자격 증명으로 시작

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • MID Server는 자격 증명 [discovery_credentials] 테이블에서 만든 자격 증명을 사용하여 검색, Orchestration, Service Mapping 및 Cloud Management를 위한 자원에 액세스합니다.

    MID Server에서 자격 증명을 사용하는 방법

    기본적으로 Windows MID Server는 호스트 시스템에서 MID Server 서비스의 로그인 자격 증명을 사용하여 네트워크에서 장치를 검색합니다 Windows . 최소한 로컬 관리자 권한을 갖도록 Windows MID Server 서비스 자격 증명을 구성해야 합니다. UNIX 머신 및 네트워크 장치의 경우 Linux MID Server는 다음 인스턴스에서 구성된 SSH 및 SNMP 자격 증명을 사용합니다. 검색 > 자격 증명레이블이 표시됩니다.

    를 사용하는 MID Server 오케스트레이션워크플로우 활동에 지정된 대로 네트워크의 컴퓨터에서 명령을 실행하는 데 필요한 자격 증명에 액세스할 수 있어야 합니다. Orchestration은 와 동일한 SSH 및 SNMP 자격 증명을 검색사용할 수 있지만 특정 워크플로우 활동을 Windows 위해 설계된 두 가지 추가 자격 증명, 즉 PowerShell 활동과 VMware가 있습니다.

    암호화 및 암호 해독

    플랫폼은 자격 증명 [discovery_credentials] 테이블의 암호화된 필드에 자격 증명을 저장합니다. 일단 입력하면 볼 수 없습니다.

    MID Server가 자격 증명을 요청하면 Now Platform 다음 프로세스를 사용하여 자격 증명을 해독합니다.
    1. 자격 증명은 password2 고정 키를 사용하여 인스턴스에서 해독됩니다.
    2. 자격 증명은 MID Server의 공개 키를 사용하여 인스턴스에서 다시 암호화됩니다.
    3. 자격 증명은 SSL을 사용하여 부하 분산 장치에서 암호화됩니다.
    4. 자격 증명은 SSL을 사용하여 MID 서버에서 해독됩니다.
    5. 자격 증명은 MID Server의 개인 키를 사용하여 MID Server에서 다시 해독됩니다.
    주:
    플랫폼에는 다중 테넌트 인스턴스에 대한 별도의 암호화 키가 없습니다.

    자격 증명 주문

    자격 증명은 자격 증명 양식에서 순서 값을 할당할 수 있으며, 이렇게 하면 응용 프로그램이 원하는 대로 모든 자격 증명을 특정 순서로 시도하게 됩니다. 순서 값을 지정하지 않으면 응용 프로그램은 자격 증명[discovery_credential] 테이블에서 자격 증명을 찾을 때까지 임의로 자격 증명을 시도합니다. 예를 들어 다음과 같은 경우입니다.
    • Orchestration은 Linux 또는 UNIX 컴퓨터와 같은 SSH 서버에서 명령을 실행하려고 합니다.
    • 검색은 프린터, 라우터 또는 UPS와 같은 SNMP 장치에 대한 쿼리를 시도합니다.
    장치의 검색 자격 증명을 식별한 후 Orchestration은 자격 증명 선호도 [dscy_credentials_affinity] 테이블을 사용하여 자격 증명과 장치 간에 선호도를 만듭니다. 모든 후속 검색 또는 Orchestration 활동은 이 테이블의 자격 증명 정보를 선호도가 있는 장치와 일치시키려고 합니다. 장치에 대한 자격 증명이 변경 검색 되고 Orchestration이 새 선호도를 만들 때까지 사용 가능한 모든 자격 증명을 다시 시도하면 됩니다.
    주:
    Orchestration이 검색 설치되어 있고 자격 증명 별칭을 사용하는 경우 여러 선호도가 존재할 수 있습니다. 이 경우 플랫폼은 각 선호도에 대한 자격 증명을 조회하고 순서가 가장 낮은 선호도에 대한 자격 증명을 프로브에 삽입합니다.
    자격 증명 주문은 다음과 같은 경우에 유용합니다.
    • 자격 증명 테이블에는 많은 자격 증명이 포함되어 있으며 그 중 일부는 다른 자격 증명보다 더 자주 사용됩니다. 예를 들어 테이블에는 150개의 SSH 자격 증명이 포함되어 있으며, 이 자격 증명 중 5개는 디바이스의 90%에 로그인하는 데 사용됩니다. 이러한 5개의 자격 증명을 낮은 순서 번호로 구성하여 실행 목록의 맨 위에 배치하는 것이 좋습니다. 검색 및 Orchestration은 이러한 공통 자격 증명을 먼저 시도할 때 더 빠르게 작동합니다. 첫 번째 연결 Now Platform 에 성공한 후 다음에 각 장치에 대해 사용할 자격 증명을 알 수 있습니다.
    • Now Platform 적극적인 로그인 보안을 가지고 있습니다. 예를 들어, 네트워크의 Solaris 데이터베이스 서버가 MID Server를 잠그기 전에 실패한 로그인 시도를 세 번만 제공하는 경우 데이터베이스 자격 증명을 낮은 순서 값으로 구성합니다.

    자격 증명 별칭

    자격 증명 별칭은 DiscoveryOrchestration에서 사용할 수 있습니다.

    별칭 for Discovery를 사용하면 관리자가 다음을 수행할 수 있습니다.
    • 구성 가능한 규정 준수 수준과 함께 자격 증명 필터링 동작을 사용합니다.
    • Discovery 일정에 여러 자격 증명 별칭을 할당합니다.
    • 부적절하거나 중요한 자격 증명을 사용하는 자격 증명 선호도 생성을 방지합니다. 자세한 내용은 자격 증명 선호도를 참조하세요.
    별칭 for Orchestration을 사용하면 워크플로우 작성자는 다음을 수행할 수 있습니다.
    • Orchestration 워크플로우의 모든 활동에 개별 자격 증명 할당
    • Flow Designer의 모든 작업에 개별 자격 증명 할당
    • Orchestration 워크플로우에서 동일한 활동 유형의 각 항목에 서로 다른 자격 증명을 할당합니다.
    • 디자이너 플로우에서 동일한 작업이 발생할 때마다 서로 다른 자격 증명을 할당합니다.

    외부 자격 증명 스토어

    인스턴스에 자격 증명이 저장되는 것을 원하지 않으면 외부 자격 증명 리포지토리를 사용할 수 있습니다. 외부 자격 증명 저장소는 인스턴스가 액세스할 수 있는 외부 사이트에 자격 증명을 저장합니다. CyberArk 는 유일하게 지원되는 외부 자격 증명 저장소입니다. 그러나 다른 외부 저장소는 ServiceNow API를 사용하여 구성할 수 있습니다.