Externer Anmeldeinformationsspeicher

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Eine Instanz kann Anmeldeinformationen, die von Discovery, Orchestration und Service-Mapping verwendet werden, in einem externen Anmeldeinformations-Repository anstatt direkt in einem ServiceNow-Anmeldeinformationsdatensatz speichern.

    Die Instanz verwaltet einen eindeutigen Bezeichner für jede Anmeldeinformation, den Anmeldeinformationstyp (z. B. SSH, SNMP oder Windows) und alle Berechtigungsaffinitäten. Der MID Server erhält den Nachweis-Bezeichner von der Instanz und löst dann mithilfe einer vom Kunden bereitgestellten JAR-Datei den Bezeichner aus dem Repository in verwendbare Anmeldeinformationen auf. Derzeit unterstützt die ServiceNow®-Plattform CyberArk-Tresor als externen Anmeldeinformationsspeicher.

    Architektur des externen Anmeldeinformationsspeichers

    Abbildung : 1. Architektur des externen Anmeldeinformationsspeichers
    ServiceNow-Architektur für externe Anmeldeinformationsspeicher

    Prozessablauf für Anmeldeinformationen

    Der MID Server ruft Anmeldeinformationen anhand dieses Prozesses aus einem externen Speicher ab:
    1. Der MID Server lädt Anmeldeinformationsobjekte aus der ServiceNow-Tabelle „Anmeldeinformationen“ [discovery_credentials] herunter, die die entsprechende Nachweis-ID aus dem Zieltresor enthalten.
    2. Wenn eine Probe oder ein Muster von Discovery - oder Orchestration -Jobs ausgeführt wird, fordert der MID Server die Anmeldeinformationen an, indem Informationen wie Anmeldeinformations-ID, Ziel-IP-Adresse und Anmeldeinformationstyp an die Java-JAR-Datei des Credential Resolver übergeben werden. Die Details zum richtigen Anmeldeinformationsobjekt, das aus dem Tresor abgerufen werden soll, werden vom Credential Resolver bestimmt.

      Viele Resolver für Anmeldeinformationen wie CyberArk rufen eine Anwendung auf, die von einem Drittanbieter für Vault bereitgestellt wird, der auf demselben Computer wie der MID Server ausgeführt wird. Diese Anwendung kann häufig so konfiguriert werden, dass sie Anmeldeinformationen zwischenspeichert und den Cache aktualisiert, wenn sich Anmeldeinformationen im Tresor ändern. Dies ist sehr wichtig, um unnötige Netzwerkaufrufe beim Tresor zu vermeiden, wenn der MID Server Anmeldeinformationen anfordert. Der Credential Resolver (unter Verwendung der optionalen Lieferantenanwendung, falls vorhanden) ruft den Tresor auf, um den tatsächlichen Benutzernamen, das Passwort usw. abzurufen.

      Für vordefinierte Resolver für Anmeldeinformationen (heute nur CyberArk) speichert der MID Server Anmeldeinformationen nur für bis zu mehrere Sekunden im Cache des MID Server-Prozessspeichers. Dies bedeutet, dass der MID Server mehrere Anforderungen an den Credential Resolver für dieselben Anmeldeinformationen stellen kann, auch wenn ein einzelnes Gerät erkannt wird. Wenden Sie sich an Drittanbieter, um Informationen zur Zwischenspeicherung von Implementierungen für andere Resolver für Anmeldeinformationen zu erhalten.

    3. Der MID Server führt die Probe mit den entsprechenden Anmeldeinformationen aus.
    Hinweis:
    Berechtigungsaffinitäten gelten weiterhin. Der Mechanismus bleibt derselbe, da der einzige wirkliche Unterschied aus Sicht des MID Servers darin besteht, dass die tatsächlichen Anmeldeinformationen (Benutzername und Passwort) aus dem Tresor einer Drittpartei stammen.

    Protokollierung des externen Anmeldeinformationsspeichers

    Der MID Server gibt Protokollnachrichten über den externen Anmeldeinformationsspeicher aus.

    Wenn vom Repository beim Versuch, eine Anforderung für Anmeldeinformationen zu lösen, ein Fehler festgestellt wird, werden vom MID-Server Protokollnachrichten mit diesem Präfix ausgegeben: Problem with client's CredentialResolver: (Problem mit dem CredentialResolver des Clients).

    Mit dem externen Anmeldeinformationsspeicher installierte Komponenten

    Geschäftsregel

    Mit der Geschäftsregel für externe Anmeldeinformationsspeicher werden die folgenden Aufgaben ausgeführt, wenn ein Administrator Änderungen an der Eigenschaft „Externen Anmeldeinformationsspeicher aktivieren“ vornimmt:

    • Ändern der Ansicht für die Datensatzliste und des Formulars für Anmeldeinformationen in die Ansicht „Externer Speicher“. In dieser Ansicht können Benutzer die Spalte „Anmeldeinformations-ID “ in der Liste anzeigen.
    • Weist den MID-Server an, den Cache für Anmeldeinformationen zu aktualisieren. Dies dient der Vorbereitung auf eine geänderte Vorgehensweise zum Abrufen von Anmeldeinformationen.
    Eigenschaft

    Eine Eigenschaft mit der Bezeichnung Externen Anmeldeinformationsspeicher aktivieren [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „Externer Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Die Eigenschaft befindet sich in Discovery-Definition > Eigenschaften und Orchestration > MID-Server-Eigenschaften, und sind aktiviert, wenn Sie das Plugin aktivieren.

    Wenn Sie die Speicherung von externen Anmeldeinformationen mit der Systemeigenschaft deaktivieren, werden alle externen Anmeldeinformationen in der Instanz vom System automatisch auf inaktiv festgelegt. Wenn Sie die Funktion mit dieser Eigenschaft erneut aktivieren, setzt das System die externen Anmeldeinformationsdatensätze nicht auf „Aktiv“ zurück. Sie müssen jeden Anmeldeinformationsdatensatz manuell erneut aktivieren.