외부 자격 증명 스토리지
인스턴스는 자격 증명 레코드가 ServiceNow 아닌 외부 자격 증명 리포지토리에 , 오케스트레이션에서 서비스 매핑 사용하는 디스커버리자격 증명을 저장할 수 있습니다.
인스턴스는 각 자격 증명, 자격 증명 유형(예: SSH, SNMP 또는 Windows) 및 자격 증명 선호도에 대한 고유 식별자를 유지 관리합니다. MID 서버는 인스턴스에서 자격 증명 식별자를 얻은 다음 고객이 제공한 JAR 파일을 사용하여 리포지토리의 식별자를 사용 가능한 자격 증명으로 확인합니다. 현재 이 플랫폼은 ServiceNow® 외부 자격 증명 스토리지를 위한 CyberArk 볼트 또는 BeyondTrust 사용을 지원합니다.
외부 자격 증명 스토리지 아키텍처
자격 증명 프로세스 흐름
- MID 서버는 대상 볼트의 해당 자격 증명 ID를 포함하는 자격 증명 [discovery_credentials] 테이블에서 ServiceNow 자격 증명 객체를 다운로드합니다.
- 각 프로브 또는 패턴이 실행되거나 오케스트레이션 작업에서 실행 디스커버리 될 때 MID 서버는 자격 증명 ID, 대상 IP 주소 및 자격 증명 유형과 같은 정보를 자격 증명 확인자 Java JAR 파일로 전달하여 자격 증명을 요청합니다. Vault에서 검색할 올바른 자격 증명 개체에 대한 세부 정보는 자격 증명 확인자에 의해 결정됩니다.
CyberArk와 같은 많은 자격 증명 확인자는 MID 서버와 동일한 시스템에서 실행되는 타사 볼트 벤더가 제공한 애플리케이션을 호출합니다. 이 애플리케이션은 종종 자격 증명을 캐시하도록 구성할 수 있으며 자격 증명이 Vault에서 변경될 때 캐시를 업데이트해야 하며, 이는 MID Server가 자격 증명을 요청할 때마다 Vault에 대한 불필요한 네트워크 호출을 방지하는 데 매우 중요합니다. 자격 증명 해결자(있는 경우 옵션 벤더 애플리케이션 사용)가 볼트를 호출하여 실제 사용자 이름, 암호 등을 가져옵니다.
기본적으로 제공되는 자격 증명 확인자의 경우(현재 CyberArk만 해당) MID Server는 MID Server 프로세스 메모리에서 암호화를 사용하여 최대 몇 초 동안만 자격 증명을 캐시합니다. 즉, MID 서버는 단일 장치를 검색하는 경우에도 동일한 자격 증명에 대해 자격 증명 확인자에 여러 요청을 할 수 있습니다. 다른 자격 증명 해결자를 위한 캐싱 구현에 대한 자세한 내용은 외부 공급업체 벤더에 문의하십시오.
- MID 서버는 적절한 자격 증명으로 프로브를 실행합니다.
외부 자격 증명 스토리지 로깅
MID 서버는 외부 자격 증명 저장소에 대한 로그 메시지를 게시합니다.
자격 증명 요청을 해결하는 동안 리포지토리에 오류가 발생하면 MID 서버는 다음 접두사를 사용하여 로그 메시지를 게시합니다. 클라이언트의 CredentialResolver 문제:
외부 자격 증명 스토리지와 함께 설치되는 구성요소
- 비즈니스 규칙
외부 자격 증명 스토리지 비즈니스 규칙은 관리자가 외부 자격 증명 스토리지 속성을 변경할 때 다음 작업을 수행합니다.
- 자격 증명 기록 목록 및 양식의 보기를 외부 저장소 보기로 변경합니다. 이 보기를 사용하면 사용자가 목록에서 자격 증명 ID 열을 볼 수 있습니다.
- 자격 증명을 가져오는 방식의 변경을 준비하는 동안 MID 서버에서 자격 증명 캐시를 새로 고치도록 지시합니다.
- 속성
외부 자격 증명 스토리지 사용 [com.snc.use_external_credentials]라는 속성은 활성화된 외부 자격 증명 스토리지 플러그인을 활성화하거나 비활성화합니다. 숙소의 위치는 및 이며 플러그인을 활성화할 때 활성화됩니다.
시스템 속성을 사용하여 외부 자격 증명 스토리지를 사용하지 않도록 설정하면, 시스템은 자동으로 인스턴스의 모든 외부 자격 증명을 비활성으로 설정합니다. 이 속성을 사용하여 기능을 다시 활성화하면 시스템은 외부 자격 증명 기록을 활성으로 재설정하지 않습니다. 각 자격 증명 기록 을 수동으로 다시 활성화해야 합니다.