Serveur MID Intégration d’Azure Key Vault

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • L’intégration de MID Server au coffre-fort Azure permet à Orchestration, Discovery et Service Mapping de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Avant de commencer

    Pour installer l’application requise sur l’instance, accédez à Gestionnaire de module d’extension > Stockage et gestion des informations d’identification externes.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Rôle requis : application de gestion et de stockage des informations d’identification externe L’ID du périmètre est requis : com.sn_mid_extcredstrg

    Pourquoi et quand exécuter cette tâche

    Lors de la configuration de l’accès au coffre-fort Azure Key, le serveur MID se trouve soit dans l’environnement Azure, soit sur un ordinateur virtuel externe. Cette procédure couvre la configuration d’Azure Key Vault pour un MID Server dans l’environnement Azure.

    Pour plus d’informations sur les procédures Azure et Azure Key Vault spécifiques, consultez la documentation Azure Key Vault.

    Procédure

    1. Dans l’environnement cloud Azure, créez un ordinateur virtuel.
    2. Accédez à la section Identité de cet ordinateur virtuel.
    3. Activer l’identité affectée par le système.
      Une fois activée, vous avez la possibilité d’attribuer un rôle à cette identité.
    4. Accédez au menu Ajouter une affectation de rôle .
    5. Définissez le champ d’application de votre abonnement.
    6. Ajoutez le rôle d’administrateur du coffre-fort à clé.
    7. Définissez la ressource dans le coffre à clés que vous souhaitez intégrer au serveur MID.

    Intégration d’Azure Key Vault pour les MID Servers d’ordinateurs virtuels externes

    L’intégration de MID Server au coffre-fort Azure permet à Orchestration, Discovery et Service Mapping de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Avant de commencer

    Rôle requis : l’application de gestion et de stockage des informations d’identification externe (ID de champ d’application :com.sn_mid_extcredstrg) est requise.

    Pourquoi et quand exécuter cette tâche

    Lors de la configuration de l’accès au coffre-fort Azure Key, le serveur MID se trouve soit dans l’environnement Azure, soit sur un ordinateur virtuel externe. Cette procédure couvre la configuration d’Azure Key Vault pour un MID Server qui se trouve sur un ordinateur virtuel externe.

    Pour plus d’informations sur les procédures Azure et Azure Key Vault spécifiques, consultez la documentation Azure Key Vault.

    Procédure

    1. Dans le portail Azure, naviguez vers Inscriptions d’applications.
    2. Créez une nouvelle application pour le MID Server.
    3. Notez l’ID du locataire et l’ID du client , car ils seront utilisés ultérieurement.
    4. Fournir une autorisation API pour Azure Key Vault à l’application.
    5. Accédez aux certificats et aux clés secrètes de la nouvelle application.
    6. Générez un nouveau secret client et notez-le.
      À ce stade, vous devriez disposer des client_id, tenant_id et secret_key pour l’enregistrement de l’application.
    7. Ajoutez les paramètres suivants au config.xml du Serveur MID à l’aide des valeurs enregistrées. 
      <parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
<parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
<parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
<parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/>

    Informations d’identification prises en charge pour Azure Key Vault Integration

    Le serveur MID prend en charge les informations d’identification spécifiées pour l’intégration dans le coffre Azure Key.

    Liste d’informations d’identification

    Informations d’identification SNMPV3
      {
    "type": "snmpv3",
    "user": "<user_value>",
    "authentication_key": "<authentication_key_value>",
    "privacy_protocol": "<privacy_protocol_value>",
    "privacy_key": "<privacy_key_value>",
    "authentication_protocol": "<authentication_protocol_value>",
    "snmp_context": "<snmp_context_value>"
  }
    Informations d’identification VMWare
      {
    "type": "vmware",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification SSH
      {
    "type": "ssh",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification Windows
      {
    "type": "windows",
    "password": "<password_value>",
    "user": "<user_value>",
    "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
  }
    Informations d’identification principales du service Azure
      {
    "type": "azure",
    "client_id": "<client_id_value>",
    "tenant_id": "<tenant_id_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification de clé privée SSH
      {
    "type": "ssh_private_key",
    "password": "<password_value>", // optional
    "user": "<user_value>",
    "ssh_certificate": "<ssh_certificate_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>" // optional
  }
    Informations d'identification AWS
      {
    "type": "aws",
    "access_key": "<access_key_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification de clé API
      {
    "type": "api_key",
    "api_key": "<api_key_value>"
  }
    Informations d'identification applicatives
      {
    "type": "<applcation_type>", // generated by JSON builder: TODO
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification de l'accord d'entreprise Azure
      {
    "type": "ea_azure",
    "access_key": "<access_key_value>",
    "enrollment_number": "<enrollment_number>"
  }
    Informations d’identification Azure SAS
      {
    "type": "azure_sas",
    "sas_key": "<sas_key_value>",
    "sas_key_name": "<sas_key_name_value>"
  }
    Informations d'identification pour l'authentification de base
      {
    "type": "basic_auth",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification CIM
      {
    "type": "cim",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification de Cloud Foundry
      {
    "type": "sn_itom_pattern_pcf",
    "password": "<password_value>",
    "user": "<user_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>"
  }
    Informations d'identification API Google
      {
    "type": "gcp",
    "email": "<email_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification du keystore SSL
      {
    "type": "keystore",
    "keystore_password": "<keystore_password_value>",
    "keystore_path": "<keystore_path_value>",
    "key_password": "<key_password_value>"
  }
    Informations d'identification JMS
      {
    "type": "jms",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification de la communauté SNM
      {
    "type": "snmp",
    "password": "<password_value>"
  }
    Informations d’identification SSL
      {
    "type": "keystore",
    "user": "<user_value>",
    "password": "<password_value>",
    "additional_properties": "<additional_properties_value>",
    "key_password": "<key_password_value>",
    "keystore": "<keystore_value>",
    "keystore_password": "<keystore_password_value>",
    "keystore_type": "<keystore_type_value>",
    "ssl_provider_name": "<ssl_provider_name_value>",
    "security_protocol": "<security_protocol_value>",
    "truststore": "<truststore_value>",
    "truststore_password": "<truststore_password_value>",
    "truststore_type": "<truststore_type_value>"
  }
    Informations d’identification IBM
      {
    "type": "ibm",
    "user": "<user_value>",
    "password": "<password_value>",
    "softlayer_user": "<softlayer_user_value>",
    "softlayer_key": "<softlayer_key_value>",
    "bluemix_key": "<bluemix_key_value>"
  }

    Prise en charge de Gov Cloud pour l’intégration d’Azure Key Vault

    Vous devrez peut-être remplacer l’authentification et l’URL du coffre-fort lorsque vous travaillez dans des environnements cloud gouvernementaux. Les exemples suivants concernent les clouds du gouvernement américain.

    Point de terminaison d’authentification :

    Pour les clouds du gouvernement américain : https://login.microsoftonline.us/%s/oauth2/v2.0/token

    Pour la prise en charge du cloud pour le gouvernement des États-Unis : <paramter name="ext.cred.azure.vault_auth_endpoint » value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

    Périmètre :

    Pour les clouds du gouvernement américain : https://vault.usgovcloudapi.net/.default

    <paramter name="ext.cred.azure.endpoint_scope » value="https://vault.usgovcloudapi.net/.default"/>

    Pour les clouds gouvernementaux allemands : https://vault.microsoftazure.de/.default

    Pour les clouds du gouvernement chinois : https://vault.azure.cn/.default