Intégration de Serveur MID à Azure Key Vault

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • L’intégration du serveur MID au coffre-fort à clé Azure permet à Orchestration, Détection et Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Avant de commencer

    Pour installer l’application requise sur l’instance, accédez à Gestionnaire de modules d’extension > Stockage et gestion des informations d’identification externes.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Rôle requis : externe Application de gestion et de stockage des informations d’identification L’ID du périmètre est requis : com.sn_mid_extcredstrg

    Pourquoi et quand exécuter cette tâche

    Lors de la configuration de l’accès au coffre-fort à clé Azure, le serveur MID se trouve soit dans l’environnement Azure, soit sur une machine virtuelle externe. Cette procédure couvre la configuration du coffre-fort à clé Azure pour un serveur MID dans l’environnement Azure.

    Pour plus d’informations sur les procédures Azure et Azure Key Vault spécifiques, consultez la documentation Azure Key Vault.

    Procédure

    1. Dans l’environnement cloud Azure, créez un ordinateur virtuel.
    2. Accédez à la section Identité de cet ordinateur virtuel.
    3. Activer l’identité affectée par le système.
      Une fois qu’il est activé, vous avez la possibilité d’affecter un rôle à cette identité.
    4. Accédez au menu Ajouter l’affectation d’un rôle .
    5. Définissez le champ d’application sur votre abonnement.
    6. Ajoutez le rôle d’administrateur du coffre-fort à clé.
    7. Définissez la ressource dans le coffre-fort à clé que vous souhaitez intégrer au Serveur MID.

    Intégration du coffre-fort à clé Azure pour les MID Servers d’ordinateur virtuel externe

    L’intégration du serveur MID au coffre-fort à clé Azure permet à Orchestration, Détection et Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Avant de commencer

    Rôle requis : l’application de gestion et de stockage des informations d’identification externe (ID du périmètre : com.sn_mid_extcredstrg) est requise.

    Pourquoi et quand exécuter cette tâche

    Lors de la configuration de l’accès au coffre-fort à clé Azure, le serveur MID se trouve soit dans l’environnement Azure, soit sur une machine virtuelle externe. Cette procédure couvre la configuration du coffre-fort à clé Azure pour un serveur MID qui se trouve sur un ordinateur virtuel externe.

    Pour plus d’informations sur les procédures Azure et Azure Key Vault spécifiques, consultez la documentation Azure Key Vault.

    Procédure

    1. Dans le portail Azure, accédez aux inscriptions d’applications.
    2. Créez une application pour le Serveur MID.
    3. Notez l’ID de locataire et l’ID client , car ils seront utilisés ultérieurement.
    4. Fournissez une autorisation d’API pour Azure Key Vault à l’application.
    5. Accédez aux certificats et secrets pour la nouvelle application.
    6. Générez un nouveau secret client et notez-le.
      À ce stade, vous devez disposer de l’client_id, de l’tenant_id et de l’secret_key nécessaires à l’enregistrement de l’application.
    7. Ajoutez les paramètres suivants au config.xml du serveur MID à l’aide des valeurs enregistrées. 
      <parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
<parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
<parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
<parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/>

    Informations d’identification prises en charge pour l’intégration de coffre-fort à clé Azure

    Le Serveur MID prend en charge les informations d’identification spécifiées pour l’intégration au coffre-fort à clés Azure.

    Liste des informations d’identification

    Informations d’identification SNMPV3
      {
    "type": "snmpv3",
    "user": "<user_value>",
    "authentication_key": "<authentication_key_value>",
    "privacy_protocol": "<privacy_protocol_value>",
    "privacy_key": "<privacy_key_value>",
    "authentication_protocol": "<authentication_protocol_value>",
    "snmp_context": "<snmp_context_value>"
  }
    Informations d’identification VMWare
      {
    "type": "vmware",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification SSH
      {
    "type": "ssh",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification Windows
      {
    "type": "windows",
    "password": "<password_value>",
    "user": "<user_value>",
    "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
  }
    Informations d’identification principales du service Azure
      {
    "type": "azure",
    "client_id": "<client_id_value>",
    "tenant_id": "<tenant_id_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification de clé privée SSH
      {
    "type": "ssh_private_key",
    "password": "<password_value>", // optional
    "user": "<user_value>",
    "ssh_certificate": "<ssh_certificate_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>" // optional
  }
    Informations d'identification AWS
      {
    "type": "aws",
    "access_key": "<access_key_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification de clé API
      {
    "type": "api_key",
    "api_key": "<api_key_value>"
  }
    Informations d'identification applicatives
      {
    "type": "<applcation_type>", // generated by JSON builder: TODO
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification de l'accord d'entreprise Azure
      {
    "type": "ea_azure",
    "access_key": "<access_key_value>",
    "enrollment_number": "<enrollment_number>"
  }
    Informations d’identification Azure SAS
      {
    "type": "azure_sas",
    "sas_key": "<sas_key_value>",
    "sas_key_name": "<sas_key_name_value>"
  }
    Informations d'identification pour l'authentification de base
      {
    "type": "basic_auth",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification CIM
      {
    "type": "cim",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification Cloud Foundry
      {
    "type": "sn_itom_pattern_pcf",
    "password": "<password_value>",
    "user": "<user_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>"
  }
    Informations d’identification API Google
      {
    "type": "gcp",
    "email": "<email_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification du keystore SSL
      {
    "type": "keystore",
    "keystore_password": "<keystore_password_value>",
    "keystore_path": "<keystore_path_value>",
    "key_password": "<key_password_value>"
  }
    Informations d'identification JMS
      {
    "type": "jms",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification SNMP de la communauté
      {
    "type": "snmp",
    "password": "<password_value>"
  }
    Informations d’identification SSL
      {
    "type": "keystore",
    "user": "<user_value>",
    "password": "<password_value>",
    "additional_properties": "<additional_properties_value>",
    "key_password": "<key_password_value>",
    "keystore": "<keystore_value>",
    "keystore_password": "<keystore_password_value>",
    "keystore_type": "<keystore_type_value>",
    "ssl_provider_name": "<ssl_provider_name_value>",
    "security_protocol": "<security_protocol_value>",
    "truststore": "<truststore_value>",
    "truststore_password": "<truststore_password_value>",
    "truststore_type": "<truststore_type_value>"
  }
    Informations d’identification IBM
      {
    "type": "ibm",
    "user": "<user_value>",
    "password": "<password_value>",
    "softlayer_user": "<softlayer_user_value>",
    "softlayer_key": "<softlayer_key_value>",
    "bluemix_key": "<bluemix_key_value>"
  }

    Prise en charge de Gov Cloud pour l’intégration du coffre-fort à clé Azure

    Vous devrez peut-être remplacer l’authentification et l’URL du coffre-fort lorsque vous travaillez dans des environnements cloud gouvernementaux. Les exemples suivants concernent les clouds du gouvernement américain.

    Point de terminaison d’authentification :

    Pour les clouds gouvernementaux américains : https://login.microsoftonline.us/%s/oauth2/v2.0/token

    Pour la prise en charge du cloud par le gouvernement des États-Unis : <paramter name="ext.cred.azure.vault_auth_endpoint » value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

    Portée:

    Pour les clouds gouvernementaux américains : https://vault.usgovcloudapi.net/.default

    <paramter name="ext.cred.azure.endpoint_scope » value="https://vault.usgovcloudapi.net/.default"/>

    Pour les clouds gouvernementaux allemands : https://vault.microsoftazure.de/.default

    Pour les clouds du gouvernement chinois : https://vault.azure.cn/.default