外部認証情報ストレージ
インスタンスは、 ディスカバリー、オーケストレーション、および サービスマッピング で使用される認証情報を ServiceNow 認証情報レコードに直接保存する代わりに、外部認証情報リポジトリーに保存することができます。
インスタンスは、各認証情報の一意の識別子、認証情報タイプ (SSH、SNMP、Windows など)、および任意の認証情報親和性を保持します。MID サーバーは、インスタンスから認証情報識別子を取得してから、顧客が提供した JAR ファイルを使用してその識別子をリポジトリーから使用可能な認証情報に解決します。現在、ServiceNow® プラットフォームでは、外部認証情報ストレージとして、CyberArk ボールトまたは BeyondTrust の使用がサポートされています。
外部認証情報ストレージのアーキテクチャ
認証情報プロセス フロー
- MID サーバーは、ターゲット ボールトの対応する認証情報 ID が含まれている ServiceNow 認証情報 [discovery_credentials] から認証情報オブジェクトをダウンロードします。
- 各プローブまたはパターンが ディスカバリー または オーケストレーション ジョブから実行されると、MID サーバーは、認証情報 ID、ターゲット IP アドレス、認証情報タイプなどの情報を認証情報リゾルバー Java Jar ファイルに渡すことによって認証情報を要求します。ボールトから取得する正しい認証情報オブジェクトに関する詳細は、認証情報リゾルバーによって決定されます。
CyberArk などの多くの認証情報リゾルバーは、MID サーバーと同じマシン上で実行されているサードパーティのボールトベンダーが提供するアプリケーションを呼び出します。多くの場合、このアプリケーションは認証情報をキャッシュするように構成でき、ボールトで認証情報が変更されたときにキャッシュを更新させることができます。これは、MID サーバーが認証情報を要求するたびにボールトへの不要なネットワーク呼び出しを回避するために非常に重要です。認証情報リゾルバー (オプションのベンダーアプリケーションが存在する場合はそれを使用) はボールトを呼び出し、実際のユーザー名やパスワードなどを取得します。
すぐに利用可能な認証情報リゾルバー (現在は CyberArk のみ) の場合、MID サーバーは、MID サーバープロセスメモリーの暗号化を使用して、最大数秒間だけ認証情報をキャッシュします。これは、単一のデバイスを検出する場合でも、MID サーバーが同じ認証情報の認証情報リゾルバーに対して複数の要求を行うことができることを意味します。他の認証情報リゾルバーのキャッシュ実装については、サードパーティベンダーにお問い合わせください。
- MID サーバーは、適切な認証情報を使用してプローブを実行します。
外部認証情報ストレージのログ記録
MID サーバーから外部認証情報ストレージに関する関するログ メッセージが投稿されます。
認証情報要求を解決しようとしているときにリポジトリにエラーが発生した場合、MID サーバーは「クライアントの CredentialResolver に関する問題:」というプリフィックスが付いたログメッセージを送信します。
外部認証情報ストレージとともにインストールされるコンポーネント
- ビジネスルール
外部認証情報ストレージのビジネスルールは、アドミニストレーターが [外部認証情報ストレージの有効化] プロパティを変更すると、次のタスクを実行します。
- 認証情報レコードリストおよびフォームのビューを外部ストレージビューに変更します。このビューを使用すると、ユーザーはリスト内の [認証情報 ID] 列を確認できます。
- MID サーバーに、認証情報の取得方法の変更に備えて、認証情報キャッシュを更新するように指示します。
- プロパティ
外部認証情報ストレージの有効化 [com.snc.use_external_credentials] と呼ばれるプロパティは、External Credential Storage プラグインがアクティブ化された後で、それを有効または無効にします。プロパティの場所: および で、プラグインをアクティブ化すると有効になります。
システムプロパティを使用して外部認証情報ストレージを無効にする場合、システムは自動的にすべての外部認証情報をインスタンス内で非アクティブ化します。このプロパティを使用して機能を再度有効にしても、外部認証情報レコードはアクティブにリセットされません。それぞれの認証情報レコードを手動で再アクティブ化する必要があります。