Introduction aux informations d'identification

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Le MID Server utilise les informations d’identification que vous créez dans la table Informations d’identification [discovery_credentials] pour accéder aux ressources de Discovery, Orchestration, Service Mapping et Cloud Management.

    Comment les MID Servers utilisent les informations d’identification

    Par défaut, les MID Servers Windows utilisent les informations d’identification de connexion du service MID Server sur l’ordinateur hôte pour détecter Windows les appareils du réseau. Vous devez configurer les informations d’identification du service Serveur MID Windows afin qu’elles disposent au moins des privilèges d’administrateur local. Pour Linux les UNIX ordinateurs et les périphériques réseau, le MID Server utilise les informations d’identification SSH et SNMP configurées dans l’instance dans Détection > Identifiants.

    Les MID Servers qui Orchestration utilisent doivent avoir accès aux informations d’identification nécessaires pour exécuter des commandes sur les ordinateurs du réseau, comme spécifié par les activités de workflow. Orchestration peut utiliser les mêmes informations d’identification SSH et SNMP que Détection, mais dispose de deux informations d’identification supplémentaires conçues pour des activités de workflow spécifiques : Windows (pour les activités PowerShell) et VMware.

    Chiffrement et déchiffrement

    La plateforme stocke les informations d’identification dans un champ chiffré de la table Informations d’identification [discovery_credentials]. Une fois qu’ils sont entrés, ils ne peuvent pas être visualisés.

    Lorsque le MID Server demande des informations d’identification, il Now Platform les déchiffre à l’aide du processus suivant :
    1. Les informations d’identification sont déchiffrées sur l’instance avec la clé fixe password2.
    2. Les informations d’identification sont chiffrées à nouveau sur l’instance avec la clé publique du MID Server.
    3. Les informations d’identification sont chiffrées sur l’équilibreur de charge avec SSL.
    4. Les informations d’identification sont déchiffrées sur le MID Server avec SSL.
    5. Les informations d’identification sont déchiffrées sur le MID Server avec la clé privée de ce dernier.
    Remarque :
    La plateforme ne dispose pas de clés de chiffrement distinctes pour les instances mutualisées.

    Ordre des informations d’identification

    Une valeur d’ordre peut être affectée aux informations d’identification dans le formulaire Informations d’identification, ce qui oblige l’application à essayer toutes les informations d’identification à sa disposition dans un certain ordre. Si vous ne spécifiez pas de valeur d’ordre, l’application essaie les informations d’identification de la table Informations d’identification [discovery_credential] de manière aléatoire, jusqu’à ce qu’elle en trouve une qui fonctionne. Par exemple, quand :
    • Orchestration tente d’exécuter une commande sur un serveur SSH, tel qu’un ordinateur Linux ou UNIX.
    • Discovery tente d’interroger un appareil SNMP, tel qu’une imprimante, un routeur ou un onduleur.
    Après avoir identifié les informations d’identification d’un appareil et Orchestration, Détection créez une relation entre les informations d’identification et l’appareil à l’aide de la table Affinité des informations d’identification [dscy_credentials_affinity ]. Toutes les détections ou activités d’orchestration suivantes tentent de faire correspondre les informations d’identification de cette table avec un appareil pour lequel il existe une affinité. Si les informations d’identification d’un appareil changent et qu’Orchestration essaie Détection à nouveau toutes les informations d’identification disponibles jusqu’à ce qu’une nouvelle relation soit créée.
    Remarque :
    Si Orchestration et Détection sont installés et que l’alias d’informations d’identification est activé, plusieurs relations peuvent exister. Dans ce cas, la plateforme recherche les informations d’identification de chaque relation et insère les informations d’identification de la relation avec l’ordre le plus bas dans la sonde.
    La commande des informations d’identification est utile dans les situations suivantes :
    • La table Informations d’identification contient de nombreuses informations d’identification, certaines étant utilisées plus fréquemment que d’autres. Par exemple, la table contient 150 informations d’identification SSH, et cinq d’entre elles sont utilisées pour se connecter à 90 % des appareils. Il est recommandé de configurer ces cinq informations d’identification avec des numéros d’ordre inférieur, qui les placent en haut de la liste d’exécution. Détection et Orchestration fonctionnent plus rapidement lorsqu’ils essaient d’abord ces informations d’identification courantes. Après la première connexion réussie, le sait Now Platform quelles informations d’identification utiliser la prochaine fois pour chaque appareil.
    • Il Now Platform dispose d’une sécurité de connexion agressive. Par exemple, configurez les informations d’identification de la base de données avec une valeur d’ordre inférieur si les serveurs de base de données Solaris du réseau ne fournissent que trois tentatives de connexion infructueuses avant de verrouiller le MID Server.

    Alias d’informations d’identification

    Les alias d’informations d’identification sont disponibles pour Discovery et Orchestration.

    Les alias pour Discovery permettent à un administrateur d’effectuer les opérations suivantes :
    • Utilisez un comportement de filtrage des informations d’identification avec des niveaux de conformité configurables.
    • Affectez plusieurs alias d’informations d’identification à un calendrier Discovery.
    • Empêchez la création d’affinités d’informations d’identification qui utilisent des informations d’identification inappropriées ou sensibles. Pour en savoir plus, consultez Relations avec les informations d’identification.
    Les alias pour Orchestration permettent aux créateurs de workflows :
    • Affecter des informations d’identification individuelles à n’importe quelle activité d’un workflow Orchestration
    • Affecter des informations d’identification individuelles à n’importe quelle action dans Flow Designer
    • Affectez des informations d’identification différentes à chaque occurrence du même type d’activité dans un workflow Orchestration.
    • Affectez des informations d’identification différentes à chaque occurrence de la même action dans le flux de concepteur.

    Banques d'identifiants externes

    Si vous ne souhaitez pas que les informations d’identification soient stockées dans votre instance, vous pouvez utiliser des référentiels d’informations d’identification externes. Les banques d’identifiants externes enregistrent les informations d’identification dans un site externe auquel votre instance peut accéder. CyberArk est la seule banque d’identifiants externes prise en charge. Toutefois, d’autres magasins externes peuvent être configurés à l’aide de l’API ServiceNow.