オーケストレーションの認証情報、接続、およびエイリアスの概要
オーケストレーションのすべてのアプリケーション統合では、リソースにアクセスするために、それぞれのアプリケーションに対する接続情報、資格情報、接続および資格情報エイリアスが必要です。
オーケストレーションでアプリケーション統合を実行する前に、対応する接続情報および認証情報を作成して構成する必要があります。接続は、IP アドレスまたはエンドポイントとプロトコルのような、システムとの統合に関連します。これには、データベースと統合する際のデータベースの詳細など、特定の詳細が含まれています。関連する認証情報は、接続の作成に必要な認証データです。
接続情報と認証情報は、同じ統合でも QA/開発/本番環境間で異なる場合があります。このデータとアプリケーション メタデータ (ワークフローやジョブ スケジューリングなど) が緊密に結合されているため、環境を変更すると、アプリケーション メタデータが使用停止されます。この問題を軽減するために、アプリケーション メタデータからこのデータを切り離すことを目的に、接続および認証情報のエイリアスという概念が導入されています。これらのエイリアスを使用すると、ユーザーは、エイリアスに接続するためのアプリケーション メタデータを設計できます。エイリアスは、実行時に接続データと認証情報データに解決されます。
認証情報エイリアスは、認証情報データのみを解決します。エイリアス データ モデルに加えて、実行時に接続と資格情報データを取得できるスクリプト可能な API を使用できます。
オーケストレーションでの接続および資格情報エイリアスの使用
認証情報または接続情報レコードにラベルを付けるエイリアスを定義します。
- 名前
- エイリアスの名前。
- ID
- このフィールドは、「scope name.alias name」という形式に基づいています。ID に対する一意のインデックスを使用することで、スコープ名 + 名前に基づく一意のレコードを確保します。スコープがグローバルである場合、ID はエイリアス名です。
- タイプ
- [認証情報] または [接続と資格情報] のどちらかを選択できます。デフォルトは [接続と資格情報] です。
- 接続タイプ
- このフィールドは、エイリアス タイプが [接続と資格情報] に設定されている場合に適用されます。接続タイプは、[HTTP]、[JDBC]、[JMS] の 3 つです。デフォルトは [HTTP] です。
- 名前には、英字、数字、およびアンダースコアのみ使用できます。
- アップグレード時に、認証情報レコード内のタグは接続エイリアスに移行します。以前のリリースの認証情報レコード内のタグに英字、数字、およびアンダースコア以外の特殊文字が含まれている場合、タグ データはアップグレード中も保持されます。ユーザーは引き続きこれらの接続エイリアスを使用できますが、更新時にこれらの特殊文字を削除しない限り、エイリアスを更新できません。
オーケストレーション での認証情報の使用
オーケストレーション では、リソースにアクセスするために認証情報が必要です。
認証情報テーブル
認証情報テーブル (discovery_credential) は、統合に使用できる認証情報を定義します。以前のリリースでは、認証情報テーブルには、認証情報にラベルを付ける文字列タイプのタグフィールドが含まれていました。このタグは、オーケストレーション アクティビティで使用されます。Madrid リリースでは、認証情報エイリアスはタグから名前が変更され、タイプは文字列から GlideList (接続エイリアステーブルへの参照) に変更されます。
認証情報タイプ
| 認証情報タイプ | 説明 | [認証情報をテスト] オプションのサポート |
|---|---|---|
| 適用可能な認証情報 | デバイスまたはコンピューター上のアプリケーションを探索するための認証情報。 によって使用されるディスカバリーパターン ITOM ヴィジビリティ 多くの場合、適用可能な認証情報が必要です。 | いいえ |
| Amazon Web Services の認証情報 | Amazon Web Services (AWS) のメインアカウント、アクセスキー ID、および秘密アクセスキー。 注: テスト中に AWS 認証情報をテストすることはできません |
いいえ |
| Azure サービスプリンシパルおよびエンタープライズ契約の認証情報 | Azure サブスクリプションに必要な Azure サービスプリンシパル。 | いいえ |
| ベーシック認証情報 | ユーザー名とパスワード。 | いいえ |
| CIM 認証情報 | VMware ESX サーバーに関する情報を取得する CIMOM (Common Information Model Object Manager (CIM)) サーバーへのアクセスに必要なユーザー名とパスワード。 | いいえ |
| クラウド認証情報 | オーケストレーション がクラウドリソースにアクセスするために使用する認証情報。 | いいえ |
| JDBC 認証情報 | Java Database Connectivity (JDBC) 接続にアクセスするためのユーザー名とパスワード。 | あり |
| JMS 認証情報 | Java Message Service (JMS) にアクセスするためのユーザー名とパスワード。 | あり |
| OAuth 2.0 認証情報 | OAuth 2.0 の認証情報により、ServiceNow® は HTTP サービス上のユーザーアカウントにアクセスできるようになります。 | |
| SNMP コミュニティ認証情報 | SNMP を介してデバイスにアクセスするためのコミュニティ文字列。 | あり |
| SNMPv3 認証情報 | SNMP v3 ネットワーク上のデバイスにアクセスするために必要なユーザー名とキー。 | あり |
| SSH 認証情報 | Linux および UNIX デバイスにアクセスするためのユーザー名とパスワード。 | はい |
| SSH 認証情報 | Linux および UNIX デバイスにアクセスするための秘密鍵認証情報。 注: セキュリティ上の理由により、SSH パスワード認証情報よりも SSH 秘密鍵認証情報が推奨されます。 |
はい |
| VMware 認証情報 | vCenter リソースにアクセスするための認証情報。これらの認証情報は、仮想マシンのクローニングなど、vCenter で実行するすべての作業で必要とされます。 | あり |
| Windows 資格情報 | Windows コンピューターにアクセスするために必要なユーザー名とパスワード。Windows 資格情報を使用するには、複数の Windows 資格情報を満たす必要があります。 | あり |
MID サーバーが認証情報を使用する仕組み
デフォルトでは、Windows MID サーバーは、ホストマシン上の MID サーバーサービスのログイン認証情報を使用して、ネットワーク内の Windows デバイスを検出します。Windows MID サーバーサービス認証情報を設定して、ドメインまたはローカルアドミニストレーター権限を持つようにする必要があります。LinuxマシンとUNIXマシン、およびネットワークデバイスの場合、MID サーバーは次のインスタンスに設定された SSH および SNMP 認証情報を使用します。 .
オーケストレーションで使用される MID サーバーには、[ワークフロー アクティビティ] で指定されているとおり、ネットワーク内のコンピューター上でコマンドを実行するために必要な認証情報へのアクセス権が必要です。オーケストレーションでは、ディスカバリーと同じ SSH および SNMP 認証情報を使用できますが、特定のワークフローアクティビティ用に設計された 2 つの追加認証情報 (Windows (PowerShell 用) と VMware) があります。
暗号化と復号化
プラットフォームでは、認証情報 [discovery_credentials] テーブルの暗号化フィールドに認証情報を保存します。認証情報が入力されると、認証情報は表示できません。
- password2 固定キーを使用してインスタンスに対して認証情報が復号化されます。
- 認証情報は、MID サーバーの公開鍵を使用してインスタンス上で再暗号化されます。
- 認証情報は、SSL を使用してロード バランサー上で暗号化されます。
- 認証情報は、SSL を使用して MID サーバー上で復号化されます。
- 認証情報は、MID サーバーの秘密鍵を使用して MID サーバー上で復号化されます。
認証情報の順序
認証情報には、 [Credentials Form (認証情報フォーム)] の順序値を割り当てることができます。これにより、特定の順序ですべての認証情報をアプリケーションで自由に試行させることができます。順序値を指定しない場合、オーケストレーション が SSH サーバー (Linux マシンや UNIX マシンなど) でコマンドの実行を試行する場合や、ディスカバリーが SNMP デバイス (プリンター、ルーター、UPS など) のクエリを試行する場合などに、使用できる認証情報が見つかるまで認証情報 [discovery_credential] テーブルにある認証情報がアプリケーションでランダムに試行されます。
[dscy_credentials_affinity] テーブルを使用して認証情報とデバイス間の親和性が作成されます。後続のすべての検出またはオーケストレーション アクティビティで、このテーブルの認証情報が、親和性が存在するデバイスと照合されます。デバイスの認証情報が変更された場合、 ディスカバリー とオーケストレーションでは、新しい親和性を作成するまで利用可能な認証情報をすべて再試行します。
- 認証情報テーブルには多くの認証情報が含まれており、一部の認証情報が他の認証情報よりも頻繁に使用される場合があります。たとえば、テーブル 150 個の SSH 認証情報が含まれており、そのうちの 5 個がデバイスの 90% へのログインに使用されている場合は、その 5 個の順序値を小さくすることをお勧めします。これにより、その 5 個が実行リストの最上部に配置されます。このようにして、よく使用する認証情報が最初に試行されると、ディスカバリー と オーケストレーション の動作がより迅速になります。最初の接続に成功した後、デバイスごとに次回使用する認証情報が認識されます。
- システムには、積極的なログイン セキュリティがあります。たとえば、ネットワーク内の Solaris データベースサーバーがログイン試行を 3 回失敗すると MID サーバーからロックアウトされる場合は、データベース認証情報の順序値を小さくします。
認証情報エイリアス
- 個々の認証情報を オーケストレーション ワークフローの任意のアクティビティに割り当てる。
- 個々の認証情報を ワークフロースタジオ の任意のアクションに割り当てる。
- オーケストレーション ワークフローで同じアクティビティ タイプが発生するたびに異なる認証情報を割り当てる。
- デザイナー フローで同じアクションが発生するたびに異なる認証情報を割り当てる。
外部の認証情報ストア
インスタンスに認証情報を保存しない場合は、外部の認証情報リポジトリを使用できます。外部の認証情報ストアにより、インスタンスによってアクセスできる外部サイトに認証情報が保存されます。CyberArk のみがサポートされています。
オーケストレーションとの接続
接続テーブルを使用して、ターゲット ホストへの JMS 接続、JDBC 接続、または HTTP(s) 接続を設定します。
接続テーブル
- JDBC
- JMS
- HTTP(S)
| フィールド | 説明 |
|---|---|
| 名前 | 接続の名前。このフィールドは、テーブル上で一意でなければなりません。 |
| 認証情報 | この接続で使用する認証情報を指定します。これはオプションです。 |
| 接続エイリアス | 接続エイリアスにより、実行時に接続と資格情報が解決されます。接続エイリアスごとに一度に 1 つの接続のみアクティブになります。 |
| アクティブ | この接続をアクティブにする場合はオンにします。 |
| ドメイン | 接続が属するドメイン。 |
空でない場合、認証情報は有効な接続全体で一意です。
接続情報のアップグレード
- JDBC サーバーの名前が host に変更されました
- データベース ポートの名前が port に変更されました