Integration von Azure Key Vault für MID-Server

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Die MID-Server-Integration mit dem Azure Key Vault ermöglicht die Ausführung von Orchestration, Discovery und Service-Mapping, ohne Anmeldeinformationen in der Instanz zu speichern.

    Vorbereitungen

    Um die erforderliche Anwendung auf der Instanz zu installieren, navigieren Sie zu Plugin-Manager > Externer Anmeldeinformationsspeicher und -Verwaltungan.

    Einrichtungsindikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Erforderliche Rolle: ID des Anwendungsbereichs „Speicher und Verwaltung externer Anmeldeinformationen“ ist erforderlich: Com.sn_Mid_extcredstrg

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Einrichten des Zugriffs auf den Azure Key Vault befindet sich der MID-Server entweder in der Azure-Umgebung oder auf einem externen virtuellen Computer. Dieses Verfahren behandelt die Einrichtung des Azure Key Vault für einen MID-Server in der Azure-Umgebung.

    Weitere Informationen zu bestimmten Azure- und Azure Key Vault-Verfahren finden Sie unter Azure Key Vault-Dokumentation .

    Prozedur

    1. Erstellen Sie in der Azure-Cloud-Umgebung eine virtuelle Maschine.
    2. Navigieren Sie zum Abschnitt Identität dieser virtuellen Maschine.
    3. Aktivieren Sie die vom System zugewiesene Identität.
      Sobald sie aktiviert ist, haben Sie die Möglichkeit, dieser Identität eine Rolle zuzuweisen.
    4. Navigieren Sie zu Fügen Sie Rollenzuweisung hinzu Menü.
    5. Legen Sie den Umfang auf Ihr Abonnement fest.
    6. Fügen Sie die Key Vault-Administratorrolle hinzu.
    7. Legen Sie die Ressource auf den Schlüsselspeicher fest, den Sie in den MID-Server integrieren möchten.

    Azure Key Vault-Integration für MID-Server für externe virtuelle Computer

    Die MID-Server-Integration mit dem Azure Key Vault ermöglicht die Ausführung von Orchestration, Discovery und Service-Mapping, ohne Anmeldeinformationen in der Instanz zu speichern.

    Vorbereitungen

    Erforderliche Rolle: Externe Anmeldeinformationsspeicher- und -Verwaltungsanwendung (Bereichs-ID: Com.sn_Mid_extcredstrg ) Ist erforderlich.

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Einrichten des Zugriffs auf den Azure Key Vault befindet sich der MID-Server entweder in der Azure-Umgebung oder auf einem externen virtuellen Computer. Dieses Verfahren behandelt die Einrichtung des Azure Key Vault für einen MID-Server, der sich auf einer externen virtuellen Maschine befindet.

    Weitere Informationen zu bestimmten Azure- und Azure Key Vault-Verfahren finden Sie unter Azure Key Vault-Dokumentation .

    MID-Server können den Vault-Anmeldeinformations-Resolver verwenden, um Geheimnisse direkt aus dem Vault zu verbrauchen, um die Discovery durchzuführen. Die Anwendung „externer Anmeldeinformationsspeicher und -Verwaltung“ bietet eine sofort einsatzbereite Integration für externe Anmeldeinformationsanbieter. MID-Server unterstützen zertifikatbasierte Authentifizierung, wenn eine Verbindung mit Azure Key Vault hergestellt wird. Dies bietet eine sicherere und flexiblere Möglichkeit zur Authentifizierung, insbesondere für Enterprise-Umgebungen, die Zertifikatanmeldeinformationen gegenüber Client-Geheimnissen bevorzugen. Weitere Informationen zum Verwalten von Zertifikaten finden Sie unter Einheitlicher Schlüsselspeicher FÜR MID-Server.

    Prozedur

    1. Navigieren Sie im Azure-Portal zu App-Registrierungen.
    2. Erstellen Sie eine neue Anwendung für den MID-Server.
    3. Notieren Sie sich das Mandanten-ID Und Client-ID Da diese später verwendet werden.
    4. Geben Sie der Anwendung die API-Berechtigung für Azure Key Vault an.
    5. Navigieren Sie zu Zertifikate und Geheimnisse Für die neue Anwendung.
    6. Generieren Sie ein neues geheimes Clientgeheimnis, und notieren Sie sich dieses geheime Clientgeheimnis.
      An dieser Stelle sollten Sie haben Client_ID , Mandant_ID , Und Secret_key Für die Anwendungsregistrierung.
    7. Fügen Sie dem MID-Server die folgenden Parameter hinzu config.xml Mithilfe der aufgezeichneten Werte. 
      <parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
<parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
<parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
<parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/>

    Unterstützte Anmeldeinformationen für die Azure Key Vault-Integration

    Der MID-Server unterstützt angegebene Anmeldeinformationen für die Integration mit dem Azure Key Vault.

    Liste der Anmeldeinformationen

    SNMPV3-Anmeldeinformationen
      {
    "type": "snmpv3",
    "user": "<user_value>",
    "authentication_key": "<authentication_key_value>",
    "privacy_protocol": "<privacy_protocol_value>",
    "privacy_key": "<privacy_key_value>",
    "authentication_protocol": "<authentication_protocol_value>",
    "snmp_context": "<snmp_context_value>"
  }
    VMware-Anmeldeinformationen
      {
    "type": "vmware",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    SSH-Anmeldeinformationen
      {
    "type": "ssh",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Windows-Anmeldeinformationen
      {
    "type": "windows",
    "password": "<password_value>",
    "user": "<user_value>",
    "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
  }
    Azure-Service-Prinzipal-Anmeldeinformationen
      {
    "type": "azure",
    "client_id": "<client_id_value>",
    "tenant_id": "<tenant_id_value>",
    "secret_key": "<secret_key_value>"
  }
    Privater SSH-Schlüssel-Anmeldeinformationen
      {
    "type": "ssh_private_key",
    "password": "<password_value>", // optional
    "user": "<user_value>",
    "ssh_certificate": "<ssh_certificate_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>" // optional
  }
    AWS-Anmeldeinformationen
      {
    "type": "aws",
    "access_key": "<access_key_value>",
    "secret_key": "<secret_key_value>"
  }
    API Key-Anmeldeinformationen
      {
    "type": "api_key",
    "api_key": "<api_key_value>"
  }
    Passende Anmeldeinformationen
      {
    "type": "<applcation_type>", // generated by JSON builder: TODO
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Azure Enterprise Agreement-Anmeldeinformationen
      {
    "type": "ea_azure",
    "access_key": "<access_key_value>",
    "enrollment_number": "<enrollment_number>"
  }
    Azure SAS-Anmeldeinformationen
      {
    "type": "azure_sas",
    "sas_key": "<sas_key_value>",
    "sas_key_name": "<sas_key_name_value>"
  }
    Anmeldeinformationen für Standardauthentifizierung
      {
    "type": "basic_auth",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    CIM-Anmeldeinformationen
      {
    "type": "cim",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Cloud-Foundry-Anmeldeinformationen
      {
    "type": "sn_itom_pattern_pcf",
    "password": "<password_value>",
    "user": "<user_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>"
  }
    Google-API-Anmeldeinformationen
      {
    "type": "gcp",
    "email": "<email_value>",
    "secret_key": "<secret_key_value>"
  }
    Anmeldeinformationen für SSL-Schlüsselspeicher
      {
    "type": "keystore",
    "keystore_password": "<keystore_password_value>",
    "keystore_path": "<keystore_path_value>",
    "key_password": "<key_password_value>"
  }
    JMS-Anmeldeinformationen
      {
    "type": "jms",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    SNMP-Community-Anmeldeinformationen
      {
    "type": "snmp",
    "password": "<password_value>"
  }
    SSL-Anmeldeinformationen
      {
    "type": "keystore",
    "user": "<user_value>",
    "password": "<password_value>",
    "additional_properties": "<additional_properties_value>",
    "key_password": "<key_password_value>",
    "keystore": "<keystore_value>",
    "keystore_password": "<keystore_password_value>",
    "keystore_type": "<keystore_type_value>",
    "ssl_provider_name": "<ssl_provider_name_value>",
    "security_protocol": "<security_protocol_value>",
    "truststore": "<truststore_value>",
    "truststore_password": "<truststore_password_value>",
    "truststore_type": "<truststore_type_value>"
  }
    IBM-Anmeldeinformationen
      {
    "type": "ibm",
    "user": "<user_value>",
    "password": "<password_value>",
    "softlayer_user": "<softlayer_user_value>",
    "softlayer_key": "<softlayer_key_value>",
    "bluemix_key": "<bluemix_key_value>"
  }

    Gov Cloud-Support für Azure Key Vault-Integration

    Möglicherweise müssen Sie die Authentifizierung und die Vault-URL überschreiben, wenn Sie in Cloud-Umgebungen von Behörden arbeiten. Die folgenden Beispiele gelten für Clouds der US-Regierung.

    Authentifizierungs-Endpunkt:

    Für Clouds der US-Regierung: https://login.microsoftonline.us/%s/oauth2/v2.0/token

    Für Cloud-Support der US-Regierung: <paramter name="ext.cred.azure.vault_auth_endpoint" value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

    Umfang:

    Für Clouds der US-Regierung: https://vault.usgovcloudapi.net/.default

    <paramter name="ext.cred.azure.endpoint_scope" value="https://vault.usgovcloudapi.net/.default"/>

    Clouds der Bundesregierung Deutschland: https://vault.microsoftazure.de/.default

    Für Clouds der chinesischen Regierung: https://vault.azure.cn/.default