認証情報の開始

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • MID Server では、認証情報 [discovery_credentials] テーブルで作成した認証情報を使用して、ディスカバリー、オーケストレーション、サービス マッピング、およびクラウド管理のリソースにアクセスします。

    MID Server が資格情報を使用する仕組み

    デフォルトでは、Windows MID Server は、ホストマシン上の MID Server サービスのログイン資格情報を使用して、ネットワーク内の Windows デバイスを検出します。Windows MID Server サービス資格情報を設定して、最低限ローカル管理者権限を持つようにする必要があります。UNIXマシンとネットワークデバイスの場合Linux、MID Server は次のインスタンスで構成された SSH および SNMP 資格情報を使用します。 ディスカバリー > 資格情報.

    オーケストレーション で使用される MID Server には、[ワークフローアクティビティ] で指定されているとおり、ネットワーク内のコンピューター上でコマンドを実行するために必要な資格情報へのアクセス権が必要です。Orchestration では、ディスカバリー と同じ SSH および SNMP 資格情報を使用できますが、特定のワークフローアクティビティ用に設計された 2 つの追加資格情報:Windows (PowerShell アクティビティ用) と VMware があります。

    暗号化と復号化

    プラットフォームでは、資格情報 [discovery_credentials] テーブルの暗号化フィールドに資格情報を保存します。認証情報が入力されると、認証情報は表示できません。

    MID Server によって資格情報が要求されると、Now Platform で次のプロセスを使用して資格情報が復号化されます。
    1. password2 固定キーを使用してインスタンスに対して認証情報が復号化されます。
    2. 資格情報は、MID Server の公開鍵を使用してインスタンス上で再暗号化されます。
    3. 資格情報は、SSL を使用してロード バランサー上で暗号化されます。
    4. 資格情報は、SSL を使用して MID Server 上で復号化されます。
    5. 資格情報は、MID Server の秘密鍵を使用して MID Server 上で復号化されます。
    注:
    プラットフォームには、マルチテナント インスタンス用の個別の暗号鍵はありません。

    資格情報の順序

    認証情報には、 [Credentials Form] (認証情報フォーム) の順序値を割り当てることができます。これにより、特定の順序ですべての認証情報をアプリケーションで自由に試行させることができます。順序値を指定しない場合、アプリケーションは、有効な資格情報が見つかるまで、資格情報 [discovery_credential] テーブルの資格情報をランダムに試行します。たとえば、次の場合です。
    • Orchestration は、Linux マシンや UNIX マシンなどの SSH サーバーでコマンドを実行しようとします。
    • Discovery は、プリンター、ルーター、UPS などの SNMP デバイスのクエリーを試行します。
    デバイスの資格情報を特定した後、ディスカバリー とオーケストレーションでは、資格情報親和性 [dscy_credentials_affinity] テーブルを使用して資格情報とデバイス間の親和性が作成されます。後続のすべての検出またはオーケストレーション アクティビティで、このテーブルの資格情報が、親和性が存在するデバイスと照合されます。デバイスの資格情報が変更された場合、 ディスカバリー とオーケストレーションでは、新しい親和性を作成するまで利用可能な資格情報をすべて再試行します。
    注:
    オーケストレーションと ディスカバリー がインストールされ、資格情報エイリアスが有効になっている場合、複数の親和性が存在する可能性があります。この場合、プラットフォームでは、親和性ごとに資格情報が検索され、順序が最も低い親和性の資格情報がプローブに挿入されます。
    認証情報の順序付けは、次の場合に役立ちます。
    • 認証情報テーブルには多くの認証情報が含まれており、一部の認証情報が他の認証情報よりも頻繁に使用される場合があります。たとえば、テーブルに 150 個の SSH 資格情報が含まれていて、そのうちの 5 個がデバイスの 90% へのログインに使用されている場合は、その 5 個の資格情報の順序値を小さくすることをお勧めします。これにより、その 5 個が実行リストの最上部に配置されます。このようにして、よく使用する資格情報が最初に試行されると、ディスカバリー および Orchestration の動作がより迅速になります。最初の接続に成功した後、Now Platform によりデバイスごとに次回使用する資格情報が認識されます。
    • Now Platform には、積極的なログインセキュリティがあります。たとえば、ネットワーク内の Solaris データベースサーバーが、ログイン試行を 3 回失敗すると MID Server からロックアウトされる場合は、データベース資格情報の順序値を小さくします。

    資格情報エイリアス

    資格情報エイリアスは DiscoveryOrchestration で使用できます。

    Discovery にエイリアスを使用すると、管理者は以下の操作が可能です。
    • 設定可能なコンプライアンスレベルで資格情報フィルタリング動作を使用します。
    • 複数の資格情報エイリアスを検出スケジュールに割り当てます。
    • 不適切な資格情報や機密の資格情報を使用する資格情報親和性の作成を防止します。詳細については、「資格情報親和性」を参照してください。
    Orchestration にエイリアスを使用すると、ワークフロー作成者は以下の操作が可能です。
    • 個々の認証情報をオーケストレーション ワークフローの任意のアクティビティに割り当てる。
    • 個々の資格情報をフロー デザイナーの任意のアクションに割り当てる。
    • オーケストレーション ワークフローで同じアクティビティ タイプが発生するたびに異なる資格情報を割り当てる。
    • デザイナー フローで同じアクションが発生するたびに異なる認証情報を割り当てる。

    外部の認証情報ストア

    インスタンスに資格情報を保存しない場合は、外部の資格情報リポジトリを使用できます。外部の認証情報ストアにより、インスタンスによってアクセスできる外部サイトに認証情報が保存されます。CyberArk は、サポートされている唯一の外部認証情報ストアです。ただし、ServiceNow API を使用して他の外部ストアを構成することもできます。