CyberArk Intégration de stockage des informations d’identification
L’intégration Serveur MID avec le CyberArk coffre permet ServiceNow® Orchestrationà , ServiceNow® Détectionet ServiceNow® Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.
Introduction à CyberArk
CyberArk Le produit Application Identity Management (AIM) utilise la solution de sécurité des comptes privilégiés pour éliminer le besoin de stocker les mots de passe d’application intégrés dans les applications, les scripts ou les fichiers de configuration, et permet à ces mots de passe hautement sensibles d’être stockés, consignés et gérés de manière centralisée dans le CyberArk coffre-fort. Cette approche permet aux organisations de se conformer aux exigences internes et réglementaires en matière de remplacement périodique des mots de passe et de surveiller les activités associées à tous les types d’identités privilégiées, que ce soit sur site ou dans le cloud.
L’instance conserve un identificateur unique pour chaque information d’identification, le type d’informations d’identification (tel que SSH, SNMP ou Windows), ainsi que toutes les relations d’informations d’identification. Le service obtient Serveur MID l’identificateur d’informations d’identification, le type d’informations d’identification et l’adresse IP à partir de l’instance, puis utilise le CyberArk coffre-fort pour résoudre ces éléments en informations d’identification utilisables. Le résolveur d’informations d’identification peut également rechercher le nom d’hôte, le nom de domaine complet et utiliser la recherche DNS inversée pour obtenir le nom de domaine complet.
L’intégration CyberArk nécessite le ServiceNow® module d’extension Stockage des informations d’identification externe, qui est disponible dans . CyberArk Le Serveur MID client et le client AIM/API doivent être installés sur le même ordinateur. Les fournisseurs d’informations d’identification CyberArk Application Access Manager (AAM) version 12.0.1 et versions ultérieures sont pris en charge.
Installé avec CyberArk
- Règle métier : la règle métier Stockage des informations d’identification externe effectue les tâches suivantes lorsqu’un administrateur apporte des modifications à la propriété de stockage des informations d’identification externe :
- Elle remplace la vue de la liste et du formulaire d'enregistrement Informations d'identification par la vue Stockage externe. Cette vue permet aux utilisateurs de voir la colonne ID d’informations d’identification dans la liste.
- Indique à l’utilisateur Serveur MID d’actualiser son cache d’informations d’identification non externes en vue de changer la façon dont les informations d’identification sont obtenues.
- Propriété système : une propriété appelée Activer le stockage des informations d’identification externe [com.snc.use_external_credentials] active ou désactive le module d’extension Stockage des informations d’identification externe après son activation. Cette propriété est située àEtet est activé lorsque vous activez le module d’extension.Remarque :Si vous désactivez le stockage des informations d’identification externe avec la propriété système, le système définit automatiquement toutes les informations d’identification externes comme inactives dans l’instance. Si vous réactivez la fonctionnalité avec cette propriété, le système ne redéfinit pas les enregistrements d’informations d’identification externes comme étant actifs. Vous devez réactiver manuellement chaque enregistrement d’informations d’identification.
Types d’informations d’identification pris en charge
- GCP
- Azure
- CIM
- JMS
- Forum SNMP
- SNMPv3
- Authentification de base
- Paire de clés SSH
- Clé privée SSH (avec clé, phrase de passe et mot de passe)
- VMware
- Windows
- Informations d'identification applicatives
Now Platform Les fonctionnalités qui utilisent ces protocoles réseau prennent également en charge l’utilisation des informations d’identification stockées sur un CyberArk coffre-fort.
| Protocole réseau | ServiceNow® Concepteur de flux Soutien | Orchestration Soutien |
|---|---|---|
| SOAP | Étape SOAP | Créer une activité de service Web SOAP avec des remplacements d’authentification de base |
| REST | Étape REST | Créer une activité de service Web REST avec des remplacements d’authentification de base |
| JDBC | Étape JDBC | Activité JDBC |
| SSH | Étape SSH | Activité SSH |
| PowerShell | Étape PowerShell | Activité PowerShell |
| SFTP | Étape SFTP | Activité SFTP |
| JMS | Activité JMS |
Architecture CyberArk
Comment gère Serveur MID les Windows comptes
La recherche d’informations d’identification tente initialement de faire correspondre l’ID d’informations d’identification spécifié à une valeur existante dans le champ Nom du CyberArk coffre-fort. Si une correspondance est trouvée, les informations d’identification sont renvoyées. Si aucune correspondance n’est trouvée, la recherche d’informations d’identification tente de trouver une correspondance à l’aide de l’adresse IP. Si la recherche d’adresses IP correspond à plusieurs informations d’identification, par exemple Windows sur Tomcat le même serveur, la recherche échoue. Pour éviter ce problème, définissez le paramètre dans le ext.cred.type_specifierServeur MID fichier config.xml sur true pour forcer CyberArk le renvoi des informations d’identification qui correspondent à la fois au type d’informations d’identification et à l’adresse IP. Par exemple, si une adresse IP est partagée par les deux Windows et Tomcat, un type d’informations d’identification de renvoie uniquement les Windows informations d’identificationWindows.