Configuration de stockage des informations d’identification externe

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • Configurez votre instance pour obtenir des informations d’identification à partir d’un référentiel distant.

    Ces procédures supposent que vous disposez déjà d’un référentiel externe configuré avec les informations d’identification que vous souhaitez protéger. L’identificateur d’informations d’identification configuré dans l’instance ServiceNow doit être mappé aux informations d’identification réelles dans le référentiel via le fichier JAR.

    Remarque :
    ServiceNow prend en charge deux coffres-forts externes à la fois : un résolveur d’informations d’identification CyberArk par défaut et un résolveur d’informations d’identification externes personnalisé. La création d’un résolveur d’informations d’identification CyberArk personnalisé utilise toujours le deuxième coffre-fort externe personnalisé, et aucun coffre-fort externe personnalisé supplémentaire ne peut être utilisé.

    Pour configurer le stockage des informations d’identification externe, effectuez les tâches suivantes dans l’ordre.

    Créer un fichier JAR pour résoudre les informations d’identification

    Créez un fichier JAR pour résoudre les identificateurs d’informations d’identification envoyés par le serveur MID en informations d’identification réelles à partir du référentiel.

    Avant de commencer

    Rôle requis : agent_admin ou admin

    Assurez-vous d’inclure tous les éléments d’informations d’identification attendus par l’instance, tels que la clé privée.

    Pour créer un fichier JAR afin de résoudre les informations d’identification :

    Procédure

    Utilisez les modèles fournis sur Github ServiceNow ou l’exemple de fichier Java.
    ATTENTION :
    Ces exemples ne sont fournis qu’à titre de modèle. N’utilisez PAS ce code en production sans le modifier pour votre environnement.
    1. Téléchargez les fichiers JAR open source avec les ServiceNow instructions du github :
    2. Utilisez l’exemple de fichier Java suivant comme modèle et modifiez-le en fonction de votre environnement : 
      
package com.snc.discovery;

import java.util.*;
import java.io.*;

/**
 * Basic implementation of a CredentialResolver that uses a properties file.
 */

public class CredentialResolver {

	private static String ENV_VAR = "CREDENTIAL_RESOLVER_FILE";
	private static String DEFAULT_PROP_FILE_PATH = "C:\\dummycredentials.properties";

	// These are the permissible names of arguments passed INTO the resolve()
	// method.

	// the string identifier as configured on the ServiceNow instance...
	public static final String ARG_ID = "id";

	// a dotted-form string IPv4 address (like "10.22.231.12") of the target
	// system...
	public static final String ARG_IP = "ip";

	// the string type (ssh, snmp, etc.) of credential as configured on the
	// instance...
	public static final String ARG_TYPE = "type";

	// the string MID server making the request, as configured on the
	// instance...
	public static final String ARG_MID = "mid";

	// These are the permissible names of values returned FROM the resolve()
	// method.

	// the string user name for the credential, if needed...
	public static final String VAL_USER = "user";

	// the string password for the credential, if needed...
	public static final String VAL_PSWD = "pswd";

	// the string pass phrase for the credential if needed:
	public static final String VAL_PASSPHRASE = "passphrase";

	// the string private key for the credential, if needed...
	public static final String VAL_PKEY = "pkey";

	// the string authentication protocol for the credential, if needed...
	public static final String VAL_AUTHPROTO = "authprotocol";

	// the string authentication key for the credential, if needed...
	public static final String VAL_AUTHKEY = "authkey";

	// the string privacy protocol for the credential, if needed...
	public static final String VAL_PRIVPROTO = "privprotocol";

	// the string privacy key for the credential, if needed...
	public static final String VAL_PRIVKEY = "privkey";


	private Properties fProps;

	public CredentialResolver() {
	}

	private void loadProps() {
		if(fProps == null)
			fProps = new Properties();

		try {
			String propFilePath = System.getenv(ENV_VAR);
			if(propFilePath == null) {
				System.err.println("Environment var "+ENV_VAR+" not found. Using default file: "+DEFAULT_PROP_FILE_PATH);
				propFilePath = DEFAULT_PROP_FILE_PATH;
			}

			File propFile = new File(propFilePath);
			if(!propFile.exists() || !propFile.canRead()) {
				System.err.println("Can't open "+propFile.getAbsolutePath());
			}
			else {
				InputStream propsIn = new FileInputStream(propFile);
				fProps.load(propsIn);
			}
			//fProps.load(CredentialResolver.class.getClassLoader().getResourceAsStream("dummycredentials.properties"));
		} catch (IOException e) {
			System.err.println("Problem loading credentials file:");
			e.printStackTrace();
		}
	}

	/**
	 * Resolve a credential.
	 */
	public Map resolve(Map args) {
		loadProps();
		String id = (String) args.get(ARG_ID);
		String type = (String) args.get(ARG_TYPE);
		String keyPrefix = id+"."+type+".";

		if(id.equalsIgnoreCase("misbehave"))
			throw new RuntimeException("I've been a baaaaaaaaad CredentialResolver!");

		// the resolved credential is returned in a HashMap...
		Map result = new HashMap();
		result.put(VAL_USER, fProps.get(keyPrefix + VAL_USER));
		result.put(VAL_PSWD, fProps.get(keyPrefix + VAL_PSWD));
		result.put(VAL_PKEY, fProps.get(keyPrefix + VAL_PKEY));
		result.put(VAL_PASSPHRASE, fProps.get(keyPrefix + VAL_PASSPHRASE));
		result.put(VAL_AUTHPROTO, fProps.get(keyPrefix + VAL_AUTHPROTO));
		result.put(VAL_AUTHKEY, fProps.get(keyPrefix + VAL_AUTHKEY));
		result.put(VAL_PRIVPROTO, fProps.get(keyPrefix + VAL_PRIVPROTO));
		result.put(VAL_PRIVKEY, fProps.get(keyPrefix + VAL_PRIVKEY));

		System.err.println("Error while resolving credential id/type["+id+"/"+type+"]");

		return result;
	}


	/**
	 * Return the API version supported by this class.
	 */
	public String getVersion() {
		return "1.0";
	}

	public static void main(String[] args) {
		CredentialResolver obj = new CredentialResolver();
		obj.loadProps();

		System.err.println("I spy the following credentials: ");
		for(Object key: obj.fProps.keySet()) {
			System.err.println(key+": "+obj.fProps.get(key));
		}

	}
}

    Importer un fichier JAR pour résoudre les informations d’identification

    Importez un fichier JAR créé pour résoudre les identificateurs d’informations d’identification envoyés par le serveur MID en informations d’identification réelles à partir du référentiel.

    Avant de commencer

    Rôle requis : agent_admin ou admin

    Une fois le fichier JAR créé, importez-le dans l’instance où il devient accessible au serveur MID.

    Procédure

    1. Après avoir créé le fichier JAR et les fichiers de propriétés, copiez le fichier de propriétés sur le serveur MID.
    2. Accédez à la Serveur MID > Fichiers JAR.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs suivants :
      Champ Description
      Nom Un nom unique et descriptif permettant d’identifier le fichier dans l’instance.
      Version Numéro de version du fichier, le cas échéant.
      Source Emplacement du fichier JAR à des fins de référence. Les informations sources ne sont pas utilisées par le système.
      Description Brève description du fichier JAR et de sa fonction dans l’instance.
    5. Cliquez sur l’icône du trombone dans la bannière et joignez le fichier JAR à l’enregistrement.
      Figure 1. Joindre un fichier JAR
      L’icône de trombone apparaît à côté du bouton Soumettre.
    6. Cliquez sur Envoyer.
    7. Redémarrez le service MID Server.
      La plate-forme met le fichier JAR à la disposition de n’importe quel MID Server configuré pour communiquer avec l’instance.

    Configurer l’identificateur d’informations d’identification

    Configurez l’identificateur d’informations d’identification dans l’instance.

    Avant de commencer

    Rôle requis : administrateur
    Vérifiez les points suivants :

    Procédure

    1. Accédez à la Tout > Découverte > Informations d'identification ou Orchestration > Informations d'identification.
    2. Cliquez sur Nouveau.
    3. Sélectionnez un type d’informations d’identification.
    4. Cochez la case Banque d’identifiants externe .
      Les champs Nom d’utilisateur et Mot de passe disparaissent, et le champ ID d’informations d’identification et le menu Coffre-fort de stockage des informations d’identification apparaissent.
    5. Dans le menu Chambre forte de stockage des informations d’identification , sélectionnez Aucun, le coffre-fort CyberArk ou une chambre forte de stockage d’informations d’identification externe personnalisée.
      Remarque :

      Si CyberArk Vault est sélectionné, le menu Clé de recherche s’affiche avec quatre choix de clés de recherche : ID d’informations d’identification, Adresse IP, FQDN, Tous les éléments ci-dessus. La sélection de Toutes les options ci-dessus peut dégrader les performances, car elle nécessite d’accéder au coffre-fort plusieurs fois.

      1. Pour utiliser un coffre de stockage d’informations d’identification externe personnalisé, accédez à Configurations du coffre-fort [vault_configuration.list] dans l’instance.
      2. Créez un enregistrement à l’aide d’un nom associé à un fichier JAR importé pour un programme de résolution d’informations d’identification personnalisé.

        Consultez les procédures Créer un fichier JAR pour résoudre les informations d’identification et Importer un fichier JAR pour résoudre les informations d’identification pour plus d’informations sur la création d’un coffre-fort de stockage des informations d’identification externe personnalisé.

    6. Renseignez le formulaire Informations d’identification à l’aide des champs de la table suivante.
      Champ Description
      Nom Entrez un nom unique et descriptif pour ces informations d'identification.
      Actif Activez ou désactivez ces informations d'identification pour les utiliser.
      ID de certification Entrez la clé unique configurée pour les informations d'identification externes dans le fichier JAR téléchargé sur le MID Server pour un système d'informations d'identification externe. Il s’agit de l’ID passé à la classe Java dans la carte des paramètres :
      public static final String ARG_ID   = "id";
      Le serveur MID utilise cet identificateur pour résoudre les informations d’identification réelles sur le référentiel.
      Remarque :
      Ce champ n'est visible que lorsque la case Banque d'identifiants externes est cochée.
      Balises Autorisez les créateurs de workflows à affecter des informations d'identification individuelles à n'importe quelle activité d'un workflow Orchestration ou affectez des informations d'identification différentes à chaque occurrence du même type d'activité dans un workflow Orchestration.
      Banque d'identifiants externes Cochez cette case pour utiliser un système de stockage des informations d'identification externe. Lorsque vous sélectionnez cette option, les champs Nom d'utilisateur et Mot de passe sont remplacés par le champ ID d'informations d'identification. Le stockage externe des informations d’identification n’est disponible que lorsque le module d’extension Stockage externe des informations d’identification est activé.
      Chambre forte de stockage des informations d'identification Choisissez le coffre-fort de stockage des informations d’identification externe dans la liste des coffres disponibles. Le menu est composé d’enregistrements provenant des configurations de coffre-fort [vault_configuration.list]. De nouveaux enregistrements peuvent être ajoutés et utiliser des noms associés à des fichiers JAR de résolution d’informations d’identification personnalisés. Consultez les procédures Créer un fichier JAR pour résoudre les informations d’identification et Importer un fichier JAR pour résoudre les informations d’identification pour plus d’informations sur la création d’un coffre-fort de stockage des informations d’identification externe personnalisé.
      Concerne Choisissez si appliquer ces informations d'identification à Tous les serveurs MID de votre réseau, ou à un ou plusieurs MID servers spécifiques. Spécifiez les MID Servers qui doivent utiliser ces informations d'identifications dans le champ MID servers.
      MID Servers Sélectionnez un ou plusieurs MID Servers dans la liste des MID Servers disponibles. Les informations d'identification configurées dans cet enregistrement sont disponibles pour les MID Servers de cette liste. Ce champ est disponible uniquement lorsque vous sélectionnez MID servers spécifiques depuis le champ S'applique à.
      Ordre Entrez l’ordre (la séquence) dans lequel la plateforme teste ces informations d’identification lorsqu’elle tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des numéros élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d'identification ont le même numéro d'ordre (ou n'en ont pas), Discovery ou Orchestration essaie les informations d'identification aléatoirement.
    7. Cliquez sur Envoyer.

    Configurer l’identificateur d’informations d’identification pour AWS

    Configurez votre instance pour obtenir des informations d’identification à partir d’un référentiel distant.

    Avant de commencer

    Rôle requis : cloud_admin

    Vérifiez que ces modules d’extension sont actifs et que le Serveur MID a été installé :
    • Discovery (com.snc.discovery)
    • Cloud Provisioning and Governance [com.snc.cloud.mgmt]
    • Stockage des informations d’identification externe [com.snc.discovery.external_credentials]

    Pourquoi et quand exécuter cette tâche

    Ces procédures supposent que vous disposez déjà d’un référentiel externe configuré avec les informations d’identification que vous souhaitez protéger. L’identificateur d’informations d’identification configuré dans l’instance ServiceNow doit être mappé aux informations d’identification réelles dans le référentiel via le fichier JAR.

    Procédure

    1. Accédez à la Tout > Découverte > Informations d'identification.
    2. Sélectionnez un identifiant pris en charge par votre fournisseur de stockage des informations d’identification externe.
    3. Remplissez le formulaire en utilisant les champs de la table.
      Champ Description
      Nom Nom unique et descriptif pour ces informations d’identification. Par exemple, Amazon Web Services.
      Concerne Sélectionnez les MID Server qui peuvent utiliser ces informations d’identification. Les choix sont Tous les serveurs MID ouMID Servers spécifiques. Si vous sélectionnez cette dernière option, le champ Serveurs MID s’affiche.
      Actif Case à cocher permettant d’activer ou de désactiver les informations d’identification.
      Compte AWS Saisissez votre ID de compte AWS si vos informations d’identification AWS se trouvent sur un fournisseur de stockage externe.
      Serveurs MID Sélectionnez un ou plusieurs MID Server qui peuvent utiliser ces informations d’identification.
      ID de certification Saisissez le nom sous lequel ces informations d’identification sont stockées dans le fournisseur de stockage des informations d’identification externe.
      ID d'informations d'identification de confidentialité Saisissez le nom d’une clé de confidentialité SNMPv3 de CyberArk. Ce champ n'est visible que pour SNMPv3 lorsque vous sélectionnez CyberArk dans le champ Type de banque d'identifiants. Si vous n'utilisez pas de clé de confidentialité pour CyberArk, laissez ce champ vide.
      Alias d'informations d'identification Sélectionnez un alias pour cet identifiant qui contient des comportements spécifiques. Consultez Alias d’informations d’identification pour Détection pour plus d'informations.
      Banque d'identifiants externes Cochez cette case pour utiliser un système de stockage des informations d'identification externe. Lorsque le stockage externe est activé, le champ ID d'informations d'identification s'affiche. Si cette case à cocher n’est pas visible, cliquez sur l’icône de menu dans la barre d’en-tête et sélectionnez Vue > Stockage externe dans le menu contextuel.
      Type de banque d'identifiants Sélectionnez CyberArk uniquement si vous utilisez une clé de confidentialité SNMPv3 CyberArk. Le champ ID d'informations d'identification de confidentialité apparaît pour autoriser l'entrée de la clé.
    4. Cliquez sur Envoyer.