Configurer le serveur MID pour CyberArk CCP
Configurez le fichier config.xml pour accorder au serveur MID l’accès au coffre-fort du PCC de CyberArk.
Avant de commencer
Procédure
Configurer manuellement le serveur MID Ajoutez un fichier de paramètres de serveur MID avec ces paramètres.
Cette configuration ne peut pas être effectuée à partir de l’instance.
| Paramètre | Valeur | Description |
|---|---|---|
| ext.cred.safe_folder | Nom du dossier | Dossier à utiliser pour toutes les recherches d’informations d’identification. Par exemple, root. |
| ext.cred.use_cyberark | VRAI | Paramètre booléen indiquant que ce serveur MID est intégré à CyberArk. |
| ext.cred.ccp_endpoint | CCPendpointURL |
L’URL du point de terminaison CCP, qui doit utiliser HTTPS. Par exemple : https:// /AIMWebService/api/Accounts |
| ext.cred.cyberark.cert_path | /chemin/on/mid/agent/security/EXAMPLE-cyberark-client.pfx | Chemin d’accès au fichier de certificat. |
| ext.cred.cyberark.cert_password | exemple de mot de passe | Mot de passe du fichier de certificat. |
| Paramètre | Valeur | Description |
|---|---|---|
| ext.cred.timeout | 30 | Délai d’expiration de chaque recherche d’informations d’identification dans le coffre, spécifié en secondes. |
| ext.cred.safe_name | Nom de sécurité | Nom sécurisé par défaut utilisé pour toutes les recherches d’informations d’identification. Si les paramètres se trouvent dans plusieurs coffres-forts, l’ID d’informations d’identification peut être spécifié au format <safeName>:<CredentialID>. Lorsqu’il est configuré de cette manière, le champ NameOfSafe est ignoré. Si tous les identifiants externes ont leurs identifiants spécifiés dans ce format, omettez le champ NameOfSafe . Remarque :
Par défaut, le caractère de séparation dans ce format est un deux-points. Pour affecter n’importe quel caractère comme séparateur, ajoutez cette ligne au fichier CredMap.properties : safe.cred.split.string=<string>. |
| ext.cred.app_id | ServiceNow_MID_Server | Spécifie l’ID de l’application utilisé pour accorder l’autorisation au serveur MID d’accéder au coffre-fort CyberArk. La valeur par défaut, ServiceNow_MID_Server, doit être définie dans le coffre-fort de CyberArk. Vous pouvez utiliser ce paramètre pour remplacer la valeur par défaut et spécifier votre propre ID d’application. Si vous modifiez l’ID de l’application dans ce paramètre, assurez-vous de configurer CyberArk pour qu’il corresponde. |
| ext.cred.type_specifier | VRAI | Force une recherche d’adresse IP renvoie des informations d’identification qui correspondent à la fois à l’ID de la plateforme CyberArk et à l’adresse IP. Par exemple, si une adresse IP est partagée par Windows et Tomcat, une information d’identification dont l’ID de plateforme commence par Win renvoie uniquement les informations d’identification Windows. Lorsque ce paramètre est défini sur vrai, CyberArk recherche les identifiants de plateforme qui commencent par :
|
| ext.cred.check_ssh_type | faux | Lorsque la valeur est définie sur vrai, le type d’informations d’identification SSH renvoyées par CyberArk doit correspondre au type d’informations d’identification demandées. Par exemple, si un nom d’utilisateur/mot de passe SSH normal est demandé et que seules les clés SSH sont disponibles, la recherche d’informations d’identification échoue. |
| ext.cred.verify_ssl | VRAI | Le serveur MID valide le certificat de serveur CCP et vérifie l’identité du serveur. Ce paramètre est recommandé pour les environnements de production. Si la valeur est définie sur faux, le serveur MID ne valide pas le certificat du serveur CCP. |
| ext.cred.check_revocation | VRAI | Ce paramètre contrôle la vérification de la révocation des certificats pour la chaîne de certificats du serveur CCP. Bien que vrai, active les vérifications CRL/OCSP. |
| ext.cred.snmpv2_community_property | Nom d’attribut | SNMPv2 n’est pas pris en charge nativement dans CyberArk. Si votre organisation a créé des informations d’identification SNMPv2 personnalisées dans lesquelles la chaîne de communauté n’apparaît pas dans le champ de mot de passe des informations d’identification, utilisez cette propriété pour mapper l’attribut des informations d’identification à la chaîne de communauté. |