Externer Anmeldeinformationsspeicher

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Eine Instanz kann Anmeldeinformationen, die von Discovery, Orchestration und Service-Mapping verwendet werden, in einem externen Anmeldeinformations-Repository anstatt direkt in einem ServiceNow-Anmeldeinformationsdatensatz speichern.

    Die Instanz verwaltet einen eindeutigen Bezeichner für jede Anmeldeinformation, den Anmeldeinformationstyp (z. B. SSH, SNMP oder Windows) und alle Berechtigungsaffinitäten. Der MID Server erhält den Nachweis-Bezeichner von der Instanz und löst dann mithilfe einer vom Kunden bereitgestellten JAR-Datei den Bezeichner aus dem Repository in verwendbare Anmeldeinformationen auf. Derzeit unterstützt die Plattform ServiceNow® die Verwendung von CyberArk Vault oder „BeyondTrust“ für externen Anmeldeinformationsspeicher.

    Architektur des externen Anmeldeinformationsspeichers

    Abbildung : 1. Architektur des externen Anmeldeinformationsspeichers
    Architektur des externen Anmeldeinformationsspeichers von ServiceNow

    Prozessablauf für Anmeldeinformationen

    Der MID Server ruft Anmeldeinformationen anhand dieses Prozesses aus einem externen Speicher ab:
    1. Der MID Server lädt Anmeldeinformationsobjekte aus der ServiceNow-Tabelle „Anmeldeinformationen“ [discovery_credentials] herunter, die die entsprechende Nachweis-ID aus dem Zieltresor enthalten.
    2. Während die Probes und Muster von den Aufträgen Discovery oder Orchestration ausgeführt werden, fordert der MID-Server die Anmeldeinformationen an, indem er Informationen wie Anmeldeinformations-ID, Ziel-IP-Adresse und Typ der Anmeldeinformationen an die Java-Jar-Datei des Anmeldeinformations-Resolvers übergibt. Die Details zum richtigen Anmeldeinformationsobjekt, das aus dem Tresor abgerufen werden soll, werden vom Resolver für Anmeldeinformationen bestimmt.

      Viele Resolver für Anmeldeinformationen wie CyberArk nennen eine Anwendung, die vom Drittanbieter-Vault-Anbieter bereitgestellt wird und auf demselben Computer wie der MID-Server ausgeführt wird. Diese Anwendung kann häufig so konfiguriert werden, dass Anmeldeinformationen zwischengespeichert werden, und weiß, dass der Cache aktualisiert wird, wenn sich Anmeldeinformationen im Tresor ändern. Dies ist sehr wichtig, um unnötige Netzwerkaufrufe beim Tresor zu vermeiden, wenn der MID-Server jedes Mal Anmeldeinformationen anfordert. Der Resolver für Anmeldeinformationen (unter Verwendung der optionalen Lieferantenanwendung, falls vorhanden) ruft den Tresor auf, um den tatsächlichen Anwendernamen, das Passwort usw. abzurufen.

      Bei vordefinierten Resolvern für Anmeldeinformationen (heute nur CyberArk) speichert der MID Server Anmeldeinformationen nur bis zu mehreren Sekunden mithilfe der Verschlüsselung im Prozessspeicher des MID Servers. Dies bedeutet, dass der MID-Server für dieselben Anmeldeinformationen mehrere Anforderungen an den Resolver für Anmeldeinformationen stellen kann, selbst wenn ein einzelnes Gerät erkannt wird. Wenden Sie sich an Drittanbieter, um Informationen zum Zwischenspeichern von Implementierungen für andere Resolver für Anmeldeinformationen zu erhalten.

    3. Der MID Server führt die Probe mit den entsprechenden Anmeldeinformationen aus.
    Hinweis:
    Berechtigungsaffinitäten gelten weiterhin. Der Mechanismus bleibt derselbe, da der einzige wirkliche Unterschied aus Sicht des MID Servers darin besteht, dass die tatsächlichen Anmeldeinformationen (Benutzername und Passwort) aus dem Tresor einer Drittpartei stammen.

    Protokollierung des externen Anmeldeinformationsspeichers

    Der MID Server gibt Protokollnachrichten über den externen Anmeldeinformationsspeicher aus.

    Wenn vom Repository beim Versuch, eine Anforderung für Anmeldeinformationen zu lösen, ein Fehler festgestellt wird, werden vom MID-Server Protokollnachrichten mit diesem Präfix ausgegeben: Problem with client's CredentialResolver: (Problem mit dem CredentialResolver des Clients).

    Mit dem externen Anmeldeinformationsspeicher installierte Komponenten

    Geschäftsregel

    Mit der Geschäftsregel für externe Anmeldeinformationsspeicher werden die folgenden Aufgaben ausgeführt, wenn ein Administrator Änderungen an der Eigenschaft „Externen Anmeldeinformationsspeicher aktivieren“ vornimmt:

    • Ändern der Ansicht für die Datensatzliste und des Formulars für Anmeldeinformationen in die Ansicht „Externer Speicher“. In dieser Ansicht können Anwender die Spalte „Anmeldeinformations-ID “ in der Liste anzeigen.
    • Weist den MID-Server an, den Cache für Anmeldeinformationen zu aktualisieren. Dies dient der Vorbereitung auf eine geänderte Vorgehensweise zum Abrufen von Anmeldeinformationen.
    Eigenschaft

    Eine Eigenschaft namens Externen Anmeldeinformationsspeicher [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „Externer Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Die Eigenschaft befindet sich in Discovery-Definition > Eigenschaften und Orchestration > MID-Server-Eigenschaften, und werden aktiviert, wenn Sie das Plugin aktivieren.

    Wenn Sie die Speicherung von externen Anmeldeinformationen mit der Systemeigenschaft deaktivieren, werden alle externen Anmeldeinformationen in der Instanz vom System automatisch auf inaktiv festgelegt. Wenn Sie die Funktion mit dieser Eigenschaft erneut aktivieren, setzt das System die Datensätze für externe Anmeldeinformationen nicht auf „Aktiv“ zurück. Sie müssen jeden Anmeldeinformationsdatensatz manuell erneut aktivieren.