Integração do Azure Key Vault do MID Server

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

4 min. de leitura

A integração do MID Server com o Azure Key Vault possibilita que Orquestração, Descoberta e Mapeamento de serviços sejam executados sem armazenar qualquer credencial na instância.

Antes de Iniciar

Para instalar a aplicação necessária na instância, navegue até Gerenciador de plug-ins > Armazenamento e gestão de credenciais externas.

Função necessária: o ID de escopo da aplicação Gestão e armazenamento de credenciais externas é necessário: com.sn_mid_extcredstrg

Por Que e Quando Desempenhar Esta Tarefa

Ao configurar o acesso ao Azure Key Vault, o MID Server está no ambiente do Azure ou em uma máquina virtual externa. Este procedimento cobre a configuração do Azure Key Vault para um MID Server no ambiente do Azure.

Para mais informações sobre procedimentos específicos do Azure e do Azure Key Vault, consulte a documentação do Azure Key Vault.

Procedimento

No ambiente de nuvem do Azure, crie uma máquina virtual.
Navegue até a seção de Identidade dessa máquina virtual.
Habilite a identidade atribuída pelo sistema.
Depois de habilitada, você tem a opção de atribuir uma função para essa identidade.
Navegue até o menu Adicionar atribuição de função.
Defina o escopo para sua Assinatura.
Adicione a função de administrador do Key Vault.
Defina o recurso para o cofre de chaves que você deseja integrar com o MID Server.

Integração do Azure Key Vault para MID Servers de máquina virtual externa

A integração do MID Server com o Azure Key Vault possibilita que Orquestração, Descoberta e Mapeamento de serviços sejam executados sem armazenar qualquer credencial na instância.

Antes de Iniciar

Função necessária: a aplicação de Gestão e armazenamento de credenciais externas (ID do escopo:com.sn_mid_extcredstrg) é necessária.

Por Que e Quando Desempenhar Esta Tarefa

Para mais informações sobre procedimentos específicos do Azure e do Azure Key Vault, consulte a documentação do Azure Key Vault.

Procedimento

No portal do Azure, navegue até Registros de apps.
Crie uma nova aplicação para o MID Server.
Anote o ID do locatário e o ID do cliente porque serão usados posteriormente.
Forneça a permissão de API do Azure Key Vault para a aplicação.
Navegue até Certificados e segredos para a nova aplicação.
Gere um novo segredo do cliente e anote esse segredo.
Neste ponto, você deve ter o client_id, o tenant_ide o secret_key para o registro da aplicação.

Adicione os seguintes parâmetros ao config.xml do MID Server usando os valores registrados.

<parameter name="ext.cred.azure.vault_name" secure="false" value="<azure_key_vault_name>"/> (optional) 
<parameter name="ext.cred.azure.tenant_id" secure="true" value="<tenant_id_value>"/> 
<parameter name="ext.cred.azure.client_id" secure="true" value="<client_id_value>"/> 
<parameter name="ext.cred.azure.secret_key" secure="true" value="<secret_key_value>"/>

Credenciais compatíveis para integração do Azure Key Vault

O MID Server oferece suporte a credenciais especificadas para integração com o Azure Key Vault.

Lista de credenciais

Credenciais SNMPV3

  {
    "type": "snmpv3",
    "user": "<user_value>",
    "authentication_key": "<authentication_key_value>",
    "privacy_protocol": "<privacy_protocol_value>",
    "privacy_key": "<privacy_key_value>",
    "authentication_protocol": "<authentication_protocol_value>",
    "snmp_context": "<snmp_context_value>"
  }

Credenciais do VMWare

  {
    "type": "vmware",
    "password": "<password_value>",
    "user": "<user_value>"
  }

Credenciais SSH

  {
    "type": "ssh",
    "password": "<password_value>",
    "user": "<user_value>"
  }

Credenciais do Windows

  {
    "type": "windows",
    "password": "<password_value>",
    "user": "<user_value>",
    "domain": "<domain_value>" // If it is null or empty, user name will become `.\user`
  }

Credenciais principais do serviço do Azure

  {
    "type": "azure",
    "client_id": "<client_id_value>",
    "tenant_id": "<tenant_id_value>",
    "secret_key": "<secret_key_value>"
  }

Credenciais de Chave Privada de SSH

  {
    "type": "ssh_private_key",
    "password": "<password_value>", // optional
    "user": "<user_value>",
    "ssh_certificate": "<ssh_certificate_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>" // optional
  }

Credenciais da AWS

  {
    "type": "aws",
    "access_key": "<access_key_value>",
    "secret_key": "<secret_key_value>"
  }

Credenciais de chave de API

  {
    "type": "api_key",
    "api_key": "<api_key_value>"
  }

Credenciais de Aplicativo

  {
    "type": "<applcation_type>", // generated by JSON builder: TODO
    "password": "<password_value>",
    "user": "<user_value>"
  }

Credenciais de Contrato do Azure Enterprise

  {
    "type": "ea_azure",
    "access_key": "<access_key_value>",
    "enrollment_number": "<enrollment_number>"
  }

Credenciais do Azure SAS

  {
    "type": "azure_sas",
    "sas_key": "<sas_key_value>",
    "sas_key_name": "<sas_key_name_value>"
  }

Credenciais de autenticação básica

  {
    "type": "basic_auth",
    "password": "<password_value>",
    "user": "<user_value>"
  }

Credenciais CIM

  {
    "type": "cim",
    "password": "<password_value>",
    "user": "<user_value>"
  }

Credenciais do Cloud Foundry

  {
    "type": "sn_itom_pattern_pcf",
    "password": "<password_value>",
    "user": "<user_value>",
    "ssh_private_key": "<ssh_private_key_value>",
    "ssh_passphrase": "<ssh_passphrase_value>"
  }

Credenciais de API do Google

  {
    "type": "gcp",
    "email": "<email_value>",
    "secret_key": "<secret_key_value>"
  }

Credenciais de armazenamento de chaves SSL

  {
    "type": "keystore",
    "keystore_password": "<keystore_password_value>",
    "keystore_path": "<keystore_path_value>",
    "key_password": "<key_password_value>"
  }

Credenciais JMS

  {
    "type": "jms",
    "password": "<password_value>",
    "user": "<user_value>"
  }

Credenciais da Comunidade SNMP

  {
    "type": "snmp",
    "password": "<password_value>"
  }

Credenciais SSL

  {
    "type": "keystore",
    "user": "<user_value>",
    "password": "<password_value>",
    "additional_properties": "<additional_properties_value>",
    "key_password": "<key_password_value>",
    "keystore": "<keystore_value>",
    "keystore_password": "<keystore_password_value>",
    "keystore_type": "<keystore_type_value>",
    "ssl_provider_name": "<ssl_provider_name_value>",
    "security_protocol": "<security_protocol_value>",
    "truststore": "<truststore_value>",
    "truststore_password": "<truststore_password_value>",
    "truststore_type": "<truststore_type_value>"
  }

Credenciais da IBM

  {
    "type": "ibm",
    "user": "<user_value>",
    "password": "<password_value>",
    "softlayer_user": "<softlayer_user_value>",
    "softlayer_key": "<softlayer_key_value>",
    "bluemix_key": "<bluemix_key_value>"
  }

Suporte à Nuvem do governo para integração com o Azure Key Vault

Pode ser necessário substituir a autenticação e o URL do cofre ao operar em ambientes de nuvem do governo. Os exemplos a seguir são para nuvens do governo dos EUA.

Endpoint de autenticação:

Para nuvens do governo dos EUA: https://login.microsoftonline.us/%s/oauth2/v2.0/token

Para suporte à nuvem do governo dos EUA: <paramter name="ext.cred.azure.vault_auth_endpoint" value="https://login.microsoftonline.us/%s/oauth2/v2.0/token"/>

Escopo:

Para nuvens do governo dos EUA: https://vault.usgovcloudapi.net/.default

Para nuvens do governo da Alemanha: https://vault.microsoftazure.de/.default

Para nuvens do governo chinês: https://vault.azure.cn/.default