Stockage des informations d’identification externe

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Une instance peut stocker les informations d’identification utilisées par DétectionOrchestration et Mappage des services dans un référentiel d’informations d’identification externe plutôt que directement dans un ServiceNow enregistrement d’informations d’identification.

    L’instance conserve un identificateur unique pour chaque information d’identification, le type d’informations d’identification (tels que SSH, SNMP ou Windows) et toutes les relations d’informations d’identification. Le MID Server obtient l’identificateur d’informations d’identification de l’instance, puis utilise un fichier JAR fourni par le client pour résoudre l’identificateur du référentiel en informations d’identification utilisables. Actuellement, la ServiceNow® plateforme prend en charge l’utilisation du coffre-fort CyberArk pour le stockage des informations d’identification externes.

    Architecture de stockage des informations d’identification externe

    Figure 1. Architecture de stockage des informations d’identification externe
    Architecture de stockage des informations d’identification externes ServiceNow

    Flux de processus des informations d’identification

    Le MID Server récupère les informations d’identification à partir d’un magasin externe à l’aide du processus suivant :
    1. Le MID Server télécharge les objets d’informations d’identification de la ServiceNow table Informations d’identification [discovery_credentials] qui contiennent l’ID d’informations d’identification correspondant à partir du coffre cible.
    2. Au fur et à mesure que chaque sonde ou modèle s’exécute à partir de ou Orchestration de Détection tâches, le MID Server demande les informations d’identification en transmettant des informations telles que l’ID d’informations d’identification, l’adresse IP cible et le type d’informations d’identification au fichier Jar Java de l’outil de résolution des informations d’identification. Les détails sur l’objet d’informations d’identification à récupérer dans le coffre-fort sont déterminés par l’outil de résolution des informations d’identification.

      De nombreux résolveurs d’informations d’identification tels que CyberArk appellent une application fournie par le fournisseur de coffre-fort tiers en cours d’exécution sur le même ordinateur que le MID Server. Cette application peut souvent être configurée pour mettre en cache les informations d’identification et sait mettre à jour le cache lorsqu’une information d’identification change dans le coffre, ce qui est très important pour éviter des appels réseau inutiles au coffre chaque fois que MID Server demande des informations d’identification. Le résolveur d’informations d’identification (à l’aide de l’application du fournisseur facultative le cas échéant) appelle le coffre-fort pour obtenir le nom d’utilisateur, le mot de passe, etc. réels.

      Pour les résolveurs d’informations d’identification fournis prêts à l’emploi (uniquement CyberArk aujourd’hui), le MID Server ne met en cache les informations d’identification que pendant plusieurs secondes maximum en utilisant le chiffrement dans la mémoire de processus du MID Server. Cela signifie que le MID Server peut envoyer plusieurs demandes au programme de résolution des informations d’identification pour les mêmes informations d’identification, même lors de la détection d’un seul appareil. Contactez des fournisseurs tiers pour obtenir des informations sur les implémentations de mise en cache pour d’autres outils de résolution des informations d’identification.

    3. Le MID Server exécute la sonde avec les informations d’identification appropriées.
    Remarque :
    L’affinité d’identifiant s’applique toujours. Le mécanisme reste le même, car la seule différence réelle du point de vue du MID Server est que les véritables détails d’identification (nom d’utilisateur et mot de passe) proviennent du coffre-fort tiers.

    Journalisation du stockage des informations d’identification externe

    Le MID Server publie des messages de journal concernant le stockage des informations d’identification externe.

    Si le référentiel rencontre une erreur lors d'une tentative de résolution d'une demande d'informations d'identification, le MID Server publie des messages de journal avec le préfixe Problem with client's CredentialResolver:

    Composants installés avec Stockage des informations d’identification externe

    Règle métier

    La règle métier Stockage des informations d'identification externe effectue les tâches suivantes lorsqu'un administrateur modifie la propriété Activer le stockage des informations d'identification externe :

    • Elle remplace la vue de la liste et du formulaire d'enregistrement Informations d'identification par la vue Stockage externe. Cette vue permet aux utilisateurs de voir la colonne ID d’informations d’identification dans la liste.
    • Elle indique au MID Server d'actualiser son cache d'informations d'identification en vue de changer la façon dont les informations d'identification sont obtenues.
    Propriété

    Une propriété appelée Activer le stockage des informations d’identification externe [com.snc.use_external_credentials] active ou désactive le module d’extension Stockage des informations d’identification externe après son activation. L’établissement est situé à Définition de Détection > Propriétés et Orchestration > Propriétés de Serveur MIDet est activé lorsque vous activez le module d’extension.

    Si vous désactivez le stockage des informations d'identification externe avec la propriété système, le système définit automatiquement toutes les informations d'identification externe comme inactives dans l'instance. Si vous réactivez la fonctionnalité avec cette propriété, le système ne redéfinit pas les enregistrements d’informations d’identification externes comme étant actifs. Vous devez réactiver manuellement chaque enregistrement d'informations d'identification.