CyberArk integração de armazenamento de credenciais
A integração MID Server com o cofre CyberArk permite que ServiceNow® Orquestração, ServiceNow® Descoberta e ServiceNow® Mapeamento de serviços sejam executados sem armazenar qualquer credencial na instância.
Introdução para CyberArk
O produto CyberArk AIM (Application Identity Management) usa a solução Privileged Account Security para eliminar a necessidade de senhas do aplicativo da loja integradas em aplicações, scripts ou arquivos de configuração e permite que essas senhas altamente confidenciais sejam centralmente armazenadas, registradas e gerenciadas no cofre CyberArk. Esta abordagem permite que as organizações cumpram os requisitos internos e regulatórios de substituição periódica de senha e monitorem as atividades associadas a todos os tipos de identidades privilegiadas, seja no local ou na nuvem.
A instância mantém um identificador exclusivo para cada credencial, um tipo de credencial (tal como SSH, SNMP ou Windows) e qualquer afinidade de credencial. O MID Server obtém o identificador de credencial, o tipo de credencial e o endereço IP da instância e usa o cofre CyberArk para resolver esses elementos em uma credencial utilizável. O resolvedor de credenciais também pode pesquisar o nome do host, fqdn e usar a pesquisa de DNS reversa para obter fqdn.
. CyberArk a integração requer ServiceNow® Plug-in Armazenamento externo de credenciais , que está disponível em . O cliente AIM/API MID Server e CyberArk devem ser instalados na mesma máquina. A versão 12.0.1 dos Provedores de credenciais do CyberArk Application Access Manager (AAM) e superiores são compatíveis.
Instalação com CyberArk
- Regra de negócio: a regra de negócio de Armazenamento externo de credenciais executa as seguintes tarefas quando um administrador faz alguma mudança na propriedade de Armazenamento externo de credenciais:
- Altera a exibição da lista de registros de credenciais e do formulário para a exibição Armazenamento externo. Esta exibição permite que os usuários vejam a coluna ID de credencial na lista.
- Instrui o MID Server a atualizar o cache de credenciais não externas em preparação para uma mudança na maneira como as credenciais são obtidas.
- Propriedade do sistema: uma propriedade chamada habilitar armazenamento externo de credenciais [com.snc.use_external_credentials] habilita ou desabilita o plug-in de Armazenamento externo de credenciais depois que ele é ativado. Esta propriedade está localizada em e. e é habilitado quando você ativa o plug-in.Nota:Se você desabilitar o Armazenamento externo de credenciais com a propriedade do sistema, o sistema definirá automaticamente todas as credenciais externas para inativas na instância. Se você reativar o recurso com esta propriedade, o sistema não redefinirá os registros de credenciais externas para ativos. Você deve reativar cada registro de credencial manualmente.
Tipos de credenciais suportados
- GCP
- Azure
- CIM
- JMS
- Forum SNMP
- SNMPv3
- Autorização básica
- Par de chaves SSH
- Chave privada SSH (com chave, frase secreta e senha)
- VMware
- Windows
- Credenciais de Aplicativo
Recursos ServiceNow AI Platform que usam esses protocolos de rede também suportam o uso de credenciais armazenadas em um cofre CyberArk.
| Protocolo de rede | Suporte ServiceNow® Workflow Studio | Suporte Orquestração |
|---|---|---|
| SOAP | Etapa SOAP | Criar uma atividade SOAP Web Services com substituições de autenticação básica |
| REST | Etapa REST | Criar uma atividade REST Web Services com substituições de autenticação básica |
| JDBC | Etapa JDBC | Atividade JDBC |
| SSH | Etapa de SSH | Atividade SSH |
| PowerShell | Etapa de PowerShell | Atividade PowerShell |
| SFTP | Etapa SFTP | Atividade SFTP |
| JMS | Atividade JMS |
Arquitetura CyberArk
Como MID Server lida com contas Windows
A pesquisa de credencial tenta inicialmente corresponder o ID de credencial especificado a um valor existente no campo Nome do cofre CyberArk. Se uma correspondência for encontrada, essa credencial será retornada. Se nenhuma correspondência for encontrada, a pesquisa de credencial tentará encontrar uma correspondência usando o endereço IP. Se a pesquisa de endereço IP corresponder a mais de uma credencial, como Windows e Tomcat no mesmo servidor, a pesquisa falhará. Para evitar esse problema, defina o parâmetro ext.cred.type_specifier no arquivo MID Server config.xml como verdadeiro para forçar CyberArk a retornar credenciais que correspondam ao tipo de credencial e ao endereço IP. Por exemplo, se um endereço IP for compartilhado por Windows e Tomcat, um tipo de credencial de Windows retornará somente a credencial Windows.
Como fazer upgrade da biblioteca do CyberArk
Se for necessário inserir um parâmetro de configuração protegido, será possível fazer upgrade da biblioteca do CyberArk.
Verifique o seguinte parâmetro de configuração em config.xml: <parameter name="mid.secure_config.provider" value="com.service_now.mid.services.config.CyberArkSecuredConfigProvider"/>
- Renomeie a versão do cliente CyberArk para
JavaPasswordSDK_MajorVersion_minorVersion_patchNum.jar. - Crie uma nova entrada jar na tabela
ecc_agentà qual é possível anexar o jar renomeado. A nova entrada é baixada no MID Server. Essa etapa resulta em dois jars (Passworsdk.jar e JavaPasswordSDK _12_X_X.jar). - Exclua a antiga entrada ecc_agent da instância. Essa etapa exclui o Passworsdk.jar do MID Server, enquanto o JavaPasswordSDK _12_X_X.jar permanece no sistema.