CyberArk Intégration de stockage des informations d’identification

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • L’intégration Serveur MIDCyberArk au coffre-fort permet ServiceNow® Orchestrationà , ServiceNow® Découverteet ServiceNow® Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Introduction à CyberArk

    CyberArk Le produit Application Identity Management (AIM) utilise la solution de sécurité des comptes privilégiés pour éliminer la nécessité de stocker les mots de passe d’application intégrés dans les applications, les scripts ou les fichiers de configuration, et permet de stocker, de journaliser et de gérer ces mots de passe hautement sensibles de manière centralisée dans le CyberArk coffre-fort. Cette approche permet aux organisations de se conformer aux exigences internes et réglementaires en matière de remplacement périodique des mots de passe et de surveiller les activités associées à tous les types d’identités privilégiées, que ce soit sur site ou dans le cloud.

    L’instance conserve un identificateur unique pour chaque identifiant, le type d’identifiant (par exemple, SSH, SNMP ou Windows) et toutes les relations d’informations d’identification. Le Serveur MID obtient l’identificateur d’informations d’identification, le type d’informations d’identification et l’adresse IP à partir de l’instance, puis utilise le CyberArk coffre-fort pour résoudre ces éléments en informations d’identification utilisables. Le résolveur d’informations d’identification peut également rechercher le nom d’hôte, le nom de domaine complet et utiliser la recherche DNS inversée pour obtenir le nom de domaine complet.

    L’intégration CyberArk nécessite le ServiceNow® module d’extension External Credential Storage, qui est disponible dans Définitions système > Modules d'extension. CyberArk Le Serveur MID client AIM/API doivent être installés sur le même ordinateur. Les fournisseurs d’informations d’identification CyberArk Application Access Manager (AAM) version 12.0.1 et ultérieure sont pris en charge.

    Installé avec CyberArk

    • Règle métier : la règle métier Stockage externe des informations d’identification exécute les tâches suivantes lorsqu’un administrateur apporte des modifications à la propriété de stockage des informations d’identification externe :
      • Elle remplace la vue de la liste et du formulaire d'enregistrement Informations d'identification par la vue Stockage externe. Cette vue permet aux utilisateurs d’afficher la colonne ID d’informations d’identification dans la liste.
      • Indique à l’d’actualiser Serveur MID son cache d’informations d’identification non externes en prévision d’un changement dans la manière dont les informations d’identification sont obtenues.
    • Propriété système : une propriété appelée Activer le stockage des informations d’identification externe [com.snc.use_external_credentials] active ou désactive le module d’extension Stockage des informations d’identification externe une fois qu’il est activé. Cette propriété est située àDéfinition de découverte > PropriétésetOrchestration > Propriétés de Serveur MIDet est activé lorsque vous activez le module d’extension.
      Remarque :
      Si vous désactivez le stockage des informations d’identification externes avec la propriété système, le système définit automatiquement toutes les informations d’identification externes comme inactives dans l’instance. Si vous réactivez la fonctionnalité avec cette propriété, le système ne réinitialise pas les enregistrements d’informations d’identification externes en mode actif. Vous devez réactiver chaque enregistrement d’informations d’identification manuellement.

    Types d’informations d’identification pris en charge

    L’intégration CyberArk prend en charge ces ServiceNow types d’informations d’identification :
    • GCP
    • Azure
    • CIM
    • JMS
    • Forum SNMP
    • SNMPv3
    • Authentification de base
    • Paire de clés SSH
    • Clé privée SSH (avec clé, mot de passe et mot de passe)
    • VMware
    • Windows
    • Informations d'identification applicatives
    Remarque :
    Pour utiliser CyberArk l’intégration avec le type d’informations d’identification GCP, vous devez modifier le fichier JAR de stockage des informations d’identification externes. Pour en savoir plus, consultez ServiceNow GCP Credential Resolver à l’aide de CyberArk.

    Now Platform Les entités qui utilisent ces protocoles réseau prennent également en charge l’utilisation d’informations d’identification stockées dans un CyberArk coffre-fort.

    Tableau 1. Informations d’identification prises en charge par le protocole réseau
    Protocole réseau ServiceNow® Studio de workflow soutien Orchestration soutien
    SOAP Étape SOAP Créer une activité de service Web SOAP avec des remplacements d’authentification de base
    REST Étape REST Créer une activité de service Web REST avec des remplacements d’authentification de base
    JDBC Étape JDBC Activité JDBC
    SSH Étape SSH Activité SSH
    PowerShell Étape PowerShell Activité PowerShell
    SFTP Étape SFTP Activité SFTP
    JMS Activité JMS
    Important :
    Vous ne pouvez pas gérer les informations d’identification stockées sur un CyberArk coffre-fort et un système de stockage d’informations d’identification externe personnalisé utilisant le même Serveur MID. CyberArk Le Serveur MID client AIM/API doivent être installés sur le même ordinateur.

    Architecture CyberArk

    Figure 1. CyberArk Architecture de stockage
    CyberArk l’architecture de stockage.
    Remarque :
    CyberArk utilise le fichier de mid.jar système de base pour résoudre les informations d’identification.

    Serveur MID Gestion des Windows comptes

    La recherche d’informations d’identification tente initialement de faire correspondre l’ID d’informations d’identification spécifié à une valeur existante dans le champ Nom du CyberArk coffre-fort. Si une correspondance est trouvée, les informations d’identification sont renvoyées. Si aucune correspondance n’est trouvée, la recherche d’informations d’identification tente de trouver une correspondance à l’aide de l’adresse IP. Si la recherche d’adresse IP correspond à plusieurs informations d’identification, telles que Windows et Tomcat sur le même serveur, la recherche échoue. Pour éviter ce problème, définissez le ext.cred.type_specifier paramètre dans le Serveur MID fichier config.xml sur true pour forcer CyberArk le renvoi des informations d’identification qui correspondent à la fois au type d’informations d’identification et à l’adresse IP. Par exemple, si une adresse IP est partagée par les deux Windows et Tomcat, un type d’informations d’identification de renvoie uniquement les Windows informations d’identificationWindows.

    Mettre à niveau la CyberArk bibliothèque

    Vous pouvez mettre à niveau la CyberArk bibliothèque si un paramètre de configuration sécurisé est nécessaire.

    Vérifiez le paramètre de configuration suivant dans le config.xml : < parameter name="mid.secure_config.provider » value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider »/>

    Pour effectuer la mise à niveau, procédez comme suit si un fournisseur de paramètres de configuration sécurisé est configuré.
    1. Renommez la CyberArk version du client en JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jar.
    2. Créez une entrée jar dans la table ecc_agent à laquelle le jar de renommage peut être joint. Cette nouvelle entrée est téléchargée dans le Serveur MIDfichier . Cette étape génère deux fichiers jar (Passworsdk.jar et JavaPasswordSDK _12_X_X.jar).
    3. Supprimez l’ancienne entrée de ecc_agent de l’instance. Cette étape supprime Passworsdk.jar du Serveur MID, et la _12_X_X.jar JavaPasswordSDK reste dans le système.