CyberArk 자격 증명 스토리지 통합

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기5분

    • MID 서버 저장소ServiceNow® 오케스트레이션CyberArk 통합하면 인스턴스에 자격 증명을 저장하지 않고도 , ServiceNow® 검색ServiceNow® 서비스 매핑 실행할 수 있습니다.

    소개 CyberArk

    CyberArk AIM(애플리케이션 ID 관리) 제품은 권한 있는 계정 보안 솔루션을 사용하여 애플리케이션, 스크립트 또는 구성 파일에 포함된 애플리케이션 암호를 저장할 필요가 없으며, 이러한 매우 중요한 암호를 자격 증명 모음 내에서 CyberArk 중앙에서 저장, 기록 및 관리할 수 있습니다. 이 접근 방식을 통해 조직은 주기적인 암호 교체에 대한 내부 및 규정 요구 사항을 준수하고 온-프레미스 또는 클라우드에 관계없이 모든 유형의 권한 있는 ID와 관련된 활동을 모니터링할 수 있습니다.

    인스턴스는 각 자격 증명, 자격 증명 유형(예: SSH, SNMP 등 Windows) 및 자격 증명 선호도에 대한 고유 식별자를 유지 관리합니다. MID 서버 인스턴스에서 자격 증명 식별자, 자격 증명 유형 및 IP 주소를 가져온 다음 자격 증명 모음을 CyberArk 사용하여 이러한 요소를 사용 가능한 자격 증명으로 확인합니다. 자격 증명 확인자는 호스트 이름, fqdn을 조회하고 역방향 DNS 조회를 사용하여 fqdn을 가져올 수도 있습니다.

    통합하려면 CyberArk 다음에서 사용할 수 있는 ServiceNow® 외부 자격 증명 스토리지 플러그인이 필요합니다. 시스템 정의 > 플러그인. MID 서버CyberArk AIM/API 클라이언트가 동일한 컴퓨터에 설치되어 있어야 합니다. CyberArk AAM(Application Access Manager) 자격 증명 제공자 버전 12.0.1 이상이 지원됩니다.

    CyberArk 앱과 함께 설치되는 구성요소

    • 비즈니스 규칙: 외부 자격 증명 스토리지 비즈니스 규칙은 관리자가 외부 자격 증명 스토리지 속성을 변경할 때 다음 작업을 수행합니다.
      • 자격 증명 기록 목록 및 양식의 보기를 외부 저장소 보기로 변경합니다. 이 보기를 사용하면 사용자가 목록에서 자격 증명 ID 열을 볼 수 있습니다.
      • 자격 증명을 가져오는 방식의 변경을 준비하는 동안 외부가 아닌 자격 증명 캐시를 새로 고치도록 지시 MID 서버 합니다.
    • 시스템 속성: 외부 자격 증명 스토리지 사용[com.snc.use_external_credentials] 속성은 활성화된 외부 자격 증명 스토리지 플러그인을 사용하거나 사용하지 않도록 설정합니다. 이 숙박 시설의 위치는 다음과 같습니다디스커버리 정의 > 속성그리고오케스트레이션 > MID 서버 속성이며 플러그인을 활성화할 때 활성화됩니다.
      주:
      시스템 속성을 사용하여 외부 자격 증명 스토리지를 사용하지 않도록 설정하면, 시스템은 자동으로 모든 외부 자격 증명을 비활성화된 인스턴스로 설정합니다. 이 속성을 사용하여 기능을 다시 활성화하면 시스템은 외부 자격 증명 기록을 활성으로 재설정하지 않습니다. 각 자격 증명 기록을 수동으로 다시 활성화해야 합니다.

    지원되는 자격 증명 유형

    통합에서 CyberArk 지원되는 자격 증명 유형은 다음과 같습니다 ServiceNow .
    • GCP
    • Azure
    • CIM
    • JMS
    • SNMP 포럼
    • SNMPv3
    • 기본 인증
    • SSH 키 페어
    • SSH 개인 키(키, 암호 구문 및 암호 포함)
    • VMware
    • Windows
    • 애플리케이션 자격 증명
    주:
    GCP 자격 증명 유형과의 통합을 사용하려면 CyberArk 외부 자격 증명 스토리지 jar를 수정해야 합니다. 자세한 내용은 CyberArk를 사용하는 ServiceNow GCP 자격 증명 해결자를 참조하십시오.

    Now Platform 이러한 네트워크 프로토콜을 사용하는 기능은 자격 증명 모음에 CyberArk 저장된 자격 증명의 사용도 지원합니다.

    표 1. 네트워크 프로토콜에서 지원되는 자격 증명
    네트워크 프로토콜 ServiceNow® 워크플로우 스튜디오 지원 오케스트레이션 지원
    SOAP SOAP 단계 기본 인증 무효화를 사용하여 SOAP 웹 서비스 활동 작성
    REST REST(Representational State Transfer) 단계 기본 인증 재정의를 사용하여 REST 웹 서비스 활동 작성
    JDBC JDBC 단계 JDBC 활동
    SSH SSH 단계 SSH 활동
    PowerShell PowerShell 단계 PowerShell 활동
    SFTP SFTP 단계 SFTP 활동
    JMS JMS 활동
    중요사항:
    볼트와 CyberArk 사용자 지정 외부 자격 증명 스토리지 시스템에 저장된 자격 증명은 동일한 MID 서버를 사용하여 관리할 수 없습니다. MID 서버CyberArk AIM/API 클라이언트가 동일한 컴퓨터에 설치되어 있어야 합니다.

    CyberArk 아키텍처

    그림 1. CyberArk 스토리지 아키텍처
    CyberArk 스토리지 아키텍처.
    주:
    CyberArk 는 자격 증명을 확인하기 위해 기본 시스템 mid.jar 파일을 사용합니다.

    MID 서버 계정 처리 Windows 방법

    자격 증명 조회는 처음에 지정된 자격 증명 ID를 자격 증명 모음 이름 필드의 기존 값과 일치시키려고 시도합니다CyberArk. 일치하는 항목이 발견되면 해당 자격 증명이 반환됩니다. 일치하는 항목이 없으면 자격 증명 조회에서 IP 주소를 사용하여 일치 항목을 찾습니다. IP 주소 조회가 둘 이상의 자격 증명(예: Windows 동일한 서버에 있는) Tomcat 과 일치하는 경우 조회가 실패합니다. 이 문제를 방지하려면 config.xml 파일의 매개 변수를 MID 서버true로 설정하여 ext.cred.type_specifier 자격 증명 유형 및 IP 주소와 일치하는 자격 증명을 강제로 CyberArk 반환합니다. 예를 들어 IP 주소가 및 에서 모두 Windows 공유되는 경우 의 자격 증명 유형은 Windows 자격 증명만 반환합니다Windows.Tomcat

    라이브러리 업그레이드 CyberArk

    보안 구성 매개변수가 필요한 경우 라이브러리를 업그레이드 CyberArk 할 수 있습니다.

    config.xml에서 다음 구성 매개변수를 확인합니다. <parameter name="mid.secure_config.provider" value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider"/>

    보안 구성 매개변수 제공자가 구성된 경우 업그레이드를 수행하려면 다음 단계를 수행합니다.
    1. 클라이언트 버전의 이름을 CyberArk JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jar로 바 니다.
    2. 이름 바꾸기 jar을 첨부할 수 있는 ecc_agent 테이블에 새 jar 항목을 작성하십시오. 이 새 항목은 MID 서버. 이 단계를 수행하면 두 개의 jar (Passworsdk.jar 및 JavaPasswordSDK _12_X_X.jar)가 생성됩니다.
    3. 인스턴스에서 이전 ecc_agent 항목을 삭제합니다. 이 단계에서는 에서 Passworsdk.jar MID 서버삭제하고 JavaPasswordSDK _12_X_X.jar 시스템에 남아 있습니다.