외부 자격 증명 스토리지
인스턴스는 , Orchestration 및 서비스 매핑 자격 증명 레코드가 아닌 외부 자격 증명 리포지토리에서 검색ServiceNow 사용하는 자격 증명을 저장할 수 있습니다.
인스턴스는 각 자격 증명, 자격 증명 유형(예: SSH, SNMP 또는 Windows) 및 자격 증명 선호도에 대한 고유 식별자를 유지관리합니다. MID Server는 인스턴스에서 자격 증명 식별자를 얻은 다음 고객이 제공한 JAR 파일을 사용하여 리포지토리의 식별자를 사용 가능한 자격 증명으로 확인합니다. ServiceNow® 현재 이 플랫폼은 외부 자격 증명 스토리지에 CyberArk 볼트 또는 BeyondTrust의 사용을 지원합니다.
외부 자격 증명 스토리지 아키텍처
자격 증명 프로세스 흐름
- MID 서버는 대상 저장소의 ServiceNow 해당 자격 증명 ID를 포함하는 자격 증명 [discovery_credentials] 테이블에서 자격 증명 객체를 다운로드합니다.
- 각 프로브 또는 패턴이 시작 검색 되거나 오케스트레이션 작업을 수행할 때 MID 서버는 자격 증명 ID, 대상 IP 주소 및 자격 증명 유형과 같은 정보를 자격 증명 해결자 Java Jar 파일로 전달하여 자격 증명을 요청합니다. 자격 증명 모음에서 검색할 올바른 자격 증명 객체에 대한 세부 정보는 자격 증명 확인자에 의해 결정됩니다.
CyberArk와 같은 많은 자격 증명 해결자는 MID 서버와 동일한 컴퓨터에서 실행되는 외부 공급업체 저장소 벤더가 제공한 애플리케이션을 호출합니다. 해당 애플리케이션은 종종 자격 증명을 캐시하도록 구성할 수 있으며 자격 증명이 Vault에서 변경될 때 캐시를 업데이트하는 것을 알고 있습니다. 이는 MID Server가 자격 증명을 요청할 때마다 Vault에 대한 불필요한 네트워크 호출을 방지하는 데 매우 중요합니다. 자격 증명 확인자(있는 경우 선택적 공급업체 애플리케이션 사용)는 자격 증명 모음을 호출하여 실제 사용자 이름, 암호 등을 가져옵니다.
바로 사용 가능한 자격 증명 해결자(현재 CyberArk만 해당)의 경우 MID 서버는 MID 서버 프로세스 메모리의 암호화를 사용하여 최대 몇 초 동안만 자격 증명을 캐시합니다. 즉, MID Server는 단일 장치를 검색할 때에도 동일한 자격 증명에 대해 자격 증명 해결자에게 여러 요청을 할 수 있습니다. 다른 자격 증명 해결자의 캐싱 구현에 대한 자세한 내용은 외부 공급업체에 문의하십시오.
- MID Server는 적절한 자격 증명을 사용하여 프로브를 실행합니다.
외부 자격 증명 스토리지 로깅
MID Server가 외부 자격 증명 스토리지에 대한 로그 메시지를 게시합니다.
자격 증명 요청을 해결하는 동안 리포지토리에 오류가 발생하면 MID 서버는 다음 접두사를 사용하여 로그 메시지를 게시합니다. 클라이언트의 CredentialResolver에 있는 문제:
외부 자격 증명 스토리지와 함께 설치되는 구성요소
- 비즈니스 규칙
외부 자격 증명 스토리지 비즈니스 규칙은 관리자가 외부 자격 증명 스토리지 속성을 변경할 때 다음 작업을 수행합니다.
- 자격 증명 기록 목록 및 양식의 보기를 외부 저장소 보기로 변경합니다. 이 보기를 사용하면 사용자가 목록에서 자격 증명 ID 열을 볼 수 있습니다.
- 자격 증명을 가져오는 방식의 변경을 준비하는 동안 MID 서버에서 자격 증명 캐시를 새로 고치도록 지시합니다.
- 속성
외부 자격 증명 스토리지 사용 [com.snc.use_external_credentials] 속성은 활성화된 외부 자격 증명 스토리지 플러그인을 사용하거나 사용하지 않도록 설정합니다. 숙소는 다음 지역에 위치해 있습니다. 및 이며 플러그인을 활성화할 때 활성화됩니다.
시스템 속성을 사용하여 외부 자격 증명 스토리지를 사용하지 않도록 설정하면, 시스템은 자동으로 모든 외부 자격 증명을 비활성화된 인스턴스로 설정합니다. 이 속성을 사용하여 기능을 다시 활성화하면 시스템은 외부 자격 증명 기록을 활성으로 재설정하지 않습니다. 각 자격 증명 기록을 수동으로 다시 활성화해야 합니다.