Integration von Azure Key Vault für MID-Server

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer
  • Die MID-Serverintegration mit dem Azure-Schlüsseltresor ermöglicht die Ausführung von Orchestration, Discovery und Servicezuordnung, ohne Anmeldeinformationen in der Instanz zu speichern.

    Vorbereitungen

    Navigieren Sie zu , um die erforderliche Anwendung auf der Instanz zu installieren Plugin-Manager > Externer Anmeldeinformationsspeicher und -Verwaltungan.

    Richten Sie den Indikator für die Sicherheitsphase einStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-ServersicherheitStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-Serversicherheit

    Erforderliche Rolle: Anwendungsbereichs-ID für externen Anmeldeinformationsspeicher und -Verwaltung ist erforderlich: Com.sn_Mid_extcredstrg

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Einrichten des Zugriffs auf den Azure-Schlüsseltresor befindet sich der MID-Server entweder in der Azure-Umgebung oder auf einem externen virtuellen Computer. Dieses Verfahren behandelt die Einrichtung des Azure-Schlüsseltresors für einen MID-Server in der Azure-Umgebung.

    Weitere Informationen zu bestimmten Azure- und Azure-SchlüsselVault-Verfahren finden Sie unter Azure-Schlüsseltresor-Dokumentation .

    Prozedur

    1. Erstellen Sie in der Azure Cloud-Umgebung eine virtuelle Maschine.
    2. Navigieren Sie zum Abschnitt Identität dieser virtuellen Maschine.
    3. Aktivieren Sie die vom System zugewiesene Identität.
      Sobald sie aktiviert ist, haben Sie die Möglichkeit, eine Rolle für diese Identität zuzuweisen.
    4. Navigieren Sie zu Fügen Sie eine Rollenzuweisung hinzu Menü.
    5. Legen Sie den Umfang auf Ihr Abonnement fest.
    6. Fügen Sie die Schlüsseltresor-Administratorrolle hinzu.
    7. Legen Sie die Ressource auf den Schlüsseltresor fest, den Sie in den MID-Server integrieren möchten.

    Azure-Schlüsseltresor-Integration für MID-Server externer virtueller Computer

    Die MID-Serverintegration mit dem Azure-Schlüsseltresor ermöglicht die Ausführung von Orchestration, Discovery und Servicezuordnung, ohne Anmeldeinformationen in der Instanz zu speichern.

    Vorbereitungen

    Erforderliche Rolle: Externe Anwendung für Anmeldeinformationsspeicher und -Verwaltung (Bereichs-ID: Com.sn_Mid_extcredstrg ) Ist erforderlich.

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Einrichten des Zugriffs auf den Azure-Schlüsseltresor befindet sich der MID-Server entweder in der Azure-Umgebung oder auf einem externen virtuellen Computer. Dieses Verfahren behandelt die Einrichtung des Azure-Schlüsseltresors für einen MID-Server, der sich auf einer externen virtuellen Maschine befindet.

    Weitere Informationen zu bestimmten Azure- und Azure-SchlüsselVault-Verfahren finden Sie unter Azure-Schlüsseltresor-Dokumentation .

    Prozedur

    1. Navigieren Sie im Azure-Portal zu App-Registrierungen.
    2. Erstellen Sie eine neue Anwendung für den MID-Server.
    3. Notieren Sie sich Mandanten-ID Und Client-ID Da diese später verwendet werden.
    4. Geben Sie der Anwendung die API-Berechtigung für den Azure-Schlüsseltresor an.
    5. Navigieren Sie zu Zertifikate und Geheimnisse Für die neue Anwendung.
    6. Generieren Sie ein neues geheimes Clientgeheimnis, und notieren Sie sich dieses geheime Clientgeheimnis.
      An diesem Punkt sollten Sie haben Client_ID , Mandant_ID , Und Secret_key Für die Anwendungsregistrierung.
    7. Fügen Sie dem MID-Server die folgenden Parameter hinzu config.xml Mithilfe der aufgezeichneten Werte.
      <parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
      <parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
      <parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
      <parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/> 

    Unterstützte Anmeldeinformationen für die Azure-SchlüsselVault-Integration

    Der MID-Server unterstützt angegebene Anmeldeinformationen für die Integration in den Azure-Schlüsseltresor.

    Liste der Anmeldeinformationen

    SNMPV3-Anmeldeinformationen
      {
        "type": "snmpv3",
        "user": "<user_value>",
        "authentication_key": "<authentication_key_value>",
        "privacy_protocol": "<privacy_protocol_value>",
        "privacy_key": "<privacy_key_value>",
        "authentication_protocol": "<authentication_protocol_value>",
        "snmp_context": "<snmp_context_value>"
      }
    VMware-Anmeldeinformationen
      {
        "type": "vmware",
        "password": "<password_value>",
        "user": "<user_value>"
      }
    SSH-Anmeldeinformationen
      {
        "type": "ssh",
        "password": "<password_value>",
        "user": "<user_value>"
      }
    Windows-Anmeldeinformationen
      {
        "type": "windows",
        "password": "<password_value>",
        "user": "<user_value>",
        "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
      }
    Azure-Serviceprinzip-Anmeldeinformationen
      {
        "type": "azure",
        "client_id": "<client_id_value>",
        "tenant_id": "<tenant_id_value>",
        "secret_key": "<secret_key_value>"
      }
    Privater SSH-Schlüssel-Anmeldeinformationen
      {
        "type": "ssh_private_key",
        "password": "<password_value>", // optional
        "user": "<user_value>",
        "ssh_certificate": "<ssh_certificate_value>",
        "ssh_private_key": "<ssh_private_key_value>",
        "ssh_passphrase": "<ssh_passphrase_value>" // optional
      }
    AWS-Anmeldeinformationen
      {
        "type": "aws",
        "access_key": "<access_key_value>",
        "secret_key": "<secret_key_value>"
      }
    API Key-Anmeldeinformationen
      {
        "type": "api_key",
        "api_key": "<api_key_value>"
      }
    Passende Anmeldeinformationen
      {
        "type": "<applcation_type>", // generated by JSON builder: TODO
        "password": "<password_value>",
        "user": "<user_value>"
      }
    
    Azure Enterprise Agreement-Anmeldeinformationen
      {
        "type": "ea_azure",
        "access_key": "<access_key_value>",
        "enrollment_number": "<enrollment_number>"
      }
    Azure SAS-Anmeldeinformationen
      {
        "type": "azure_sas",
        "sas_key": "<sas_key_value>",
        "sas_key_name": "<sas_key_name_value>"
      }
    Anmeldeinformationen für Standardauthentifizierung
      {
        "type": "basic_auth",
        "password": "<password_value>",
        "user": "<user_value>"
      }
    CIM-Anmeldeinformationen
      {
        "type": "cim",
        "password": "<password_value>",
        "user": "<user_value>"
      }
    Cloud-Foundry-Anmeldeinformationen
      {
        "type": "sn_itom_pattern_pcf",
        "password": "<password_value>",
        "user": "<user_value>",
        "ssh_private_key": "<ssh_private_key_value>",
        "ssh_passphrase": "<ssh_passphrase_value>"
      }
    Google-API-Anmeldeinformationen
      {
        "type": "gcp",
        "email": "<email_value>",
        "secret_key": "<secret_key_value>"
      }
    Anmeldeinformationen für SSL-Schlüsselspeicher
      {
        "type": "keystore",
        "keystore_password": "<keystore_password_value>",
        "keystore_path": "<keystore_path_value>",
        "key_password": "<key_password_value>"
      }
    JMS-Anmeldeinformationen
      {
        "type": "jms",
        "password": "<password_value>",
        "user": "<user_value>"
      }
    SNMP-Community-Anmeldeinformationen
      {
        "type": "snmp",
        "password": "<password_value>"
      }
    SSL-Anmeldeinformationen
      {
        "type": "keystore",
        "user": "<user_value>",
        "password": "<password_value>",
        "additional_properties": "<additional_properties_value>",
        "key_password": "<key_password_value>",
        "keystore": "<keystore_value>",
        "keystore_password": "<keystore_password_value>",
        "keystore_type": "<keystore_type_value>",
        "ssl_provider_name": "<ssl_provider_name_value>",
        "security_protocol": "<security_protocol_value>",
        "truststore": "<truststore_value>",
        "truststore_password": "<truststore_password_value>",
        "truststore_type": "<truststore_type_value>"
      }
    IBM-Anmeldeinformationen
      {
        "type": "ibm",
        "user": "<user_value>",
        "password": "<password_value>",
        "softlayer_user": "<softlayer_user_value>",
        "softlayer_key": "<softlayer_key_value>",
        "bluemix_key": "<bluemix_key_value>"
      }

    Gov Cloud-Unterstützung für Azure-SchlüsselVault-Integration

    Möglicherweise müssen Sie die Authentifizierung und die Tresor-URL überschreiben, wenn Sie in Cloud-Umgebungen für Behörden arbeiten. Die folgenden Beispiele gelten für Clouds der US-Regierung.

    Authentifizierungs-Endpunkt:

    Für Clouds der US-Regierung: https://login.microsoftonline.us/%s/oauth2/v2.0/token

    Für Cloud-Support für US-Behörden: <paramter name="ext.cred.azure.vault_auth_endpoint" value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

    Umfang:

    Für Clouds der US-Regierung: https://vault.usgovcloudapi.net/.default

    <paramter name="ext.cred.azure.endpoint_scope" value="https://vault.usgovcloudapi.net/.default"/>

    Für Clouds der Bundesregierung Deutschland: https://vault.microsoftazure.de/.default

    Für Clouds der chinesischen Regierung: https://vault.azure.cn/.default