Serveur MID : intégration de Azure Key Vault

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • L’intégration du serveur MID au coffre-fort de clés Azure permet à Orchestration, Découverte et Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Avant de commencer

    Pour installer l’application requise sur l’instance, accédez à Gestionnaire de modules d’extension > Stockage et gestion des informations d’identification externes.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le serveur MID peut se connecter à des éléments à l’intérieur et à l’extérieur de votre réseauTélécharger et installer le serveur MID sur un hôte Linux ou WindowsConfigurez votre serveur MIDConfigurer la sécurité du serveur MIDAssurez-vous que le serveur MID peut se connecter à des éléments à l’intérieur et à l’extérieur de votre réseauTélécharger et installer le serveur MID sur un hôte Linux ou WindowsConfigurez votre serveur MIDConfigurer la sécurité du serveur MID

    Rôle requis : application de gestion et de stockage des informations d’identification externes L’ID du périmètre est requis : com.sn_mid_extcredstrg

    Pourquoi et quand exécuter cette tâche

    Lors de la configuration de l’accès à Azure Key Vault, le serveur MID se trouve soit dans l’environnement Azure, soit sur un ordinateur virtuel externe. Cette procédure couvre la configuration d’Azure Key Vault pour un serveur MID dans l’environnement Azure.

    Pour plus d’informations sur les procédures Azure et Azure Key Vault spécifiques, consultez la documentation Azure Key Vault.

    Procédure

    1. Dans l’environnement cloud Azure, créez un ordinateur virtuel.
    2. Accédez à la section Identité de cet ordinateur virtuel.
    3. Activer l’identité affectée par le système.
      Une fois activé, vous avez la possibilité d’attribuer un rôle à cette identité.
    4. Accédez au menu Ajouter une affectation de rôle .
    5. Définissez le champ d’application sur votre abonnement.
    6. Ajoutez le rôle d’administrateur du coffre-fort à clés.
    7. Définissez la ressource sur le coffre à clés que vous souhaitez intégrer au serveur MID.

    Intégration Azure Key Vault pour les serveurs MID d’ordinateur virtuel externe

    L’intégration du serveur MID au coffre-fort de clés Azure permet à Orchestration, Découverte et Mappage des services de s’exécuter sans stocker d’informations d’identification sur l’instance.

    Avant de commencer

    Rôle requis : une application de gestion et de stockage des informations d’identification externes (ID du périmètre : com.sn_mid_extcredstrg) est requise.

    Pourquoi et quand exécuter cette tâche

    Lors de la configuration de l’accès à Azure Key Vault, le serveur MID se trouve soit dans l’environnement Azure, soit sur un ordinateur virtuel externe. Cette procédure couvre la configuration d’Azure Key Vault pour un serveur MID qui se trouve sur un ordinateur virtuel externe.

    Pour plus d’informations sur les procédures Azure et Azure Key Vault spécifiques, consultez la documentation Azure Key Vault.

    Les serveurs MID peuvent utiliser le résolveur d’informations d’identification de coffre-fort pour utiliser des secrets directement depuis le coffre-fort dans le but d’effectuer la découverte. L’application de gestion et de stockage des informations d’identification externes offre une intégration prête à l’emploi aux fournisseurs d’informations d’identification externes. Les serveurs MID prennent en charge l’authentification basée sur certificat lors de la connexion à Azure Key Vault. Cela offre un moyen plus sûr et plus flexible de s’authentifier, en particulier pour les environnements d’entreprise qui préfèrent les informations d’identification de certificat aux secrets clients. Pour plus d’informations sur la gestion des certificats, reportez-vous à la section Magasin de clés unifié du serveur MID.

    Procédure

    1. Dans le portail Azure, accédez à App registrations (Inscriptions d'applications).
    2. Créez une application pour le serveur MID.
    3. Notez l’ID de locataire et l’ID client , car ils seront utilisés ultérieurement.
    4. Fournissez l’autorisation d’API pour Azure Key Vault à l’application.
    5. Accédez à Certificats et secrets pour la nouvelle application.
    6. Générez un nouveau secret client et notez-le.
      À ce stade, vous devez disposer de la client_id, de l’tenant_id et du secret_key pour l’enregistrement de l’application.
    7. Ajoutez les paramètres suivants au config.xml du serveur MID à l’aide des valeurs enregistrées. 
      <parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
<parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
<parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
<parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/>

    Informations d’identification prises en charge pour l’intégration Azure Key Vault

    Le serveur MID prend en charge les informations d’identification spécifiées pour l’intégration au coffre-fort de clés Azure.

    Liste des informations d’identification

    Informations d’identification SNMPV3
      {
    "type": "snmpv3",
    "user": "<user_value>",
    "authentication_key": "<authentication_key_value>",
    "privacy_protocol": "<privacy_protocol_value>",
    "privacy_key": "<privacy_key_value>",
    "authentication_protocol": "<authentication_protocol_value>",
    "snmp_context": "<snmp_context_value>"
  }
    Informations d’identification VMWare
      {
    "type": "vmware",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification SSH
      {
    "type": "ssh",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d'identification Windows
      {
    "type": "windows",
    "password": "<password_value>",
    "user": "<user_value>",
    "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
  }
    Informations d’identification du principal du service Azure
      {
    "type": "azure",
    "client_id": "<client_id_value>",
    "tenant_id": "<tenant_id_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d’identification de clé privée SSH
      {
    "type": "ssh_private_key",
    "password": "<password_value>", // optional
    "user": "<user_value>",
    "ssh_certificate": "<ssh_certificate_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>" // optional
  }
    Informations d'identification AWS
      {
    "type": "aws",
    "access_key": "<access_key_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d'identification de clé API
      {
    "type": "api_key",
    "api_key": "<api_key_value>"
  }
    Informations d'identification applicatives
      {
    "type": "<applcation_type>", // generated by JSON builder: TODO
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification de l’accord d’entreprise Azure
      {
    "type": "ea_azure",
    "access_key": "<access_key_value>",
    "enrollment_number": "<enrollment_number>"
  }
    Informations d’identification Azure SAS
      {
    "type": "azure_sas",
    "sas_key": "<sas_key_value>",
    "sas_key_name": "<sas_key_name_value>"
  }
    Informations d’identification pour l’authentification de base
      {
    "type": "basic_auth",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification CIM
      {
    "type": "cim",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification CloudFoundry
      {
    "type": "sn_itom_pattern_pcf",
    "password": "<password_value>",
    "user": "<user_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>"
  }
    Informations d'identification API Google
      {
    "type": "gcp",
    "email": "<email_value>",
    "secret_key": "<secret_key_value>"
  }
    Informations d’identification du keystore SSL
      {
    "type": "keystore",
    "keystore_password": "<keystore_password_value>",
    "keystore_path": "<keystore_path_value>",
    "key_password": "<key_password_value>"
  }
    Informations d’identification JMS
      {
    "type": "jms",
    "password": "<password_value>",
    "user": "<user_value>"
  }
    Informations d’identification SNMP de la communauté
      {
    "type": "snmp",
    "password": "<password_value>"
  }
    Informations d’identification SSL
      {
    "type": "keystore",
    "user": "<user_value>",
    "password": "<password_value>",
    "additional_properties": "<additional_properties_value>",
    "key_password": "<key_password_value>",
    "keystore": "<keystore_value>",
    "keystore_password": "<keystore_password_value>",
    "keystore_type": "<keystore_type_value>",
    "ssl_provider_name": "<ssl_provider_name_value>",
    "security_protocol": "<security_protocol_value>",
    "truststore": "<truststore_value>",
    "truststore_password": "<truststore_password_value>",
    "truststore_type": "<truststore_type_value>"
  }
    Informations d'identification IBM
      {
    "type": "ibm",
    "user": "<user_value>",
    "password": "<password_value>",
    "softlayer_user": "<softlayer_user_value>",
    "softlayer_key": "<softlayer_key_value>",
    "bluemix_key": "<bluemix_key_value>"
  }

    Prise en charge de Gov Cloud pour l’intégration d’Azure Key Vault

    Vous devrez peut-être remplacer l’authentification et l’URL du coffre-fort lorsque vous travaillez dans des environnements cloud gouvernementaux. Les exemples suivants concernent les clouds du gouvernement américain.

    Point de terminaison d’authentification :

    Pour les clouds du gouvernement américain : https://login.microsoftonline.us/%s/oauth2/v2.0/token

    Pour la prise en charge du cloud par le gouvernement américain : <paramter name="ext.cred.azure.vault_auth_endpoint » value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

    Périmètre

    Pour les clouds gouvernementaux américains : https://vault.usgovcloudapi.net/.default

    <paramter name="ext.cred.azure.endpoint_scope » value="https://vault.usgovcloudapi.net/.default"/>

    Pour les clouds gouvernementaux allemands : https://vault.microsoftazure.de/.default

    Pour les nuages du gouvernement chinois : https://vault.azure.cn/.default