Armazenamento externo de credenciais

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Uma instância pode armazenar credenciais usadas por Descoberta, Orquestração e Mapeamento de serviços em um repositório de credencial externo em vez de diretamente em um registro de credenciais ServiceNow.

    A instância mantém um identificador exclusivo para cada credencial, o tipo de credencial (como SSH, SNMP ou Windows) e todas as afinidades de credencial. O MID Server obtém o identificador de credencial da instância e usa um arquivo JAR fornecido pelo cliente para resolver o identificador do repositório em uma credencial utilizável. Atualmente, a plataforma ServiceNow® dá suporte ao uso do cofre do CyberArk ou BeyondTrust para armazenamento externo de credenciais.

    Arquitetura de armazenamento externo de credenciais

    Figura 1. Arquitetura de armazenamento externo de credenciais
    Arquitetura de armazenamento externo de credenciais ServiceNow

    Fluxo do processo de credencial

    O MID Server recupera as credenciais de um armazenamento externo usando este processo:
    1. O MID Server baixa objetos de credencial da tabela ServiceNow Credenciais [discovery_credentials] que contêm o ID de credencial correspondente a partir do cofre de destino.
    2. Conforme cada probe ou padrão é executado a partir de trabalhos Descoberta ou Orquestração, o MID Server solicita a credencial passando informações como ID de credencial, endereço IP de destino e tipo de credencial para o arquivo Java JAR do Resolvedor de credencial. Os detalhes sobre o objeto de credencial correto a ser recuperado do cofre são determinados pelo Resolvedor de Credencial.

      Muitos Resolvedores de Credencial, como o CyberArk, chamam uma aplicação fornecida pelo fornecedor do cofre de terceiros em execução na mesma máquina do MID Server. esse aplicativo geralmente pode ser configurada para armazenar credenciais em cache e sabe como atualizar o cache quando uma credencial muda no cofre, o que é muito importante para evitar chamadas de rede desnecessárias para o cofre cada vez que o MID Server solicita uma credencial. O Resolvedor de Credencial (usando a aplicação opcional do fornecedor, se presente) faz uma chamada para o cofre para obter o nome de usuário real, a senha etc.

      Para Resolvedores de credenciais fornecidos prontos para uso (somente a CyberArk hoje), o MID Server somente armazena em cache uma credencial por até vários segundos usando criptografia na memória do processo do MID Server. Isso significa que o MID Server pode fazer várias solicitações ao Resolvedor de credencial para a mesma credencial, mesmo ao descobrir um único dispositivo. Contate fornecedores de terceiros para obter informações sobre implementações de cache para outros Resolvedores de credencial.

    3. O MID Server executa a probe com a credencial apropriada.
    Nota:
    A afinidade de credencial ainda se aplica. O mecanismo permanece o mesmo, já que a única diferença real da perspectiva do MID Server é que os detalhes reais das credenciais (nome de usuário e senha) vêm do cofre de terceiros.

    Log de armazenamento de credenciais externas

    O MID Server publica mensagens de log sobre o armazenamento externo de credenciais.

    Se o repositório encontrar um erro ao tentar resolver uma solicitação de credenciais, o MID Server publicará mensagens de log com este prefixo: Problem with client's CredentialResolver:

    Componentes instalados com Armazenamento externo de credenciais

    Regra de negócios

    A regra de negócio de armazenamento externo de credenciais executa as seguintes tarefas quando um administrador faz alguma mudança na propriedade Habilitar armazenamento externo de credenciais:

    • Altera a exibição da lista de registros de credenciais e do formulário para a exibição Armazenamento externo. Esta exibição permite que os usuários vejam a coluna ID de credencial na lista.
    • Instrui o MID Server a atualizar o cache de credenciais em preparação para uma mudança na maneira como as credenciais são obtidas.
    Propriedade

    Uma propriedade chamada Habilitar armazenamento externo de credenciais [com.snc.use_external_credentials] habilita ou desabilita o plug-in Armazenamento externo de credenciais depois que ele é ativado. A propriedade está localizada em Definição de Descoberta > Propriedades e Orquestração > Propriedades do MID Servere é habilitado quando você ativa o plug-in.

    Se você desabilitar o armazenamento externo de credenciais com a propriedade do sistema, o sistema definirá automaticamente todas as credenciais externas para inativas na instância. Se você reativar o recurso com esta propriedade, o sistema não redefinirá os registros de credenciais externas para ativos. Você deve reativar cada registro de credencial manualmente.