認証情報の開始

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • MID サーバーでは、認証情報 [discovery_credentials] テーブルで作成した認証情報を使用して、ディスカバリー、オーケストレーション、サービスマッピング、およびクラウド管理のリソースにアクセスします。

    MID サーバーが認証情報を使用する仕組み

    デフォルトでは、Windows MID サーバーは、ホストマシン上の MID サーバーサービスのログイン認証情報を使用して、ネットワーク内の Windows デバイスを検出します。Windows MID サーバーサービス認証情報を設定して、最低限ローカルアドミニストレーター権限を持つようにする必要があります。Linux および UNIX のマシンとネットワークデバイスの場合、MID サーバーは次のインスタンスで設定された SSH および SNMP 認証情報を使用します。 Discovery > 認証情報.

    オーケストレーション で使用される MID サーバーには、[ワークフローアクティビティ] で指定されているとおり、ネットワーク内のコンピューター上でコマンドを実行するために必要な認証情報へのアクセス権が必要です。オーケストレーションでは、ディスカバリー と同じ SSH および SNMP 認証情報を使用できますが、特定のワークフローアクティビティ用に設計された 2 つの追加認証情報:Windows (PowerShell アクティビティ用) と VMware があります。

    暗号化と復号化

    プラットフォームでは、認証情報 [discovery_credentials] テーブルの暗号化フィールドに認証情報を保存します。認証情報が入力されると、認証情報は表示できません。

    MID サーバーによって認証情報が要求されると、Now Platform で次のプロセスを使用して認証情報が復号化されます。
    1. password2 固定キーを使用してインスタンスに対して認証情報が復号化されます。
    2. 認証情報は、MID サーバーの公開鍵を使用してインスタンス上で再暗号化されます。
    3. 認証情報は、SSL を使用してロード バランサー上で暗号化されます。
    4. 認証情報は、SSL を使用して MID サーバー上で復号化されます。
    5. 認証情報は、MID サーバーの秘密鍵を使用して MID サーバー上で復号化されます。
    注:
    プラットフォームには、マルチテナント インスタンス用の個別の暗号鍵はありません。

    認証情報の順序

    認証情報には、 [Credentials Form] (認証情報フォーム) の順序値を割り当てることができます。これにより、特定の順序ですべての認証情報をアプリケーションで自由に試行させることができます。順序値を指定しない場合、アプリケーションは、有効な認証情報が見つかるまで、認証情報 [discovery_credential] テーブルの認証情報をランダムに試行します。たとえば、次の場合です。
    • オーケストレーションは、Linux マシンや UNIX マシンなどの SSH サーバーでコマンドを実行しようとします。
    • ディスカバリーは、プリンター、ルーター、UPS などの SNMP デバイスのクエリーを試行します。
    デバイスの認証情報を特定した後、ディスカバリー とオーケストレーションでは、認証情報親和性 [dscy_credentials_affinity] テーブルを使用して認証情報とデバイス間の親和性が作成されます。後続のすべての検出またはオーケストレーション アクティビティで、このテーブルの認証情報が、親和性が存在するデバイスと照合されます。デバイスの認証情報が変更された場合、 ディスカバリー とオーケストレーションでは、新しい親和性を作成するまで利用可能な認証情報をすべて再試行します。
    注:
    オーケストレーションと ディスカバリー がインストールされ、認証情報エイリアスが有効になっている場合、複数の親和性が存在する可能性があります。この場合、プラットフォームでは、親和性ごとに認証情報が検索され、順序が最も低い親和性の認証情報がプローブに挿入されます。
    認証情報の順序付けは、次の場合に役立ちます。
    • 認証情報テーブルには多くの認証情報が含まれており、一部の認証情報が他の認証情報よりも頻繁に使用される場合があります。たとえば、テーブルに 150 個の SSH 認証情報が含まれていて、そのうちの 5 個がデバイスの 90% へのログインに使用されている場合は、その 5 個の認証情報の順序値を小さくすることをお勧めします。これにより、その 5 個が実行リストの最上部に配置されます。このようにして、よく使用する認証情報が最初に試行されると、ディスカバリー およびオーケストレーションの動作がより迅速になります。最初の接続に成功した後、Now Platform によりデバイスごとに次回使用する認証情報が認識されます。
    • Now Platform には、積極的なログインセキュリティがあります。たとえば、ネットワーク内の Solaris データベースサーバーが、ログイン試行を 3 回失敗すると MID サーバーからロックアウトされる場合は、データベース認証情報の順序値を小さくします。

    認証情報エイリアス

    認証情報エイリアスは ディスカバリーオーケストレーションで使用できます。

    ディスカバリーにエイリアスを使用すると、アドミニストレーターは以下の操作が可能です。
    • 設定可能なコンプライアンスレベルで認証情報フィルタリング動作を使用します。
    • 複数の認証情報エイリアスをディスカバリースケジュールに割り当てます。
    • 不適切な認証情報や機密の認証情報を使用する認証情報親和性の作成を防止します。詳細については、「認証情報親和性」を参照してください。
    オーケストレーションにエイリアスを使用すると、ワークフロー作成者は以下の操作が可能です。
    • 個々の認証情報をオーケストレーション ワークフローの任意のアクティビティに割り当てる。
    • 個々の認証情報をフローデザイナーの任意のアクションに割り当てる。
    • オーケストレーション ワークフローで同じアクティビティ タイプが発生するたびに異なる認証情報を割り当てる。
    • デザイナー フローで同じアクションが発生するたびに異なる認証情報を割り当てる。

    外部の認証情報ストア

    インスタンスに認証情報を保存しない場合は、外部の認証情報リポジトリを使用できます。外部の認証情報ストアにより、インスタンスによってアクセスできる外部サイトに認証情報が保存されます。CyberArk は、サポートされている唯一の外部認証情報ストアです。ただし、ServiceNow API を使用して他の外部ストアを構成することもできます。