MID-Server-Integration mit Azure Key Vault

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Die MID-Server-Integration mit Azure Key Vault ermöglicht die Ausführung von Orchestration, Discovery und Service-Mapping, ohne dass Anmeldeinformationen in der Instanz gespeichert werden.

    Vorbereitungen

    Um die erforderliche Anwendung in der Instanz zu installieren, navigieren Sie zu Plugin-Manager > Externer Anmeldeinformationsspeicher und Verwaltungan.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Erforderliche Rolle: Anwendungsbereich-ID für externen Anmeldeinformationsspeicher und Verwaltung ist erforderlich: com.sn_mid_extcredstrg

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Einrichten des Zugriffs auf den Azure Key Vault befindet sich der MID-Server entweder in der Azure-Umgebung oder auf einem externen virtuellen Computer. Dieses Verfahren umfasst das Einrichten von Azure Key Vault für einen MID Server in der Azure-Umgebung.

    Weitere Informationen zu bestimmten Azure- und Azure Key Vault-Verfahren finden Sie in der Dokumentation zu Azure Key Vault.

    Prozedur

    1. Erstellen Sie in der Azure-Cloud-Umgebung einen virtuellen Computer.
    2. Navigieren Sie zum Abschnitt Identität dieser VM.
    3. Aktivieren Sie die vom System zugewiesene Identität.
      Sobald die Option aktiviert ist, können Sie dieser Identität eine Rolle zuweisen.
    4. Navigieren Sie zum Menü Rollenzuweisung hinzufügen.
    5. Legen Sie den Bereich für Ihr Abonnement fest.
    6. Fügen Sie die Key Vault-Administratorrolle hinzu.
    7. Legen Sie die Ressource auf den Schlüssel Tresor fest, den Sie mit dem MID-Server integrieren möchten.

    Azure Key Vault-Integration für MID-Server mit externen virtuellen Computern

    Die MID-Server-Integration mit Azure Key Vault ermöglicht die Ausführung von Orchestration, Discovery und Service-Mapping, ohne dass Anmeldeinformationen in der Instanz gespeichert werden.

    Vorbereitungen

    Erforderliche Rolle: Die Anwendung „Externer Anmeldeinformationsspeicher und Verwaltung“ (Bereichs-ID:com.sn_mid_extcredstrg) ist erforderlich.

    Warum und wann dieser Vorgang ausgeführt wird

    Beim Einrichten des Zugriffs auf den Azure Key Vault befindet sich der MID-Server entweder in der Azure-Umgebung oder auf einem externen virtuellen Computer. Dieses Verfahren umfasst das Einrichten von Azure Key Vault für einen MID-Server auf einem externen virtuellen Computer.

    Weitere Informationen zu bestimmten Azure- und Azure Key Vault-Verfahren finden Sie in der Dokumentation zu Azure Key Vault.

    Prozedur

    1. Navigieren Sie im Azure-Portal zu App-Registrierungen.
    2. Erstellen Sie eine neue Anwendung für den MID Server.
    3. Notieren Sie sich die Mandanten-ID und die Client-ID, da diese später verwendet werden.
    4. Stellen Sie der Anwendung eine API-Berechtigung für Azure Key Vault bereit.
    5. Navigieren Sie zu Zertifikate und Geheimnisse für die neue Anwendung.
    6. Generieren Sie einen neuen Clientschlüssel, und notieren Sie diesen Clientschlüssel.
      Zu diesem Zeitpunkt sollten Sie „client_id“, „tenant_id“und „secret_key“ für die Anwendungsregistrierung haben.
    7. Fügen Sie der MID-Server -Konfigurationsdatei die folgenden Parameter anhand der aufgezeichneten Werte hinzu. 
      <parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
<parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
<parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
<parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/>

    Unterstützte Anmeldeinformationen für die Azure Key Vault-Integration

    Der MID-Server unterstützt die angegebenen Anmeldeinformationen für die Integration mit dem Azure Key Vault.

    Liste der Anmeldeinformationen

    SNMPV3-Anmeldeinformationen
      {
    "type": "snmpv3",
    "user": "<user_value>",
    "authentication_key": "<authentication_key_value>",
    "privacy_protocol": "<privacy_protocol_value>",
    "privacy_key": "<privacy_key_value>",
    "authentication_protocol": "<authentication_protocol_value>",
    "snmp_context": "<snmp_context_value>"
  }
    VMware-Anmeldeinformationen
      {
    "type": "vmware",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    SSH-Anmeldeinformationen
      {
    "type": "ssh",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Windows-Anmeldeinformationen
      {
    "type": "windows",
    "password": "<password_value>",
    "user": "<user_value>",
    "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
  }
    Anmeldeinformationen des Azure-Dienstprinzipals
      {
    "type": "azure",
    "client_id": "<client_id_value>",
    "tenant_id": "<tenant_id_value>",
    "secret_key": "<secret_key_value>"
  }
    Privater SSH-Schlüssel-Anmeldeinformationen
      {
    "type": "ssh_private_key",
    "password": "<password_value>", // optional
    "user": "<user_value>",
    "ssh_certificate": "<ssh_certificate_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>" // optional
  }
    AWS-Anmeldeinformationen
      {
    "type": "aws",
    "access_key": "<access_key_value>",
    "secret_key": "<secret_key_value>"
  }
    API Key-Anmeldeinformationen
      {
    "type": "api_key",
    "api_key": "<api_key_value>"
  }
    Applicative-Anmeldeinformationen
      {
    "type": "<applcation_type>", // generated by JSON builder: TODO
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Azure Enterprise Agreement-Anmeldeinformationen
      {
    "type": "ea_azure",
    "access_key": "<access_key_value>",
    "enrollment_number": "<enrollment_number>"
  }
    Azure SAS-Anmeldeinformationen
      {
    "type": "azure_sas",
    "sas_key": "<sas_key_value>",
    "sas_key_name": "<sas_key_name_value>"
  }
    Anmeldeinformationen für Standardauthentifizierung
      {
    "type": "basic_auth",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    CIM-Anmeldeinformationen
      {
    "type": "cim",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Cloud Foundry-Anmeldeinformationen
      {
    "type": "sn_itom_pattern_pcf",
    "password": "<password_value>",
    "user": "<user_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>"
  }
    Google API-Anmeldeinformationen
      {
    "type": "gcp",
    "email": "<email_value>",
    "secret_key": "<secret_key_value>"
  }
    Anmeldeinformationen für SSL-Schlüsselspeicher
      {
    "type": "keystore",
    "keystore_password": "<keystore_password_value>",
    "keystore_path": "<keystore_path_value>",
    "key_password": "<key_password_value>"
  }
    JMS-Anmeldeinformationen
      {
    "type": "jms",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    SNMP-Community-Anmeldeinformationen
      {
    "type": "snmp",
    "password": "<password_value>"
  }
    SSL-Anmeldeinformationen
      {
    "type": "keystore",
    "user": "<user_value>",
    "password": "<password_value>",
    "additional_properties": "<additional_properties_value>",
    "key_password": "<key_password_value>",
    "keystore": "<keystore_value>",
    "keystore_password": "<keystore_password_value>",
    "keystore_type": "<keystore_type_value>",
    "ssl_provider_name": "<ssl_provider_name_value>",
    "security_protocol": "<security_protocol_value>",
    "truststore": "<truststore_value>",
    "truststore_password": "<truststore_password_value>",
    "truststore_type": "<truststore_type_value>"
  }
    IBM Anmeldeinformationen
      {
    "type": "ibm",
    "user": "<user_value>",
    "password": "<password_value>",
    "softlayer_user": "<softlayer_user_value>",
    "softlayer_key": "<softlayer_key_value>",
    "bluemix_key": "<bluemix_key_value>"
  }

    Gov Cloud-Support für Azure Key Vault-Integration

    Möglicherweise müssen Sie die Authentifizierung und die Tresor-URL überschreiben, wenn Sie in Behörden-Cloud-Umgebungen arbeiten. Die folgenden Beispiele beziehen sich auf US-Regierungs-Clouds.

    Auth-Endpunkt:

    Für US-Regierungs-Clouds: https://login.microsoftonline.us/%s/oauth2/v2.0/token

    Für Cloud-Support für US-Behörden: <paramter name="ext.cred.azure.vault_auth_endpoint" value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

    Umfangsdefinition:

    Für US-Regierungs-Clouds: https://vault.usgovcloudapi.net/.default

    <paramter name="ext.cred.azure.endpoint_scope" value="https://vault.usgovcloudapi.net/.default"/>

    Für Deutschlands Behörden-Clouds: https://vault.microsoftazure.de/.default

    Für Behörden-Clouds in China: https://vault.azure.cn/.default