외부 자격 증명 스토리지
인스턴스는 , 오케스트레이션 서비스 매핑 에서 디스커버리사용하는 자격 증명을 자격 증명 기록에 직접 ServiceNow 저장하지 않고 외부 자격 증명 리포지토리에 저장할 수 있습니다.
인스턴스는 각 자격 증명, 자격 증명 유형(예: SSH, SNMP 또는 Windows) 및 자격 증명 선호도에 대한 고유 식별자를 유지관리합니다. MID 서버는 인스턴스에서 자격 증명 식별자를 얻은 다음 고객 제공 JAR 파일을 사용하여 리포지토리의 식별자를 사용 가능한 자격 증명으로 확인합니다. 현재 플랫폼은 ServiceNow® 외부 자격 증명 스토리지에 CyberArk 볼트 또는 BeyondTrust의 사용을 지원합니다.
외부 자격 증명 스토리지 아키텍처
자격 증명 프로세스 흐름
- MID 서버는 대상 저장소의 해당 자격 증명 ID를 포함하는 자격 증명 [discovery_credentials] 테이블에서 자격 증명 객체를 ServiceNow 다운로드합니다.
- 각 프로브 또는 패턴이 또는 오케스트레이션 작업에서 실행될 디스커버리 때 MID 서버는 자격 증명 ID, 대상 IP 주소 및 자격 증명 유형과 같은 정보를 자격 증명 해석기 Java Jar 파일에 전달하여 자격 증명을 요청합니다. 자격 증명 모음에서 검색할 올바른 자격 증명 객체에 대한 세부 정보는 자격 증명 확인자에 의해 결정됩니다.
CyberArk와 같은 많은 자격 증명 확인자는 MID 서버와 동일한 시스템에서 실행되는 타사 저장소 벤더가 제공한 애플리케이션을 호출합니다. 해당 애플리케이션은 종종 자격 증명을 캐시하도록 구성될 수 있으며 Vault에서 자격 증명이 변경될 때 캐시를 업데이트하는 것을 알고 있습니다. 이는 MID Server가 자격 증명을 요청할 때마다 Vault에 대한 불필요한 네트워크 호출을 방지하는 데 매우 중요합니다. 자격 증명 확인자(있는 경우 선택적 벤더 애플리케이션 사용)는 Vault를 호출하여 실제 사용자 이름, 암호 등을 가져옵니다.
바로 사용 가능한 자격 증명 확인자(현재 CyberArk만 해당)의 경우 MID 서버는 MID 서버 프로세스 메모리에서 암호화를 사용하여 자격 증명을 최대 몇 초 동안만 캐시합니다. 즉, MID 서버는 단일 장치를 검색할 때에도 동일한 자격 증명에 대해 자격 증명 확인자에게 여러 요청을 할 수 있습니다. 다른 자격 증명 해결자의 캐싱 구현에 대한 자세한 내용은 외부 공급업체 공급업체에 문의하십시오.
- MID 서버는 적절한 자격 증명을 사용하여 프로브를 실행합니다.
외부 자격 증명 스토리지 로깅
MID 서버는 외부 자격 증명 스토리지에 대한 로그 메시지를 게시합니다.
자격 증명 요청을 해결하는 동안 리포지토리에 오류가 발생하면 MID 서버는 다음 접두사를 사용하여 로그 메시지를 게시합니다. 클라이언트의 CredentialResolver에 있는 문제:
외부 자격 증명 스토리지와 함께 설치되는 구성요소
- 비즈니스 규칙
외부 자격 증명 스토리지 비즈니스 규칙은 관리자가 외부 자격 증명 스토리지 속성을 변경할 때 다음 작업을 수행합니다.
- 자격 증명 기록 목록 및 양식의 보기를 외부 저장소 보기로 변경합니다. 이 보기를 사용하면 사용자가 목록에서 자격 증명 ID 열을 볼 수 있습니다.
- 자격 증명을 가져오는 방식의 변경을 준비하는 동안 MID 서버에서 자격 증명 캐시를 새로 고치도록 지시합니다.
- 속성
외부 자격 증명 스토리지 사용 [com.snc.use_external_credentials] 속성은 활성화된 외부 자격 증명 스토리지 플러그인을 사용하거나 사용하지 않도록 설정합니다. 숙소는 다음 위치에 있습니다. 및 이며 플러그인을 활성화하면 활성화됩니다.
시스템 속성을 사용하여 외부 자격 증명 스토리지를 사용하지 않도록 설정하면, 시스템은 자동으로 모든 외부 자격 증명을 비활성화된 인스턴스로 설정합니다. 이 속성을 사용하여 기능을 다시 활성화하면 시스템은 외부 자격 증명 기록을 활성으로 재설정하지 않습니다. 각 자격 증명 기록을 수동으로 다시 활성화해야 합니다.