Erste Schritte mit Anmeldeinformationen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Der MID Server verwendet die Anmeldeinformationen, die Sie in der Tabelle „Anmeldeinformationen“ [discovery_credentials] erstellen, um auf Ressourcen für Discovery, Orchestration, Service Mapping und Cloud Management zuzugreifen.

    Verwendung von Anmeldeinformationen durch MID Server

    Standardmäßig verwenden Windows-MID Server die Anmeldeinformationen des MID Server-Service auf dem Hostcomputer, um Windows-Geräte im Netzwerk zu ermitteln. Sie sollten die Anmeldeinformationen für den Windows-MID-Server-Service so konfigurieren, dass sie mindestens über lokale Administratorrechte verfügen. Für die Computer und Netzwerkgeräte vom Typ Linux und UNIX verwendet der MID-Server die SSH- und SNMP-Anmeldeinformationen, die in der Instanz in konfiguriert sind Discovery > Anmeldeinformationenan.

    Die MID-Server, die von Orchestration verwendet werden, müssen Zugriff auf die erforderlichen Anmeldeinformationen haben, um Befehle auf Computern im Netzwerk auszuführen, wie in den Workflow-Aktivitätenangegeben. Orchestration kann dieselben SSH- und SNMP-Anmeldeinformationen wie Discoveryverwenden, verfügt jedoch über zwei zusätzliche Anmeldeinformationen für bestimmte Workflow-Aktivitäten: Windows (für PowerShell-Aktivitäten) und VMware.

    Verschlüsselung und Entschlüsselung

    Die Plattform speichert die Anmeldeinformationen in einem verschlüsselten Feld in der Tabelle „Anmeldeinformationen“ [discovery_credentials]. Einmal eingegeben, können sie nicht angezeigt werden.

    Wenn der MID-Server Anmeldeinformationen anfordert, entschlüsselt Now Platform die Anmeldeinformationen mit dem folgenden Prozess:
    1. Die Anmeldeinformationen werden in der Instanz mit dem festen Schlüssel „password2“ entschlüsselt.
    2. Die Anmeldeinformationen werden in der Instanz mit dem öffentlichen Schlüssel des MID Servers erneut verschlüsselt.
    3. Die Anmeldeinformationen werden im Lastenausgleichsmodul mit SSL verschlüsselt.
    4. Die Anmeldeinformationen werden auf dem MID Server mit SSL entschlüsselt.
    5. Die Anmeldeinformationen werden auf dem MID Server mit dem privaten Schlüssel des MID Servers entschlüsselt.
    Hinweis:
    Die Plattform verfügt nicht über separate Verschlüsselungsschlüssel für Instanzen mit mehreren Mandanten.

    Reihenfolge der Anmeldeinformationen

    Anmeldeinformationen kann ein Wert für die Reihenfolge im Anmeldeinformationsformular zugewiesen werden. Die Anwendung wird so gezwungen, alle verfügbaren Anmeldeinformationen in einer bestimmten Reihenfolge durchzugehen. Wenn Sie keinen Wert für die Reihenfolge angeben, versucht die Anwendung die Anmeldeinformationen in der Tabelle „Anmeldeinformationen“ [discovery_credential] nach dem Zufallsprinzip, bis sie einen geeigneten Wert findet. Beispiel:
    • Orchestration versucht, einen Befehl auf einem SSH-Server wie einem Linux- oder UNIX-Computer auszuführen.
    • Discovery versucht, ein SNMP-Gerät wie einen Drucker, einen Router oder eine USV abzufragen.
    Nach der Ermittlung der Anmeldeinformationen für ein Gerät erstellen Discovery und Orchestration anhand der Tabelle „Anmeldeinformationsaffinität“ [dscy_credentials_affinity] eine Affinität zwischen den Anmeldeinformationen und dem Gerät. Bei allen nachfolgenden Ermittlungen oder Orchestration-Aktivitäten wird versucht, die Anmeldeinformationen in dieser Tabelle einem Gerät zuzuordnen, für das eine Affinität besteht. Wenn sich die Anmeldeinformationen für ein Gerät ändern, testen Discovery und Orchestration alle verfügbaren Anmeldeinformationen erneut, bis sie eine neue Affinität herstellen.
    Hinweis:
    Wenn Orchestration und Discovery installiert sind und der Anmeldeinformationsalias aktiviert ist, können mehrere Affinitäten vorhanden sein. In diesem Fall sucht die Plattform nach Anmeldeinformationen für jede Affinität und fügt die Anmeldeinformation für die Affinität mit der niedrigsten Reihenfolgenummer in die Probe ein.
    Das Angeben einer Reihenfolge für die Anmeldeinformationen ist in den folgenden Situationen hilfreich:
    • Die Tabelle „Anmeldeinformationen“ enthält viele Anmeldeinformationen, von denen einige häufiger als andere verwendet werden. Angenommen, die Tabelle enthält 150 SSH-Anmeldeinformationen, und fünf dieser Anmeldeinformationen werden für die Anmeldung bei 90 % der Geräte verwendet. Es empfiehlt sich, diese fünf Anmeldeinformationen mit niedrigen Reihenfolgenummern zu konfigurieren, durch die sie in der Ausführungsliste ganz oben platziert werden. Discovery und Orchestration arbeiten schneller, wenn sie diese allgemeinen Anmeldeinformationen zuerst testen. Nach der ersten erfolgreichen Verbindung weiß Now Platform, welche Anmeldeinformationen beim nächsten Mal für jedes Gerät verwendet werden sollen.
    • Now Platform weist eine strenge Anmeldesicherheit auf. Konfigurieren Sie beispielsweise Datenbank-Anmeldeinformationen mit einem niedrigen Reihenfolgewert, wenn Solaris-Datenbankserver im Netzwerk nur nach drei fehlgeschlagenen Anmeldeversuchen den MID-Server sperren.

    Anmeldeinformationsaliasse

    Aliasse für Anmeldeinformationen sind für Discovery und Orchestrationverfügbar.

    Mit Aliassen für Discovery kann ein Administrator:
    • ein Filterverhalten für Anmeldeinformationen mit konfigurierbaren Compliance-Stufen einsetzen.
    • mehrere Anmeldeinformationsaliase einem Discovery-Zeitplan zuweisen.
    • Verhindern Sie die Erstellung von Anmeldeinformationsaffinitäten, die unangemessene oder vertrauliche Anmeldeinformationen verwenden. Weitere Informationen finden Sie unter Anmeldeinformationsaffinitäten.
    Mit Aliassen für Orchestration können Workflow-Ersteller:
    • jeder Aktivität in einem Orchestration-Workflow individuelle Anmeldeinformationen zuweisen
    • jeder Aktion in Flow Designer individuelle Anmeldeinformationen zuweisen
    • jedem Vorkommen desselben Aktivitätstyps in einem Orchestration-Workflow unterschiedliche Anmeldeinformationen zuweisen.
    • jedem Vorkommen derselben Aktion im Designer-Flow unterschiedliche Anmeldeinformationen zuweisen

    Externe Anmeldeinformationsspeicher

    Wenn Sie nicht möchten, dass Anmeldeinformationen in Ihrer Instanz gespeichert werden, können Sie externe Repositorien für Anmeldeinformationen verwenden. Externe Anmeldeinformationsspeicher speichern die Anmeldeinformationen an einem externen Standort, auf den Ihre Instanz zugreifen kann. CyberArk ist der einzige externe Anmeldeinformationsspeicher, der unterstützt wird. Andere externe Speicher können jedoch mithilfe der ServiceNow API konfiguriert werden.