Stockage externe des informations d’identification

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Une instance peut stocker les informations d’identification utilisées par DécouverteOrchestration et Mappage des services dans un référentiel d’informations d’identification externe plutôt que directement dans un enregistrement d’informations d’identification ServiceNow .

    L’instance conserve un identificateur unique pour chaque information d’identification, le type d’information d’identification (par exemple, SSH, SNMP ou Windows) et toutes les relations d’informations d’identification. Le MID Server obtient l’identificateur d’informations d’identification à partir de l’instance, puis utilise un fichier JAR fourni par le client pour résoudre l’identificateur du référentiel en informations d’identification utilisables. Actuellement, la ServiceNow® plateforme prend en charge l’utilisation du coffre-fort CyberArk ou de BeyondTrust pour le stockage des informations d’identification externes.

    Architecture de stockage des informations d’identification externe

    Figure 1. Architecture de stockage des informations d’identification externe
    Architecture de stockage des informations d’identification externes ServiceNow

    Flux de processus des informations d’identification

    Le MID Server récupère les informations d’identification d’un magasin externe à l’aide du processus suivant :
    1. Serveur MID télécharge les objets d’informations d’identification à partir de la ServiceNow table Informations d’identification [discovery_credentials] qui contiennent l’ID d’informations d’identification correspondant à partir du coffre-fort cible.
    2. Au fur et à mesure que chaque sonde ou modèle s’exécute à partir de Découverte ou Orchestration de tâches, le MID Server demande les informations d’identification en transmettant des informations telles que l’ID d’informations d’identification, l’adresse IP cible et le type d’informations d’identification au fichier JAR Java du programme de résolution des informations d’identification. Les détails sur l’objet d’informations d’identification à récupérer du coffre-fort sont déterminés par le programme de résolution des informations d’identification.

      De nombreux outils de résolution d’informations d’identification tels que CyberArk appellent une application fournie par le fournisseur de coffres-forts tiers fonctionnant sur le même ordinateur que le MID Server. Cette application peut souvent être configurée pour mettre en cache les informations d’identification et sait mettre à jour le cache lorsqu’un identifiant change dans le coffre-fort, ce qui est très important pour éviter des appels réseau inutiles au coffre-fort chaque fois que le serveur MID demande des informations d’identification. Le résolveur des informations d’identification (à l’aide de l’application facultative du fournisseur, le cas échéant) appelle le coffre-fort pour obtenir le nom d’utilisateur, le mot de passe, etc. réels.

      Pour les outils de résolution d’informations d’identification fournis prêts à l’emploi (uniquement CyberArk aujourd’hui), le MID Server ne met en cache les informations d’identification que pendant plusieurs secondes maximum en utilisant le chiffrement dans la mémoire de processus du MID Server. Cela signifie que le MID Server peut effectuer plusieurs demandes au programme de résolution des informations d’identification pour les mêmes informations d’identification, même lors de la détection d’un seul appareil. Contactez des fournisseurs tiers pour en savoir plus sur les implémentations de mise en cache pour d’autres outils de résolution d’informations d’identification.

    3. Le Serveur MID exécute la sonde avec les informations d’identification appropriées.
    Remarque :
    L’affinité d’accréditation s’applique toujours. Le mécanisme reste le même, car la seule vraie différence du point de vue du MID Server est que les véritables détails d’identification (nom d’utilisateur et mot de passe) proviennent du coffre-fort tiers.

    Journalisation de stockage des informations d’identification externe

    Le MID Server publie des messages de journal sur le stockage des identifiants externes.

    Si le référentiel rencontre une erreur lors d'une tentative de résolution d'une demande d'informations d'identification, le MID Server publie des messages de journal avec le préfixe Problem with client's CredentialResolver:

    Composants installés avec Stockage externe des informations d’identification

    Règle métier

    La règle métier Stockage des informations d'identification externe effectue les tâches suivantes lorsqu'un administrateur modifie la propriété Activer le stockage des informations d'identification externe :

    • Elle remplace la vue de la liste et du formulaire d'enregistrement Informations d'identification par la vue Stockage externe. Cette vue permet aux utilisateurs d’afficher la colonne ID d’informations d’identification dans la liste.
    • Elle indique au MID Server d'actualiser son cache d'informations d'identification en vue de changer la façon dont les informations d'identification sont obtenues.
    Propriété

    Une propriété appelée Activer le stockage des informations d’identification externe [com.snc.use_external_credentials] active ou désactive le module d’extension Stockage des informations d’identification externe une fois qu’il est activé. La propriété est située à Définition de découverte > Propriétés et Orchestration > Propriétés de Serveur MIDet est activé lorsque vous activez le module d’extension.

    Si vous désactivez le stockage des informations d'identification externe avec la propriété système, le système définit automatiquement toutes les informations d'identification externe comme inactives dans l'instance. Si vous réactivez la fonctionnalité avec cette propriété, le système ne réinitialise pas les enregistrements d’informations d’identification externes en mode actif. Vous devez réactiver manuellement chaque enregistrement d'informations d'identification.