자격 증명으로 시작

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • MID 서버는 자격 증명 [discovery_credentials] 테이블에서 만든 자격 증명을 사용하여 검색, 오케스트레이션, 서비스 매핑 및 클라우드 관리를 위한 자원에 액세스합니다.

    MID Server에서 자격 증명을 사용하는 방법

    기본적으로 Windows MID 서버는 호스트 시스템에서 MID 서버 서비스의 로그인 자격 증명을 사용하여 네트워크에서 장치를 검색합니다 Windows . 최소한 로컬 관리자 권한을 갖도록 Windows MID Server 서비스 자격 증명을 구성해야 합니다. 머신 UNIX 및 네트워크 장치의 경우 Linux MID 서버는 다음 인스턴스의 SSH 및 SNMP 자격 증명을 사용합니다 디스커버리 > 자격 증명.

    사용하는 MID Server 오케스트레이션워크플로우 활동에서 지정한 대로 네트워크의 컴퓨터에서 명령을 실행하는 데 필요한 자격 증명에 액세스할 수 있어야 합니다. 오케스트레이션은 와 동일한 디스커버리SSH 및 SNMP 자격 증명을 사용할 수 있지만 특정 워크플로우 활동 Windows 용으로 설계된 두 가지 추가 자격 증명인 ( PowerShell 활동의 경우) 및 VMware가 있습니다.

    암호화 및 암호 해독

    플랫폼은 자격 증명 [discovery_credentials] 테이블의 암호화된 필드에 자격 증명을 저장합니다. 일단 입력하면 볼 수 없습니다.

    MID 서버가 자격 증명을 요청하면 다음 ServiceNow AI Platform 프로세스를 사용하여 자격 증명을 해독합니다.
    1. 자격 증명은 password2 고정 키를 사용하여 인스턴스에서 해독됩니다.
    2. 자격 증명은 MID 서버의 공개 키를 사용하여 인스턴스에서 다시 암호화됩니다.
    3. 자격 증명은 SSL을 사용하여 부하 분산 장치에서 암호화됩니다.
    4. 자격 증명은 SSL을 사용하여 MID 서버에서 해독됩니다.
    5. 자격 증명은 MID 서버의 개인 키를 사용하여 MID 서버에서 다시 해독됩니다.
    주:
    플랫폼에는 다중 테넌트 인스턴스에 대한 별도의 암호화 키가 없습니다.

    자격 증명 순서

    자격 증명은 자격 증명 양식에서 순서 값을 할당할 수 있으며, 이를 통해 응용 프로그램은 특정 순서로 원하는 대로 모든 자격 증명을 시도할 수 있습니다. 순서 값을 지정하지 않으면 애플리케이션은 작동하는 자격 증명을 찾을 때까지 Credentials [discovery_credential] 테이블의 자격 증명을 임의로 시도합니다. 예를 들면 다음과 같습니다.
    • 오케스트레이션이 Linux 또는 UNIX 컴퓨터와 같은 SSH 서버에서 명령을 실행하려고 합니다.
    • 검색은 프린터, 라우터 또는 UPS와 같은 SNMP 장치를 쿼리하려고 합니다.
    장치에 대한 자격 증명을 식별한 디스커버리 후 오케스트레이션은 자격 증명 선호도 [dscy_credentials_affinity] 테이블을 사용하여 자격 증명과 장치 간의 선호도를 만듭니다. 이후의 모든 검색 또는 오케스트레이션 활동은 이 테이블의 자격 증명 정보를 선호도가 있는 장치와 일치시키려고 합니다. 장치의 자격 증명이 변경되면 디스커버리 Orchestration은 새로운 선호도를 만들 때까지 사용 가능한 모든 자격 증명을 다시 시도합니다.
    주:
    오케스트레이션 및(와 디스커버리 )이 설치되고 자격 증명 별칭이 활성화된 경우 여러 선호도가 존재할 수 있습니다. 이 경우 플랫폼은 각 선호도에 대한 자격 증명을 조회하고 순서가 가장 낮은 선호도에 대한 자격 증명을 프로브에 삽입합니다.
    자격 증명 순서는 다음과 같은 경우에 유용합니다.
    • 자격 증명 테이블에는 많은 자격 증명이 포함되어 있으며 일부는 다른 자격 증명보다 더 자주 사용됩니다. 예를 들어 테이블에는 150개의 SSH 자격 증명이 포함되어 있으며 이러한 자격 증명 중 5개는 장치의 90%에 로그인하는 데 사용됩니다. 이러한 5개의 자격 증명을 낮은 순서 번호로 구성하여 실행 목록의 맨 위에 배치하는 것이 좋습니다. 디스커버리 및 Orchestration은 이러한 공통 자격 증명을 먼저 시도할 때 더 빠르게 작동합니다. 첫 번째 연결에 성공한 ServiceNow AI Platform 후에는 각 장치에 다음에 사용할 자격 증명을 알 수 있습니다.
    • 공격적인 로그인 보안이 ServiceNow AI Platform 있습니다. 예를 들어, 네트워크의 Solaris 데이터베이스 서버가 MID 서버를 잠그기 전에 실패한 로그인 시도를 세 번만 제공하는 경우 낮은 순서 값으로 데이터베이스 자격 증명을 구성합니다.

    자격 증명 별칭

    자격 증명 별칭은 DiscoveryOrchestration에 사용할 수 있습니다.

    Discovery에 대한 별칭을 사용하면 관리자가 다음을 수행할 수 있습니다.
    • 구성 가능한 준수 수준으로 자격 증명 필터링 동작을 사용합니다.
    • 검색 일정에 여러 자격 증명 별칭을 할당합니다.
    • 부적절하거나 민감한 자격 증명을 사용하는 자격 증명 선호도 생성을 방지합니다. 자세한 내용은 자격 증명 선호도를 참조하세요.
    워크플로우 작성자는 오케스트레이션에 대한 별칭을 사용하여 다음을 수행할 수 있습니다.
    • 오케스트레이션 워크플로우의 모든 활동에 개별 자격 증명 할당
    • 플로우 디자이너의 모든 작업에 개별 자격 증명 할당
    • 오케스트레이션 워크플로우에서 동일한 활동 유형의 각 항목에 서로 다른 자격 증명을 할당합니다.
    • 디자이너 플로우에서 동일한 작업의 각 항목에 서로 다른 자격 증명을 할당합니다.

    외부 자격 증명 스토어

    인스턴스에 자격 증명을 저장하지 않으려면 외부 자격 증명 리포지토리를 사용할 수 있습니다. 외부 자격 증명 스토어는 인스턴스가 액세스할 수 있는 외부 사이트에 자격 증명을 저장합니다. CyberArk 는 유일하게 지원되는 외부 자격 증명 저장소입니다. 그러나 다른 외부 저장소는 ServiceNow API를 사용하여 구성할 수 있습니다.