CyberArk integração de armazenamento de credenciais

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • A integração MID Server com o cofre CyberArk permite que ServiceNow® Orquestração, ServiceNow® Descoberta e ServiceNow® Mapeamento de serviços sejam executados sem armazenar qualquer credencial na instância.

    Introdução para CyberArk

    O produto CyberArk AIM (Application Identity Management) usa a solução Privileged Account Security para eliminar a necessidade de senhas do aplicativo da loja integradas em aplicações, scripts ou arquivos de configuração e permite que essas senhas altamente confidenciais sejam centralmente armazenadas, registradas e gerenciadas no cofre CyberArk. Esta abordagem permite que as organizações cumpram os requisitos internos e regulatórios de substituição periódica de senha e monitorem as atividades associadas a todos os tipos de identidades privilegiadas, seja no local ou na nuvem.

    A instância mantém um identificador exclusivo para cada credencial, um tipo de credencial (tal como SSH, SNMP ou Windows) e qualquer afinidade de credencial. O MID Server obtém o identificador de credencial, o tipo de credencial e o endereço IP da instância e usa o cofre CyberArk para resolver esses elementos em uma credencial utilizável. O resolvedor de credenciais também pode pesquisar o nome do host, fqdn e usar a pesquisa de DNS reversa para obter fqdn.

    A integração CyberArk requer o ServiceNow® plug-in External Credential Storage, que está disponível em Definições do sistema > Plug-ins. O cliente AIM/API MID Server e CyberArk devem ser instalados na mesma máquina.

    Instalado com CyberArk

    • Regra de negócio: a regra de negócio de Armazenamento de credenciais externas executa as seguintes tarefas quando um administrador faz alguma mudança na propriedade de armazenamento de credenciais externas:
      • Altera a exibição da lista de registros de credenciais e do formulário para a exibição Armazenamento externo. Esta exibição permite que os usuários vejam a coluna ID de credencial na lista.
      • Instrui o MID Server a atualizar o cache de credenciais não externas em preparação para uma mudança na maneira como as credenciais são obtidas.
    • Propriedade do sistema: uma propriedade chamada habilitar armazenamento de credenciais externas [com.snc.use_external_credentials] habilita ou desabilita o plug-in de armazenamento de credenciais externas depois que ele é ativado. Esta propriedade está localizada emDefinição de Descoberta > PropriedadeseOrchestration > Propriedades do MID Servere é habilitado quando você ativa o plug-in.
      Nota:
      Se você desabilitar o armazenamento de credenciais externas com a propriedade do sistema, o sistema definirá automaticamente todas as credenciais externas para inativas na instância. Se você reativar o recurso com esta propriedade, o sistema não redefinirá os registros de credenciais externas para ativos. Você deve reativar cada registro de credencial manualmente.

    Tipos de credenciais suportados

    A integração CyberArk suporta esses tipos de credenciais ServiceNow:
    • GCP
    • Azure
    • CIM
    • JMS
    • Forum SNMP
    • SNMPv3
    • Autorização básica
    • Par de chaves SSH
    • Chave privada SSH (com chave, frase secreta e senha)
    • VMware
    • Windows
    • Credenciais de Aplicativo
    Nota:
    Para usar a integração CyberArk com o tipo de credencial do GCP, você deve modificar o jar de armazenamento de credenciais externas. Para obter detalhes, consulte Resolvedor de credenciais do GCP da ServiceNow usando o CyberArk.

    Recursos Now Platform que usam esses protocolos de rede também suportam o uso de credenciais armazenadas em um cofre CyberArk.

    Tabela 1. Credenciais suportadas com o protocolo de rede
    Protocolo de rede Suporte ServiceNow® Flow Designer Suporte Orquestração
    SOAP Etapa SOAP Criar uma atividade SOAP Web Services com substituições de autenticação básica
    REST Etapa REST Criar uma atividade REST Web Services com substituições de autenticação básica
    JDBC Etapa JDBC Atividade JDBC
    SSH Etapa de SSH Atividade SSH
    PowerShell Etapa de PowerShell Atividade PowerShell
    SFTP Etapa SFTP Atividade SFTP
    JMS Atividade JMS
    Importante:
    Não é possível gerenciar as credenciais armazenadas em um cofre CyberArk e um sistema personalizado de armazenamento de credenciais externas usando o mesmo MID Server. O cliente AIM/API MID Server e CyberArk devem ser instalados na mesma máquina.

    Arquitetura CyberArk

    Figura 1. Arquitetura de armazenamento CyberArk
    CyberArk arquitetura de armazenamento.
    Nota:
    CyberArk usa o arquivo mid.jar do sistema base para resolver as credenciais.

    Como MID Server lida com contas Windows

    A pesquisa de credencial tenta inicialmente corresponder o ID de credencial especificado a um valor existente no campo Nome do cofre CyberArk. Se uma correspondência for encontrada, essa credencial será retornada. Se nenhuma correspondência for encontrada, a pesquisa de credencial tentará encontrar uma correspondência usando o endereço IP. Se a pesquisa de endereço IP corresponder a mais de uma credencial, como Windows e Tomcat no mesmo servidor, a pesquisa falhará. Para evitar esse problema, defina o parâmetro ext.cred.type_specifier no arquivo MID Server config.xml como verdadeiro para forçar CyberArk a retornar credenciais que correspondam ao tipo de credencial e ao endereço IP. Por exemplo, se um endereço IP for compartilhado por Windows e Tomcat, um tipo de credencial de Windows retornará somente a credencial Windows.