외부 자격 증명 저장소

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 인스턴스는 Orchestration 서비스 매핑 에서 검색사용하는 자격 증명을 자격 증명 기록에 직접 저장하지 않고 외부 자격 증명 리포지토리에 ServiceNow 저장할 수 있습니다.

    인스턴스는 각 자격 증명, 자격 증명 유형(예: SSH, SNMP 또는 Windows) 및 자격 증명 선호도에 대한 고유 식별자를 유지관리합니다. MID Server는 인스턴스에서 자격 증명 식별자를 얻은 다음 고객이 제공한 JAR 파일을 사용하여 리포지토리의 식별자를 사용 가능한 자격 증명으로 확인합니다. ServiceNow® 현재 플랫폼은 외부 자격 증명 스토리지에 CyberArk 볼트를 사용할 수 있도록 지원합니다.

    외부 자격 증명 저장소 아키텍처

    그림 1. 외부 자격 증명 저장소 아키텍처
    ServiceNow 외부 자격 증명 저장소 아키텍처

    자격 증명 프로세스 플로우

    MID Server는 다음 프로세스를 사용하여 외부 저장소에서 자격 증명을 검색합니다.
    1. MID Server는 대상 저장소의 ServiceNow 해당 자격 증명 ID를 포함하는 자격 증명 [discovery_credentials] 테이블에서 자격 증명 객체를 다운로드합니다.
    2. 각 프로브 또는 패턴이 작업에서 검색 실행되거나 오케스트레이션 작동할 때 MID Server는 자격 증명 ID, 대상 IP 주소 및 자격 증명 유형과 같은 정보를 자격 증명 해결 프로그램 Java Jar 파일에 전달하여 자격 증명을 요청합니다. 자격 증명 모음에서 검색할 올바른 자격 증명 개체에 대한 세부 정보는 자격 증명 확인자에 의해 결정됩니다.

      CyberArk와 같은 많은 자격 증명 확인자는 MID Server와 동일한 시스템에서 실행되는 외부 공급업체 볼트 벤더가 제공한 애플리케이션을 호출합니다. 이 애플리케이션은 종종 자격 증명을 캐시하도록 구성될 수 있으며 자격 증명이 Vault에서 변경될 때 캐시를 업데이트하도록 알고 있습니다. 이는 MID Server가 자격 증명을 요청할 때마다 Vault에 대한 불필요한 네트워크 호출을 방지하는 데 매우 중요합니다. 자격 증명 확인자(있는 경우 선택적 공급업체 응용 프로그램 사용)는 자격 증명 모음을 호출하여 실제 사용자 이름, 암호 등을 가져옵니다.

      바로 사용 가능한 자격 증명 해결 프로그램(현재 CyberArk만 해당)의 경우 MID Server는 MID Server 프로세스 메모리의 암호화를 사용하여 최대 몇 초 동안만 자격 증명을 캐시합니다. 즉, MID Server는 단일 장치를 검색할 때에도 동일한 자격 증명에 대해 자격 증명 해결자에게 여러 요청을 할 수 있습니다. 다른 자격 증명 해결자의 캐싱 구현에 대한 자세한 내용은 외부 공급업체에 문의하십시오.

    3. MID Server는 적절한 자격 증명을 사용하여 프로브를 실행합니다.
    주:
    자격 증명 선호도는 계속 적용됩니다. MID Server 관점에서의 유일한 차이점은 실제 자격 증명 정보(사용자 이름 및 암호)가 외부 공급업체 저장소에서 제공된다는 것뿐이므로 메커니즘은 동일하게 유지됩니다.

    외부 자격 증명 저장소 로깅

    MID Server는 외부 자격 증명 저장소에 대한 로그 메시지를 게시합니다.

    인증서 요청을 해결하는 동안 리포지토리에 오류가 발생하면 MID Server는 다음 접두사를 사용하여 로그 메시지를 게시합니다. 클라이언트의 CredentialResolver에 있는 문제:

    External Credential Storage와 함께 설치되는 구성요소

    비즈니스 규칙

    외부 자격 증명 저장소 비즈니스 규칙은 관리자가 외부 자격 증명 저장소 속성을 변경할 때 다음 작업을 수행합니다.

    • 자격 증명 기록 목록 및 양식의 보기를 외부 저장소 보기로 변경합니다. 이 보기를 사용하면 사용자가 목록에서 자격 증명 ID 열을 볼 수 있습니다.
    • 자격 증명을 가져오는 방식의 변경을 준비하는 동안 MID Server에서 자격 증명 캐시를 새로 고치도록 지시합니다.
    속성

    외부 자격 증명 저장소 사용 [com.snc.use_external_credentials] 속성은 활성화된 External Credential Storage 플러그인을 사용하거나 사용하지 않도록 설정합니다. 숙소는 다음 지역에 위치해 있습니다. 검색 정의 > 속성오케스트레이션 > MID 서버 속성로 표시되며 플러그인을 활성화하면 활성화됩니다.

    시스템 속성을 사용하여 외부 자격 증명 저장소를 사용하지 않도록 설정하면, 시스템은 자동으로 모든 외부 자격 증명을 비활성화된 인스턴스로 설정합니다. 이 속성을 사용하여 기능을 다시 활성화하면 시스템은 외부 자격 증명 기록을 활성으로 재설정하지 않습니다. 각 자격 증명 기록을 수동으로 다시 활성화해야 합니다.