外部認証情報ストレージ
インスタンスは、 ディスカバリー、オーケストレーション、および サービスマッピング で使用される認証情報を ServiceNow 認証情報レコードに直接保存する代わりに、外部認証情報リポジトリーに保存することができます。
インスタンスは、各認証情報の一意の識別子、認証情報タイプ (SSH、SNMP、Windows など)、および任意の資格情報親和性を保持します。MID Server は、インスタンスから認証情報識別子を取得してから、顧客が提供した JAR ファイルを使用してその識別子をリポジトリーから使用可能な認証情報に解決します。現在、ServiceNow® プラットフォームでは、外部認証情報ストレージ用に CyberArk ボールトの使用がサポートされています。
外部認証情報ストレージのアーキテクチャ
認証情報プロセス フロー
- MID Server は、ターゲット ボールトの対応する認証情報 ID が含まれている ServiceNow 認証情報 [discovery_credentials] から認証情報オブジェクトをダウンロードします。
- 各プローブまたはパターンが ディスカバリー または オーケストレーション ジョブから実行されると、MID Server は、資格情報 ID、ターゲット IP アドレス、資格情報タイプなどの情報を資格情報リゾルバー Java Jar ファイルに渡すことによって資格情報を要求します。ボールトから取得する正しい資格情報オブジェクトに関する詳細は、資格情報リゾルバーによって決定されます。
CyberArk などの多くの資格情報リゾルバーは、MID Server と同じマシン上で実行されているサードパーティのボールトベンダーが提供するアプリケーションを呼び出します。多くの場合、このアプリケーションは資格情報をキャッシュするように構成でき、ボールトで資格情報が変更されたときにキャッシュを更新させることができます。これは、MID Server が資格情報を要求するたびにボールトへの不要なネットワーク呼び出しを回避するために非常に重要です。資格情報リゾルバー (オプションのベンダーアプリケーションが存在する場合はそれを使用) はボールトを呼び出し、実際のユーザー名やパスワードなどを取得します。
すぐに利用可能な資格情報リゾルバー (現在は CyberArk のみ) の場合、MID Server は、MID Server プロセスメモリーの暗号化を使用して、最大数秒間だけ資格情報をキャッシュします。これは、単一のデバイスを検出する場合でも、MID Server が同じ資格情報の資格情報リゾルバーに対して複数の要求を行うことができることを意味します。他の資格情報リゾルバーのキャッシュ実装については、サードパーティベンダーにお問い合わせください。
- MID Server は、適切な認証情報を使用してプローブを実行します。
外部資格情報ストレージのログ記録
MID Server から外部認証情報ストレージに関する関するログ メッセージが投稿されます。
資格情報要求を解決しようとしているときにリポジトリにエラーが発生した場合、MID Server は「クライアントの CredentialResolver に関する問題:」というプリフィックスが付いたログメッセージを送信します。
外部認証情報ストレージとともにインストールされるコンポーネント
- ビジネスルール
外部資格情報ストレージのビジネスルールは、管理者が [外部資格情報ストレージの有効化] プロパティを変更すると、次のタスクを実行します。
- 認証情報レコードリストおよびフォームのビューを外部ストレージビューに変更します。このビューを使用すると、ユーザーはリスト内の [資格情報 ID] 列を確認できます。
- MID Server に、資格情報の取得方法の変更に備えて、資格情報キャッシュを更新するように指示します。
- プロパティ
外部認証情報ストレージの有効化 [com.snc.use_external_credentials] と呼ばれるプロパティは、External Credential Storage プラグインがアクティブにされた後で、それを有効または無効にします。プロパティの場所は および であり、プラグインを有効にすると有効になります。
システムプロパティを使用して外部認証情報ストレージを無効にする場合、システムは自動的にすべての外部認証情報をインスタンス内で非アクティブに設定します。このプロパティを使用して機能を再度有効にしても、外部認証情報レコードはアクティブにリセットされません。それぞれの資格情報レコードを手動で再アクティブ化する必要があります。