CyberArk Integration des Anmeldeinformationsspeichers

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Die MID-Server Integration mit CyberArk Tresor aktiviert ServiceNow® Orchestration, ServiceNow® Discovery, Und ServiceNow® Service-Mapping Zur Ausführung, ohne Anmeldeinformationen in der Instanz zu speichern.

    Einführung in CyberArk

    CyberArk Das Produkt „Application Identity Management“ (AIM) verwendet die Sicherheitslösung für Privileged Account, um die Speicherung von Anwendungspasswörtern, die in Anwendungen, Skripts oder Konfigurationsdateien eingebettet sind, zu überflüssig zu machen, und ermöglicht die zentrale Speicherung, Protokollierung und Verwaltung dieser hochsensiblen Passwörter innerhalb von CyberArk Tresor. Dieser Ansatz ermöglicht es Organisationen, die internen und behördlichen Anforderungen hinsichtlich der periodischen Ersetzung von Passwörtern zu erfüllen und Aktivitäten zu überwachen, die mit allen Arten von privilegierten Identitäten verbunden sind, ob vor Ort oder in der Cloud.

    Die Instanz verwaltet einen eindeutigen Bezeichner für jede Anmeldeinformation, den Anmeldeinformationstyp (z. B. SSH, SNMP oder) Windows) Und alle Anmeldeinformationsaffinitäten. Die MID-Server Ruft den Anmeldeinformationsbezeichner, den Anmeldeinformationstyp und die IP-Adresse von der Instanz ab und verwendet dann CyberArk Tresor, um diese Elemente in nutzbare Anmeldeinformationen aufzulösen. Der Anmeldeinformations-Resolver kann auch den Hostnamen und den fqdn suchen und die umgekehrte DNS-Suche verwenden, um fqdn abzurufen.

    Die CyberArk Für die Integration ist erforderlich ServiceNow® Plugin „externer Anmeldeinformationsspeicher“ , Der in verfügbar ist Systemdefinitionen > Pluginsan. Die MID-Server Und CyberArk AIM-/API-Client muss auf demselben Computer installiert sein. CyberArk Application Access Manager (AAM)-Anmeldeinformationsanbieter Version 12.0.1 und höher werden unterstützt.

    Mit CyberArk installierte Komponenten

    • Business-Regel: Die Business-Regel „Externer Anmeldeinformationsspeicher“ führt die folgenden Aufgaben aus, wenn ein Administrator Änderungen an der Eigenschaft „Externer Anmeldeinformationsspeicher“ vornimmt:
      • Ändern der Ansicht für die Datensatzliste und des Formulars für Anmeldeinformationen in die Ansicht „Externer Speicher“. In dieser Ansicht können Benutzer die Spalte „Nachweis-ID“ in der Liste sehen.
      • Weist an MID-Server Aktualisiert den Cache für nicht externe Anmeldeinformationen zur Vorbereitung auf eine Änderung in der Art und Weise, wie Anmeldeinformationen abgerufen werden.
    • Systemeigenschaft: Die Eigenschaft „Externen Anmeldeinformationsspeicher aktivieren“ [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „Externer Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Diese Eigenschaft befindet sich in  Discovery-Definition > Eigenschaften Und  Orchestration > MID-Server-Eigenschaften, Und ist aktiviert, wenn Sie das Plugin aktivieren.
      Hinweis:
      Wenn Sie die Einsatzbereitschaft des externen Anmeldeinformationsspeichers über die Systemeigenschaft widerrufen, setzt das System automatisch alle externen Anmeldeinformationen in der Instanz auf „Inaktiv“. Wenn Sie die Funktion mithilfe dieser Eigenschaft erneut in Einsatzbereitschaft versetzen, setzt das System die externen Anmeldeinformationsdatensätze nicht wieder auf „Aktiv“. Sie müssen jeden Anmeldeinformationsdatensatz manuell neu aktivieren.

    Unterstützte Anmeldeinformationstypen

    Die CyberArk Die Integration unterstützt diese ServiceNow Anmeldeinformationstypen:
    • GCP
    • Azure
    • CIM
    • JMS
    • SNMP-Forum
    • SNMPv3
    • Basisauth.
    • SSH-Schlüsselpaar
    • Privater SSH-Schlüssel (mit Schlüssel, Passphrase und Passwort)
    • VMware
    • Windows
    • Passende Anmeldeinformationen
    Hinweis:
    Zu verwenden CyberArk Integration mit dem GCP-Anmeldeinformationstyp. Sie müssen die externe Anmeldeinformationsspeicher-JAR ändern. Weitere Informationen finden Sie unter ServiceNow GCP-Anmeldeinformations-Resolver mit CyberArk .

    ServiceNow AI Platform Funktionen, die diese Netzwerkprotokolle verwenden, unterstützen auch die Verwendung von Anmeldeinformationen, die auf einem gespeichert sind CyberArk Tresor.

    Tabelle : 1. Vom Netzwerkprotokoll unterstützte Anmeldeinformationen
    Netzwerkprotokoll ServiceNow® Workflow-Studio Support Orchestration -Unterstützung
    SOAP SOAP-Schritt Erstellen Sie eine SOAP-Webserviceaktivität Mit Überschreibungen der Standardauthentifizierung
    REST REST-Schritt Erstellen Sie eine REST-Webservice-Aktivität Mit Überschreibungen der Standardauthentifizierung
    JDBC JDBC-Schritt JDBC-Aktivität
    SSH SSH-Schritt SSH-Aktivität
    PowerShell PowerShell-Schritt PowerShell-Aktivität
    SFTP SFTP-Schritt SFTP-Aktivität
    JMS JMS-Aktivität
    Wichtig:
    Sie können keine Anmeldeinformationen verwalten, die in einem gespeichert sind CyberArk Tresor und ein anwenderdefiniertes Externer Anmeldeinformationsspeicher System verwendet dasselbe MID-Server. Die MID-Server Und CyberArk AIM-/API-Client muss auf demselben Computer installiert sein.

    CyberArk-Architektur

    Abbildung : 1. CyberArk Speicherarchitektur
    CyberArk Speicherarchitektur.
    Hinweis:
    CyberArk Verwendet das Basissystem mid.jar Datei zum Auflösen von Anmeldeinformationen.

    Wie MID-Server Handles Windows Accounts

    Bei der Anmeldeinformationssuche wird zunächst versucht, die angegebene Anmeldeinformations-ID mit einem vorhandenen Wert in abzugleichen CyberArk Tresor Name Feld. Wenn eine Übereinstimmung gefunden wird, werden die Anmeldeinformationen ausgegeben. Wenn keine Übereinstimmung gefunden wird, versucht die Anmeldeinformationssuche, mithilfe der IP-Adresse eine Übereinstimmung zu finden. Wenn die IP-Adressensuche mit mehr als einer Anmeldeinformation übereinstimmt, z. B. Windows Und Tomcat Auf demselben Server schlägt die Suche fehl. Um dieses Problem zu vermeiden, legen Sie fest ext.cred.type_specifierParameter in MID-Server Datei config.xml in Wahr Zu erzwingen CyberArk Um Anmeldeinformationen zurückzugeben, die sowohl dem Anmeldeinformationstyp als auch der IP-Adresse entsprechen. Beispiel: Wenn eine IP-Adresse von beiden geteilt wird Windows Und Tomcat, Ein Anmeldeinformationstyp von Windows Gibt zurück Windows Nur Anmeldeinformationen.

    Führen Sie ein Upgrade von durch CyberArk Bibliothek

    Sie können ein Upgrade von durchführen CyberArk Bibliothek, wenn ein gesicherter Konfigurationsparameter erforderlich ist.

    Überprüfen Sie den folgenden Konfigurationsparameter in config.xml : <parameter name="mid.secure_config.provider" value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider"/>

    Führen Sie die folgenden Schritte aus, um das Upgrade durchzuführen, wenn ein Provider für gesicherte Konfigurationsparameter konfiguriert ist.
    1. Benennen Sie um CyberArk Client-Version bis JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jar .
    2. Erstellen Sie einen neuen JAR-Eintrag in ecc_Agent Tabelle, an die das Umbenennungs-JAR angehängt werden kann. Dieser neue Eintrag wird in heruntergeladen MID-Server. Dieser Schritt führt zu zwei JAR-Dateien (Passworsdk.jar und JavaPasswordSDK _12_X_X.jar).
    3. Löschen Sie den alten ecc_Agent-Eintrag aus der Instanz. Dieser Schritt löscht Passworsdk.jar aus der MID-Server, Und JavaPasswordSDK _12_X_X.jar verbleibt im System.