デュアルアカウント用のCyberArkVaultとの統合
最終更新日: 11 年 2022 月 XNUMX 日LogicMonitorCollectorをCyberArkVaultと統合して、ログイン資格情報、キー、およびホスト、デバイス、サービスなどのその他の機密データなどの機密情報を保存できます。 単一のアカウントに加えて、CyberArk Vaultはデュアルアカウントもサポートしており、パスワードローテーションプロセス中に発生する可能性のあるデータ収集の損失やアカウントのロックなど、単一のアカウントを使用して発生する可能性のあるエッジケースの遅延を排除します。
要件
LogicMonitorCollectorをCyberArkforDual Accountと統合するには、次の要件を満たす必要があります。
- EACollectorバージョン32.200以降。
- 同様の権限を持つXNUMXつのCyberArkアカウント。 両方のアカウントのVirtualUsernameは同じである必要があります。
- XNUMXつのCyberArkアカウントのXNUMXつは、CyberArkポータルでアクティブとしてマークする必要があります。 CyberArkは、パスワードローテーション中にこれを自動的に処理する必要があります。
CyberArkアプリケーションの認証方法
LogicMonitor CollectorとCyberArkの統合は、アプリケーション認証のために次の方法をサポートします。
- 許可されたマシン
- パス
- ハッシュ
- クライアント証明書
これらのXNUMXつの方法のうち、クライアント証明書の方法については、 CyberArk証明書の構成 のセクションから無料でダウンロードできます。
特権アクセスセキュリティ(PAS)ソリューションへの認証
CyberArkAIMWebServiceアプリケーションはIISサーバーに展開されます。 LogicMonitor CollectorとCyberArkの統合では、IISサーバーに対して基本認証を使用します。
Vaultにログインするには、提供されたパスワードを使用する必要があります。 ログイン後、パスワードを変更することをお勧めします。
CyberArk統合のためのコレクターエージェント構成設定
次の表に、デュアルアカウントのコレクタエージェント構成を示します。
エージェント構成 | 種類 | デフォルト | 説明 |
ボールトバイパス | ブーリアン | TRUE | 値がtrueに設定されている場合、VaultAPIは呼び出されません。 値がfalseに設定されている場合、VaultAPIが呼び出されます。 |
vault.credentials.cache.expirationtime | 整数 | 60 minutes | Vaultキャッシュ内の資格情報の有効期限タイムアウト(分単位)。 この時間が経過すると、Vaultキャッシュ内の資格情報が期限切れになり、Vaultからそれらを再フェッチする必要があります。 |
vault.credentials.refresh.delay | 整数 | 15 seconds | クレデンシャルキャッシュの有効期限後の遅延時間(秒単位)。 キャッシュの有効期限が切れたら、タスクを更新してください。 注意:コレクターのインストール中に遅延時間をカスタマイズできます。 |
vault.credentials.pair.enable | ブーリアン | 間違った情報 | このプロパティは、コレクターでCyberArkデュアルアカウント構成を有効にします。 有効にするには、値を「true」に設定します。 |
Vaultのプロパティの構成
デバイスまたはデバイスグループレベルで、コレクターのVaultメタデータとVaultキーを含むVaultプロパティを構成する必要があります。
ご注意: CyberArkでは、\ /:*?などの特殊文字の使用は許可されていません。 ”<>セーフネームとオブジェクト名。
メタデータプロパティの構成
次のVaultメタデータプロパティを構成する必要があります。
Vaultメタデータ | 説明 |
ボールト.メタ.url | VaultのURL。 このURLには、フォルダとアプリケーションIDのみが含まれている必要があります。 |
ボールト.メタセーフ | 安全(CyberArkの場合にのみ適用可能)。 デバイスは、SafeをXNUMXつだけ持つことができます。 |
ボールト.メタ.タイプ | Vaultのタイプ。 現在、「CyberArk」Vault統合はコレクターでサポートされています。 |
ボールト.メタ.ヘッダー | HTTPGetRequestに必要なヘッダー。 このカスタムプロパティの値は、次の例に示すように、「&」で区切られたヘッダーになります。ヘッダーキーの値は「=」で区切られます。 vault.meta.header – Content-Type = application / json&Accept-Encoding = gzip、deflate、br |
vault.meta.keystore.type | キーストアのタイプ。 キーストアタイプが指定されていない場合、キーストアのデフォルトタイプはJKSです。 |
vault.meta.keystore.path | キーストアファイルのパス。 |
vault.meta.keystore.pass | キーストアのパスワード。 |
Vaultキーの構成
Vaultキーは、サフィックス.lmvaultを付けてデバイスレベルで指定する必要があります。 たとえば、ssh.user情報には、ssh.user.lmvaultとして指定されたキーが必要です。 次のVaultキーを設定する必要があります。
ボールトキー | 説明 |
.lmvaultの接尾辞が付いたプロパティ(単一アカウントの場合) | Vaultから値を取得する必要があり、接尾辞.lmvaultを追加してデバイスレベルで指定する必要があるカスタムプロパティ。 このようなプロパティの値は、Vault内のキーのパスになります。 例: ssh.user.lmvault = ssh \ ssh.user ssh.user.lmvaultの場合、プロパティはVaultから取得する必要があります。 このプロパティ「ssh\ssh.user」の値は、クレデンシャルが保存されているVault内のパスを表します。 |
.lmvaultの接尾辞が付いたプロパティ:Multi-Safe | マルチセーフアプローチでは、Vault内のさまざまな金庫からlmvaultプロパティの値を取得できます。 LM Vaultのプロパティ値は、safe:pathの形式で指定する必要があります。 たとえば、安全なsshcredsとオブジェクトパスをssh \ ssh.userとして参照するプロパティは、次のように指定できます。ssh.user.lmvault = sshcreds:ssh \ ssh.user プロパティレベルで指定されたSafeは、「vault.meta.safe」プロパティを介してデバイスレベルで指定された値を上書きします。 |
.lmvaultの接尾辞が付いたプロパティ(デュアルアカウントの場合) | safe、appid、folderなどのパラメーターは、既存のVaultメタデータから使用されます。 クエリは、DualAccountStatusがアクティブなVirtualUsernameに対して行われます。 <>内で指定された属性名は、VaultAPIJSON応答から解析されます。 デュアルアカウントAPIは、同じ応答内にユーザー名とパスワードを持っているため、このような資格情報チェーンは、コレクターの起動時にコレクターで形成されます。 注意:LM Vaultプロパティ値は、VirtualUsernameとともにフィールド/属性で構成されている必要があります。 フィールドまたは属性は<>内で渡すことができます。 それぞれのテンプレートに存在する任意のプロパティでデュアルアカウントを使用できます。 フィールド/属性は、CyberArkから受信したAPI応答から解析されます。 例: jdbc.mysql.user.lmvault = VirtualUsername = Test jdbc.mysql.pass.lmvault = VirtualUsername = Test jdbc.mysql.port.lmvault = VirtualUsername = Test |
LogicMonitorコレクターとCyberArkVaultの統合
- マルチセーフのサポート:デバイスの下に複数のセーフを指定して、マルチセーフから資格情報を取得します。
- マルチボールトのサポート:コレクターの下のデバイスに複数のボールトを使用できます。 各デバイスは、単一のVaultを指すことができます。
- Vault APIoverHTTPまたはHTTPSを呼び出すことができます。 ただし、HTTPSを介してVault APIを呼び出す場合は、RootCA証明書を構成する必要があります。 詳細については、を参照してください。 RootCA証明書。
- CyberArk認証を完了する必要があります。 詳細については、を参照してください。 CyberArkアプリケーションの認証方法 のセクションから無料でダウンロードできます。
ご注意: Vault APIへの頻繁なリクエストを回避するために、デバイス固有のキャッシュがコレクターに実装されています。
- CyberArkデュアルアカウントの場合、既存のパラメーターに加えて、CyberArk API呼び出しには、「DualAccountStatus」と「VirtualUsername」のXNUMXつの追加パラメーターが必要です。 の「デュアルアカウントのプロパティ」セクションを参照してください。 CyberArkデュアルアカウント ページで見やすくするために変数を解析したりすることができます。
- CyberArkデュアルアカウントの場合、プロパティはデバイスまたはデバイスグループレベルで指定できます。
- デバイスの各プロパティレベルで、VirtualUsernameなどのデュアルアカウントプロパティを設定する必要があります。
- CyberArk Vaultでデュアルアカウントが有効になっている場合、アカウントのテンプレートに基づいて、応答のさまざまなフィールドに対して応答の解析を実行できます。