CyberArk 認証情報ストレージの統合

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • MID サーバーCyberArk ボールトの統合により、インスタンスに認証情報を保存せずに、ServiceNow® オーケストレーションServiceNow® ディスカバリー および ServiceNow® サービスマッピング を実行することができます。

    CyberArk の概要

    CyberArk の Application Identity Management (AIM) 製品では、Privileged Account Security ソリューションを使用して、アプリケーション、スクリプト、または構成ファイルに組み込まれたアプリケーション パスワードを保存する必要性をなくします。さらに、この製品により、CyberArk ボールト内でこれらの非常に機密性の高いパスワードの保存、ログ記録、および管理を一元的に行うことができます。このアプローチにより、組織は定期的なパスワード交換の社内要件および規制要件を遵守し、オンプレミスかクラウドかに関係なく、あらゆる種類の特権 ID に関連付けられたアクティビティを監視することができます。

    インスタンスは、各認証情報の一意の識別子、認証情報タイプ (SSH、SNMP、Windows など)、および任意の 認証情報親和性を保持します。MID サーバー は、インスタンスから認証情報識別子、認証情報タイプ、および IP アドレスを取得し、CyberArk ボールトを使用してこれらの要素を使用可能な認証情報に解決します。認証情報リゾルバーは、ホスト名「fqdn」を検索し、リバース DNS ルックアップを使用して「fqdn」を取得することもできます。

    CyberArk 統合にはServiceNow® 外部認証情報ストレージプラグインが必要です。これは、 システム定義 > プラグイン.MID サーバー は、CyberArk AIM/API クライアントと同じマシンにインストールする必要があります。CyberArk Application Access Manager (AAM) 認証情報プロバイダーバージョン 12.0.1 以降がサポートされています。

    CyberArk とともにインストールされる内容

    • ビジネスルール:外部認証情報ストレージのビジネス ルールは、アドミニストレーターが外部認証情報ストレージ プロパティを変更すると、次のタスクを実行します。
      • 認証情報レコードリストおよびフォームのビューを外部ストレージビューに変更します。このビューを使用すると、ユーザーはリスト内の [認証情報 ID] 列を確認できます。
      • MID サーバー に、認証情報の取得方法の変更に備えて、非外部認証情報キャッシュを更新するように指示します。
    • システムプロパティ:外部認証情報ストレージの有効化と呼ばれるプロパティ [com.snc.use_external_credentials] は、外部認証情報ストレージプラグインがアクティブにされた後で、それを有効または無効にします。このプロパティの場所:ディスカバリー定義 > プロパティそしてオーケストレーション > MID サーバープロパティで、プラグインをアクティブ化すると有効になります。
      注:
      システム プロパティを使用して外部認証情報ストレージを無効にすると、すべての外部認証情報がインスタンス内で非アクティブに自動的に設定されます。このプロパティを使用して機能を再度有効にしても、外部認証情報レコードはアクティブにリセットされません。それぞれの認証情報レコードを手動で再アクティブ化する必要があります。

    サポートされている認証情報タイプ

    CyberArk の統合では、次の ServiceNow 認証情報タイプがサポートされています。
    • GCP
    • Azure
    • CIM
    • JMS
    • SNMP フォーラム
    • SNMPv3
    • 基本認証
    • SSH キーペア
    • SSH 秘密鍵 (キー、パスフレーズ、およびパスワードを含む)
    • VMware
    • Windows
    • 適用可能な認証情報
    注:
    CyberArk 統合を GCP 認証情報タイプと使用するには、外部認証情報ストレージ jar を変更する必要があります。詳細については、「CyberArk を使用した ServiceNow GCP 認証情報リゾルバー」を参照してください。

    また、次のネットワークプロトコルを使用する Now Platform 機能では、CyberArk ボールトに保存された認証情報の使用がサポートされています。

    表 : 1. ネットワークプロトコルでサポートされている認証情報
    ネットワークプロトコル ServiceNow® ワークフロースタジオ でのサポート オーケストレーション でのサポート
    SOAP SOAP ステップ ベーシック認証を上書きして、SOAP Web サービスアクティビティを作成します。
    REST REST ステップ ベーシック認証を上書きして、REST Web サービスアクティビティを作成します。
    JDBC JDBC ステップ JDBC アクティビティ
    SSH SSH ステップ SSH アクティビティ
    PowerShell PowerShell ステップ PowerShell アクティビティ
    SFTP SFTP ステップ SFTP アクティビティ
    JMS JMS アクティビティ
    重要:
    同じ MID サーバー を使用して、CyberArk ボールトに保存されている認証情報とカスタムの外部認証情報ストレージを管理することはできません。MID サーバー は、CyberArk AIM/API クライアントと同じマシンにインストールする必要があります。

    CyberArk アーキテクチャ

    図 : 1. CyberArk のストレージアーキテクチャ
    CyberArk ストレージアーキテクチャ。
    注:
    CyberArk は、ベースシステムの mid.jar ファイルを使用して認証情報を解決します。

    MID サーバー による Windows アカウントの処理方法

    まず、認証情報ルックアップでは、指定した認証情報 ID と CyberArk ボールトの [名前] フィールドの照合を試行します。一致するものが見つかると、その認証情報が返されます。一致するものが見つからない場合は、認証情報ルックアップで IP アドレスを使用して一致の検索が試行されます。IP アドレス ルックアップが同じサーバー上の WindowsTomcat など複数の認証情報と一致する場合、そのルックアップは失敗します。この問題を回避するには、MID サーバー の config.xml ファイルにある ext.cred.type_specifier パラメーターを [true] に設定し、CyberArk が認証情報タイプと IP アドレスの両方に一致する認証情報を返すようにします。たとえば、IP アドレスが WindowsTomcat の両方で共有されている場合、Windows の認証情報タイプにより、Windows 認証情報のみが返されます。

    CyberArk ライブラリのアップグレード

    保護された構成パラメーターが必要な場合は、CyberArk ライブラリをアップグレードできます。

    config.xml で次の構成パラメーターを確認します。<parameter name="mid.secure_config.provider" value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider"/>

    保護された構成パラメータープロバイダーが構成されている場合は、次の手順を実行してアップグレードを実行します。
    1. CyberArk クライアントバージョンの名前を「JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jar」に変更します。
    2. 名前変更 jar を添付できる ecc_agent テーブルに新しい jar エントリを作成します。この新しいエントリが MID サーバーにダウンロードされます。このステップにより、2 つの jar (Passworsdk.jar と JavaPasswordSDK _12_X_X.jar) が生成されます。
    3. インスタンスから古い ecc_agent エントリを削除します。このステップにより、MID サーバー から Passworsdk.jar が削除され、JavaPasswordSDK _12_X_X.jar はシステムに残ります。