CyberArk 認証情報ストレージの統合

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • MID サーバーCyberArk ボールトの統合により、インスタンスに資格情報を保存せずに、ServiceNow® オーケストレーションServiceNow® ディスカバリー および ServiceNow® サービスマッピング を実行することができます。

    CyberArk の概要

    CyberArk の Application Identity Management (AIM) 製品では、Privileged Account Security ソリューションを使用して、アプリケーション、スクリプト、または構成ファイルに組み込まれたアプリケーション パスワードを保存する必要性をなくします。さらに、この製品により、CyberArk ボールト内でこれらの非常に機密性の高いパスワードの保存、ログ記録、および管理を一元的に行うことができます。このアプローチにより、組織は定期的なパスワード交換の社内要件および規制要件を遵守し、オンプレミスかクラウドかに関係なく、あらゆる種類の特権 ID に関連付けられたアクティビティを監視することができます。

    インスタンスは、各認証情報の一意の識別子、認証情報タイプ (SSH、SNMP、Windows など)、および任意の 資格情報親和性を保持します。MID サーバー は、インスタンスから認証情報識別子、認証情報タイプ、および IP アドレスを取得し、CyberArk ボールトを使用してこれらの要素を使用可能な認証情報に解決します。資格情報リゾルバーは、ホスト名「fqdn」を検索し、リバース DNS ルックアップを使用して「fqdn」を取得することもできます。

    CyberArkこの統合には外部ServiceNow® 認証情報ストレージプラグインが必要です。これは、 システム定義 > プラグイン.MID サーバー は、CyberArk AIM API/クライアントと同じマシンにインストールする必要があります。

    CyberArkとともにインストールされる内容

    • ビジネスルール:外部認証情報ストレージのビジネス ルールは、管理者が外部認証情報ストレージ プロパティを変更すると、次のタスクを実行します。
      • 認証情報レコードリストおよびフォームのビューを外部ストレージビューに変更します。このビューを使用すると、ユーザーはリスト内の [資格情報 ID] 列を確認できます。
      • MID サーバー に、資格情報の取得方法の変更に備えて、非外部資格情報キャッシュを更新するように指示します。
    • システムプロパティ:外部認証情報ストレージの有効化と呼ばれるプロパティ [com.snc.use_external_credentials] は、外部認証情報ストレージプラグインがアクティブにされた後で、それを有効または無効にします。このホテルは、ディスカバリー定義 > プロパティそしてオーケストレーション > MID サーバープロパティプラグインを有効にすると有効になります。
      注:
      システム プロパティを使用して外部認証情報ストレージを無効にすると、すべての外部認証情報がインスタンス内で非アクティブに自動的に設定されます。このプロパティを使用して機能を再度有効にしても、外部認証情報レコードはアクティブにリセットされません。それぞれの認証情報レコードを手動で再アクティブ化する必要があります。

    サポートされている資格情報タイプ

    CyberArk の統合では、次の ServiceNow 認証情報タイプがサポートされています。
    • GCP
    • Azure
    • CIM
    • JMS
    • SNMP フォーラム
    • SNMPv3
    • 基本認証
    • SSH キーペア
    • SSH 秘密鍵 (キー、パスフレーズ、およびパスワードを含む)
    • VMware
    • Windows
    • 適用可能な資格情報
    注:
    CyberArk 統合を GCP 資格情報タイプと使用するには、外部資格情報ストレージ jar を変更する必要があります。詳細については、「CyberArk を使用した ServiceNow GCP 資格情報リゾルバー」を参照してください。

    また、次のネットワークプロトコルを使用する Now Platform 機能では、CyberArk ボールトに保存された資格情報の使用がサポートされています。

    表 : 1. ネットワークプロトコルでサポートされている資格情報
    ネットワークプロトコル ServiceNow® フローデザイナー でのサポート オーケストレーション でのサポート
    SOAP SOAP ステップ 基本認証を上書きして、SOAP Web サービスアクティビティを作成します。
    REST REST ステップ 基本認証を上書きして、REST Web サービスアクティビティを作成します。
    JDBC JDBC ステップ JDBC アクティビティ
    SSH SSH ステップ SSH アクティビティ
    PowerShell PowerShell ステップ PowerShell アクティビティ
    SFTP SFTP ステップ SFTP アクティビティ
    JMS JMS アクティビティ
    重要:
    同じ MID サーバー を使用して、CyberArk ボールトに保存されている資格情報とカスタムの外部認証情報ストレージを管理することはできません。MID サーバー は、CyberArk AIM API/クライアントと同じマシンにインストールする必要があります。

    CyberArk アーキテクチャ

    図 : 1. CyberArk のストレージアーキテクチャ
    CyberArk ストレージアーキテクチャ。
    注:
    CyberArk は、ベースシステムの mid.jar ファイルを使用して資格情報を解決します。

    MID サーバー による Windows アカウントの処理方法

    まず、認証情報ルックアップでは、指定した認証情報 ID と CyberArk ボールトの [名前] フィールドの照合を試行します。一致するものが見つかると、その認証情報が返されます。一致するものが見つからない場合は、認証情報ルックアップで IP アドレスを使用して一致の検索が試行されます。IP アドレス ルックアップが同じサーバー上の WindowsTomcat など複数の認証情報と一致する場合、そのルックアップは失敗します。この問題を回避するには、MID サーバー の config.xml ファイルにある ext.cred.type_specifier パラメーターを [true] に設定し、CyberArk が資格情報タイプと IP アドレスの両方に一致する資格情報を返すようにします。たとえば、IP アドレスが WindowsTomcat の両方で共有されている場合、Windows の認証情報タイプにより、Windows 認証情報のみが返されます。