Stockage des informations d’identification externe

Rversion finale: Australia

Mis à jour 12 mars 2026

3 minutes de lecture

Une instance peut stocker les informations d’identification utilisées par Découverte, Orchestration et Mappage des services dans un référentiel d’informations d’identification externe plutôt que directement dans un enregistrement d’informations ServiceNow d’identification.

L’instance gère un identificateur unique pour chaque information d’identification, le type d’information d’identification (SSH, SNMP ou Windows, par exemple) et toutes les relations d’informations d’identification. Le serveur MID obtient l’identificateur d’informations d’identification à partir de l’instance, puis utilise un fichier JAR fourni par le client pour résoudre l’identificateur du référentiel en informations d’identification utilisables. Actuellement, la ServiceNow® plateforme prend en charge l’utilisation du coffre-fort CyberArk ou de BeyondTrust pour le stockage des identifiants externes.

Architecture de stockage des informations d’identification externe

Flux de processus des informations d’identification

Le serveur MID récupère les informations d’identification à partir d’un magasin externe par le processus suivant :

Le serveur MID télécharge les objets d’informations d’identification à partir de la ServiceNow table Informations d’identification [discovery_credentials] qui contiennent l’ID d’informations d’identification correspondant à partir du coffre-fort cible.
Au fur et à mesure que chaque sonde ou modèle s’exécute à partir de Découverte ou Orchestration de tâches, le serveur MID demande les informations d’identification en transmettant des informations telles que l’ID d’informations d’identification, l’adresse IP cible et le type d’informations d’identification au fichier jar Java de Credential Resolver (Résolveur d’informations d’identification). Les détails sur l’objet d’informations d’identification correct à récupérer du coffre sont déterminés par le programme de résolution des informations d’identification.
De nombreux résolveurs d’informations d’identification tels que CyberArk appellent une application fournie par le fournisseur de coffre-fort tiers fonctionnant sur la même machine que le serveur MID. Cette application peut souvent être configurée pour mettre en cache les informations d’identification et sait mettre à jour le cache lorsqu’une information d’identification change dans le coffre, ce qui est très important pour éviter les appels réseau inutiles vers le coffre chaque fois que le serveur MID demande des informations d’identification. Le programme de résolution des informations d’identification (à l’aide de l’application facultative du fournisseur, le cas échéant) appelle le coffre-fort pour obtenir le nom d’utilisateur, le mot de passe, etc.
Pour les résolveurs d’informations d’identification fournis prêts à l’emploi (uniquement CyberArk aujourd’hui), le serveur MID ne met en cache les informations d’identification que pendant plusieurs secondes maximum en utilisant le chiffrement dans la mémoire de processus du serveur MID. Cela signifie que le serveur MID peut effectuer plusieurs demandes au programme de résolution des informations d’identification pour les mêmes informations d’identification, même lors de la détection d’un seul appareil. Contactez les fournisseurs tiers pour plus d’informations sur les implémentations de mise en cache pour d’autres Résolveurs d’informations d’identification.
Serveur MID exécute la sonde avec les informations d’identification appropriées.

Remarque :

La relation avec les informations d’identification s’applique toujours. Le mécanisme reste le même, car la seule différence réelle du point de vue du serveur MID est que les détails réels des informations d’identification (nom d’utilisateur et mot de passe) proviennent du coffre-fort tiers.

Journalisation du stockage des informations d’identification externe

Le serveur MID publie des messages de journal sur le stockage des identifiants externes.

Si le référentiel rencontre une erreur lors de la tentative de résolution d’une demande d’informations d’identification, le serveur MID publie les messages de journal avec le préfixe suivant : Problème avec CredentialResolver du client :

Composants installés avec stockage des informations d’identification externe

Règle métier

La règle métier Stockage des informations d’identification externe effectue les tâches suivantes lorsqu’un administrateur apporte un changement à la propriété Activer le stockage des informations d’identification externe :

Change la vue de la liste et du formulaire d’enregistrements d’informations d’identification en vue Stockage externe. Cette vue permet aux utilisateurs d’afficher la colonne ID d’informations d’identification dans la liste.
Indique au serveur MID d’actualiser son cache d’informations d’identification en prévision d’un changement dans le mode d’obtention des informations d’identification.

Propriété

Une propriété appelée Activer le stockage des informations d’identification externe [com.snc.use_external_credentials] active ou désactive le module d’extension Stockage des informations d’identification externe une fois qu’il est activé. La propriété est située à Définition de découverte > Propriétés et Orchestration > Propriétés de serveur MIDet est activé lorsque vous activez le module d’extension.

Si vous désactivez le stockage des informations d’identification externes avec la propriété système, le système définit automatiquement toutes les informations d’identification externes comme inactives dans l’instance. Si vous réactivez la fonctionnalité avec cette propriété, le système ne réinitialise pas les enregistrements d’informations d’identification externes sur active. Vous devez réactiver chaque enregistrement d’informations d’identification manuellement.