Externer Anmeldeinformationsspeicher

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Eine Instanz kann Anmeldeinformationen, die von Discovery, Orchestration und Service-Mapping verwendet werden, in einem externen Anmeldeinformations-Repository anstatt direkt in einem ServiceNow-Anmeldeinformationsdatensatz speichern.

    Die Instanz verwaltet einen eindeutigen Bezeichner für jede Anmeldeinformation, den Anmeldeinformationstyp (z. B. SSH, SNMP oder Windows) und alle Berechtigungsaffinitäten. Der MID Server erhält den Nachweis-Bezeichner von der Instanz und löst dann mithilfe einer vom Kunden bereitgestellten JAR-Datei den Bezeichner aus dem Repository in verwendbare Anmeldeinformationen auf. Derzeit ist ServiceNow® Die Plattform unterstützt die Verwendung von CyberArk-Tresor Oder BeyondTrust für externen Anmeldeinformationsspeicher.

    Architektur des externen Anmeldeinformationsspeichers

    Abbildung : 1. Architektur des externen Anmeldeinformationsspeichers
    Architektur des externen Anmeldeinformationsspeichers von ServiceNow

    Prozessablauf für Anmeldeinformationen

    Der MID Server ruft Anmeldeinformationen anhand dieses Prozesses aus einem externen Speicher ab:
    1. Der MID Server lädt Anmeldeinformationsobjekte aus der ServiceNow-Tabelle „Anmeldeinformationen“ [discovery_credentials] herunter, die die entsprechende Nachweis-ID aus dem Zieltresor enthalten.
    2. Wie jede Probe oder jedes Muster von ausgeführt wird Discovery Oder Orchestration Aufträge fordert der MID-Server die Anmeldeinformationen an, indem Informationen wie Anmeldeinformations-ID, Ziel-IP-Adresse und Anmeldeinformationstyp an die Java JAR-Datei des Anmeldeinformations-Resolvers übergeben werden. Die Details zum richtigen Anmeldeinformationsobjekt, das aus dem Tresor abgerufen werden soll, werden vom Anmeldeinformations-Resolver bestimmt.

      Viele Anmeldeinformations-Resolver wie CyberArk rufen eine Anwendung auf, die vom Tresoranbieter des Drittanbieters bereitgestellt wird und auf demselben Computer wie der MID-Server ausgeführt wird. Diese Anwendung kann häufig so konfiguriert werden, dass Anmeldeinformationen zwischengespeichert werden. Sie weiß, den Cache zu aktualisieren, wenn sich Anmeldeinformationen im Tresor ändern. Dies ist sehr wichtig, um unnötige Netzwerkaufrufe beim Tresor zu vermeiden, wenn der MID-Server eine Anmeldeinformation anfordert. Der Anmeldeinformations-Resolver (mit optionaler Lieferantenanwendung, falls vorhanden) ruft den Tresor an, um den tatsächlichen Anwendernamen, das Passwort usw. abzurufen

      Für sofort einsatzbereite Anmeldeinformations-Resolver (heute nur CyberArk) speichert der MID-Server Anmeldeinformationen nur für bis zu mehrere Sekunden mithilfe von Verschlüsselung im MID-Server-Prozessspeicher. Dies bedeutet, dass der MID-Server mehrere Anforderungen an den Anmeldeinformations-Resolver stellen kann, auch wenn ein einzelnes Gerät erkannt wird. Wenden Sie sich an Drittpartei, um Informationen zu Caching-Implementierungen für andere Anmeldeinformations-Resolver zu erhalten.

    3. Der MID Server führt die Probe mit den entsprechenden Anmeldeinformationen aus.
    Hinweis:
    Berechtigungsaffinitäten gelten weiterhin. Der Mechanismus bleibt derselbe, da der einzige wirkliche Unterschied aus Sicht des MID Servers darin besteht, dass die tatsächlichen Anmeldeinformationen (Benutzername und Passwort) aus dem Tresor einer Drittpartei stammen.

    Protokollierung des Speichers für externe Anmeldeinformationen

    Der MID Server gibt Protokollnachrichten über den externen Anmeldeinformationsspeicher aus.

    Wenn vom Repository beim Versuch, eine Anforderung für Anmeldeinformationen zu lösen, ein Fehler festgestellt wird, werden vom MID-Server Protokollnachrichten mit diesem Präfix ausgegeben: Problem with client's CredentialResolver: (Problem mit dem CredentialResolver des Clients).

    Mit dem externen Anmeldeinformationsspeicher installierte Komponenten

    Geschäftsregel

    Mit der Geschäftsregel für externe Anmeldeinformationsspeicher werden die folgenden Aufgaben ausgeführt, wenn ein Administrator Änderungen an der Eigenschaft „Externen Anmeldeinformationsspeicher aktivieren“ vornimmt:

    • Ändern der Ansicht für die Datensatzliste und des Formulars für Anmeldeinformationen in die Ansicht „Externer Speicher“. In dieser Ansicht können Anwender sehen Anmeldeinformations-ID Spalte in der Liste.
    • Weist den MID-Server an, den Cache für Anmeldeinformationen zu aktualisieren. Dies dient der Vorbereitung auf eine geänderte Vorgehensweise zum Abrufen von Anmeldeinformationen.
    Eigenschaft

    Eine Eigenschaft mit der Bezeichnung „Extern Anmeldeinformationsspeicher aktivieren“ [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „Extern Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Die Eigenschaft befindet sich in Discovery-Definition > Eigenschaften und Orchestration > MID-Server-Eigenschaften, Und ist aktiviert, wenn Sie das Plugin aktivieren.

    Wenn Sie die Speicherung von externen Anmeldeinformationen mit der Systemeigenschaft deaktivieren, werden alle externen Anmeldeinformationen in der Instanz vom System automatisch auf inaktiv festgelegt. Wenn Sie die Funktion mit dieser Eigenschaft erneut aktivieren, setzt das System die externen Anmeldeinformationsdatensätze nicht auf aktiv zurück. Sie müssen jeden Anmeldeinformationsdatensatz manuell erneut aktivieren.