen Sie den Parameter ext.cred.type_specifier in der Datei MID-Server config.xml auf „ true “ fest, um zu erzwingen, dass CyberArk Anmeldeinformationen zurückgibt, die dem Anmeldeinformationstyp und der IP-Adresse entsprechen. Wenn beispielsweise eine IP-Adresse von Windows und Tomcatgemeinsam genutzt wird, gibt der Anmeldeinformationstyp Windows nur die Anmeldeinformationen Windows zurück.

    Aktualisieren Sie die Bibliothek CyberArk

    Sie können die Bibliothek CyberArk upgraden, wenn ein gesicherter Konfigurationsparameter benötigt wird.

    Überprüfen Sie die folgenden Konfigurationsparameter in der Datei config.xml : <parameter name="mid.secure_config.provider" value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider"/>

    Führen Sie die folgenden Schritte aus, um das Upgrade durchzuführen, wenn ein gesicherter Konfigurationsparameter-Provider konfiguriert ist.
    1. Benennen Sie die Client-Version CyberArk in JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jarum.
    2. Erstellen Sie einen neuen JAR-Eintrag in der Tabelle „ecc_agent“, in dem die umzubenennende JAR-Datei angehängt werden kann. Dieser neue Eintrag wird in MID-Serverheruntergeladen. Dieser Schritt führt zu zwei JAR-Dateien (Passworsdk.jar und JavaPasswordSDK _12_X_X.jar).
    3. Löschen Sie den alten ecc_agent-Eintrag aus der Instanz. Dieser Schritt löscht PasswordSDK.jar aus MID-Server, und JavaPasswordSDK _12_X_X.jar verbleibt im System.