CyberArk Integration des Anmeldeinformationsspeichers

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Die Integration von MID-Server mit dem Tresor [ CyberArk ermöglicht die Ausführung von ServiceNow® Orchestration, ServiceNow® Discoveryund ServiceNow® Service-Mapping, ohne Anmeldeinformationen für die Instanz zu speichern.

    Einführung in CyberArk

    Das ProduktCyberArk Application Identity Management (AIM) verwendet die Lösung Privileged Account Security, um die Notwendigkeit des Speicherns von Anwendungspasswörtern in Anwendungen, Skripts oder Konfigurationsdateien zu beseitigen und die zentrale Speicherung, Protokollierung und Verwaltung dieser hochsensiblen Passwörter innerhalb des CyberArk zu ermöglichen. Tresor. Dieser Ansatz ermöglicht es Organisationen, die internen und behördlichen Anforderungen hinsichtlich der periodischen Ersetzung von Passwörtern zu erfüllen und Aktivitäten zu überwachen, die mit allen Arten von privilegierten Identitäten verbunden sind, ob vor Ort oder in der Cloud.

    Die Instanz verwaltet einen eindeutigen Bezeichner für jeden Anmeldeinformationstyp, den Anmeldeinformationstyp (z. B. SSH, SNMP oder Windows) und alle Anmeldeinformationsaffinitäten. MID-Server ruft den Bezeichner der Anmeldeinformationen, den Anmeldeinformationstyp und die IP-Adresse von der Instanz ab und verwendet dann den Tresor CyberArk, um diese Elemente in verwendbare Anmeldeinformationen aufzulösen. Der Anmeldeinformations-Resolver kann auch den Hostnamen fqdn suchen und die umgekehrte DNS-Suche verwenden, um fqdn abzurufen.

    Die CyberArk -Integration erfordert das ServiceNow® Plugin „External Credential Storage“, das in verfügbar ist Systemdefinitionen > Plugins. Der AIM/API-Client MID-Server und CyberArk müssen auf demselben Computer installiert sein. Version 12.0.1 und höher von CyberArk Application Access Manager (AAM) wird unterstützt.

    Mit CyberArk installierte Komponenten

    • Business-Regel: Die Business-Regel „Externer Anmeldeinformationsspeicher“ führt die folgenden Aufgaben aus, wenn ein Administrator Änderungen an der Eigenschaft „Externer Anmeldeinformationsspeicher“ vornimmt:
      • Ändern der Ansicht für die Datensatzliste und des Formulars für Anmeldeinformationen in die Ansicht „Externer Speicher“. In dieser Ansicht können Benutzer die Spalte „Nachweis-ID“ in der Liste sehen.
      • Weist den MID-Server an, seinen Cache für nicht externe Anmeldeinformationen zu aktualisieren, um eine Änderung der Art und Weise vorzubereiten, wie Anmeldeinformationen abgerufen werden.
    • Systemeigenschaft: Die Eigenschaft „Externen Anmeldeinformationsspeicher aktivieren“ [com.snc.use_external_credentials] aktiviert oder deaktiviert das Plugin „Externer Anmeldeinformationsspeicher“, nachdem es aktiviert wurde. Diese Eigenschaft befindet sich inDiscovery-Definition > EigenschaftenundOrchestration > MID-Server-Eigenschaften, und sind aktiviert, wenn Sie das Plugin aktivieren.
      Hinweis:
      Wenn Sie die Einsatzbereitschaft des externen Anmeldeinformationsspeichers über die Systemeigenschaft widerrufen, setzt das System automatisch alle externen Anmeldeinformationen in der Instanz auf „Inaktiv“. Wenn Sie die Funktion mithilfe dieser Eigenschaft erneut in Einsatzbereitschaft versetzen, setzt das System die externen Anmeldeinformationsdatensätze nicht wieder auf „Aktiv“. Sie müssen jeden Anmeldeinformationsdatensatz manuell neu aktivieren.

    Unterstützte Anmeldeinformationstypen

    Die CyberArk -Integration unterstützt die folgenden ServiceNow -Anmeldeinformationstypen:
    • GCP
    • Azure
    • CIM
    • JMS
    • SNMP-Forum
    • SNMPv3
    • Basisauth.
    • SSH-Schlüsselpaar
    • Privater SSH-Schlüssel (mit Schlüssel, Passphrase und Passwort)
    • VMware
    • Windows
    • Applicative-Anmeldeinformationen
    Hinweis:
    Um die Integration CyberArk mit dem GCP-Anmeldeinformationstyp zu verwenden, müssen Sie die JAR-Datei für den externen Anmeldeinformationsspeicher ändern. Weitere Informationen finden Sie unter ServiceNow GCP Credential Resolver mit CyberArk.

    Now Platform -Funktionen, die diese Netzwerkprotokolle verwenden, unterstützen auch die Verwendung von Anmeldeinformationen, die in einem CyberArk Tresor gespeichert sind.

    Tabelle : 1. Vom Netzwerkprotokoll unterstützte Anmeldeinformationen
    Netzwerkprotokoll ServiceNow® Flow Designer Unterstützung Orchestration -Unterstützung
    SOAP SOAP-Schritt Erstellen Sie eine SOAP Web Service-Aktivität mit Überschreibungen der Basic Authentication
    REST REST-Schritt Erstellen Sie eine REST-Webserviceaktivität mit Überschreibungen der Basic Authentication
    JDBC JDBC-Schritt JDBC-Aktivität
    SSH SSH-Schritt SSH-Aktivität
    PowerShell PowerShell-Schritt PowerShell-Aktivität
    SFTP SFTP-Schritt SFTP-Aktivität
    JMS JMS-Aktivität
    Wichtig:
    Sie können Anmeldeinformationen, die in einem CyberArk Tresor gespeichert sind, und ein benutzerdefiniertes externes Speichersystem für Anmeldeinformationen nicht mit demselben MID-Serververwalten. Der AIM/API-Client MID-Server und CyberArk müssen auf demselben Computer installiert sein.

    CyberArk-Architektur

    Abbildung : 1. CyberArk -Speicherarchitektur
    CyberArk -Speicherarchitektur.
    Hinweis:
    CyberArk verwendet die mid.jar -Datei des Basissystems zum Auflösen von Anmeldeinformationen.

    Wie MID-Server mit Konten von Windows umgeht

    Bei der Suche nach Anmeldeinformationen wird zunächst versucht, die angegebene Anmeldeinformations-ID mit einem vorhandenen Wert im Feld Name des Tresors CyberArk abzugleichen. Wenn eine Übereinstimmung gefunden wird, werden die Anmeldeinformationen ausgegeben. Wenn keine Übereinstimmung gefunden wird, versucht die Anmeldeinformationssuche, mithilfe der IP-Adresse eine Übereinstimmung zu finden. Wenn bei der IP-Adresssuche mehrere Anmeldeinformationen übereinstimmen, z. B. Windows und Tomcat auf demselben Server, schlägt die Suche fehl. Um dieses Problem zu vermeiden, legen Sie den Parameter ext.cred.type_specifier in der Datei MID-Server config.xml auf „ true “ fest, um CyberArk zur Rückgabe von Anmeldeinformationen zu zwingen, die sowohl dem Anmeldeinformationstyp als auch der IP-Adresse entsprechen. Beispiel: Wenn eine IP-Adresse von Windows und Tomcatgemeinsam genutzt wird, gibt der Anmeldeinformationstyp Windows nur die Anmeldeinformationen Windows zurück.