ThycoticVaultとの統合
最終更新日: 10 年 2022 月 XNUMX 日LogicMonitorは、ホスト、デバイス、サービスの資格情報、秘密などの機密情報を保存します。 LogicMonitorは、Credential Vaultとの統合も提供し、独自のCredentialVaultを使用するユーザーに資格管理のより良い制御を提供します。 LogicMonitor Collectorは、クレデンシャルボールトソリューションとしてThycoticとの統合を提供します。 詳細については、を参照してください。 Thycoticシークレットサーバー のドキュメントで詳しく説明されています)。
必須条件
- Thycotic Vault Integrationには、EACollectorバージョン30.102以降が必要です。 ThycoticVaultとLogicMonitorCollectorの統合の詳細については、を参照してください。 クレデンシャルボールトのプロパティの統合。
- Postmanクライアントを使用してThycoticSecret ServerAPIへのアクセスを確認します。 詳細については、を参照してください。 Thycotic シークレット サーバー REST API.
Thycotic Secret Server REST API:
Thycotic Secret Serverは、さまざまなエンティティを管理するためのRESTAPIを公開しています。 詳細については、を参照してください。 https://docs.thycotic.com/ss/10.9.0/api-scripting/rest-api-reference-download.
シークレットサーバー(SS)RESTAPIガイドはバージョン固有です。 正しいバージョンのシークレットサーバーガイドを参照してください。
LM Thycotic Secret Server統合は、Thycotic SecretServerのOAuth2トークンベースのRESTAPIを使用します。 このアプローチでは、認証用のOAuth2トークンを受け取ります。これは、Thycotic SecretServerのさまざまなエンティティ操作を実行するために使用されます。
ThycoticVaultの構成
Thycoticボールトを構成するには、次の手順を実行します。
1.デバイスのボールトプロパティを構成します。 プロパティは、ボールトメタデータとボールトキーで構成されます。 詳細については、を参照してください。 ThycoticVaultのプロパティ の項目を検索します。
2.ボールトのプロパティを構成したら、vault.bypassエージェントの構成をfalseに設定します。
注意:必要に応じて、デフォルトのエージェント構成設定を変更できます。 詳細については、を参照してください。 Thycotic CollectorAgentの構成設定
Thycotic Collector Agentの構成設定:
次の表には、ボールトに関連するコレクタエージェントの構成が含まれています。
| エージェント構成のプロパティ/タイプ | 種類 | デフォルト値 | 商品説明 |
| vault.thycotic.session.timeout | 整数 | 20分 | このプロパティは、OAuth2アクセストークンが有効である間隔を分単位で指定します。 この期間が経過すると、トークンは無効になります。 |
| vault.thycotic.max.tokenrefresh.allowed | 整数 | 3 | このプロパティは、許可されるトークンの更新の最大数を指定します。 トークンの更新は、refresh_token情報を使用して(ユーザーの資格情報を使用せずに)ユーザーのアクセストークンを取得するために実行できます。 |
| vault.thyotic.secret.path.name.id.cache.expiration | 整数 | 20分 | このプロパティは、シークレットパス(FolderName、SecretName)→シークレットIDマッピングを維持するキャッシュの有効期限を指定します。 lmvaultキーのシークレットパスマッピングアプローチは、このキャッシュを内部的に使用して、シークレットパスに基づいてシークレットIDを取得します。 |
次の場所に移動すると、エージェントの構成プロパティを表示できます。 [設定]> [コレクター]>必要なコレクター名の横にある歯車をクリック> [サポート]> [コレクター構成]。
ThycoticVaultのプロパティ
コレクターのボールトメタデータやボールトキーなどのボールトプロパティは、デバイスまたはデバイスグループレベルで構成できます。
Vaultメタデータ
次の表に、Vaultメタデータのプロパティを示します。
| Vaultメタデータ | 商品説明 |
| vault.meta.url | ボールトのURL。 このURLには、フォルダーとアプリケーションIDのみを含める必要があります。 |
| ボールト.メタ.タイプ | ボールトのタイプ。 Thycoticとしての値を使用して、Thycotic SecretServerに接続します。 |
| vault.meta.th.user.pass | Thycotic SecretServerアカウントのパスワード。 このパスワードは、Secret Server OAuth2APIを使用してベアラ認証トークンを取得するために使用されます。 |
| vault.meta.th.user.name | Thycotic SecretServerアカウントのユーザー名。 このユーザー名は、Secret Server OAuth2APIを使用してベアラー認証トークンを取得するために使用されます。 |
| ボールト.メタ.ヘッダー | HTTP GetRequestに必要なヘッダー。 このカスタムプロパティの値は、次の例に示すように、「&」で区切られたヘッダーになります。ヘッダーキーの値は「=」で区切られます。vault.meta.header– Content-Type = application / json&Accept-Encoding = gzip 、収縮、br |
Thycoticlmvault.keysの構成
lmvault.keysは、次のXNUMXつの方法で構成できます。
- シークレットID:
lmvaultキーの値は、シークレットIDを使用して構成できます。 これは最も効率的な方法であり、Thycoticによって推奨されています。 - 秘密の道:
LogicMonitorは、lmvault.key値を構成するためのもうXNUMXつのすぐに使用できるアプローチを提供します。 lmvault値は、シークレットパスとシークレット名で構成されます。
LogicMonitorはThycoticAPIを呼び出して、これらのシークレットパスのシークレットIDを取得し、これらのシークレットIDはさらに資格情報の取得に使用されます。
注意:このアプローチでは追加のAPI呼び出しが必要になるため、必要な場合にのみこのアプローチを使用する必要があります。
例:
LogicMonitorは、シークレットパスを使用してシークレットIDを取得するためのXNUMXつのアプローチを提供します。
1. デフォルトのアプローチ:LogicMonitorは、フォルダーとシークレットを検索します。 このアプローチでは、フォルダーとシークレットが検索され、シークレットIDとのsecret_path_name関係が形成されます。
2. 胸腺レポート:LogicMonitorは、Thycoticレポートを使用して、シークレットパスを使用してシークレットIDを取得します。 これは、デフォルトのアプローチと比較して、シークレットパスの効率的なアプローチです。
注:Thycotic SecretServerポータルのThycoticReport「ユーザーが表示できるシークレット」にアクセスできることを確認してください。 Thycoticレポートの構成の詳細については、を参照してください。 Thycoticレポートのプロパティの構成.
Thycoticレポートのプロパティの構成
Thycoticレポートのプロパティを構成するには、次の手順を実行します。
1。 案内する [設定]> [コレクター]>必要なコレクターを選択します をクリックして ギア アイコン。
2. [コレクターの管理]ダイアログボックスで、[コレクターの管理]ダイアログボックスを選択します。 コレクター構成 [サポート]ドロップダウンリストから。
3。 クリック エージェント構成 タブをクリックして、次のThycoticレポートのプロパティを入力します。
| ご氏名 | 種類 | デフォルト | お問い合わせ内容 |
| vault.thycotic.secret.report.access.enabled | ブーリアン | false | このプロパティは、Thycoticシークレットサーバーのレポートアクセスを有効にするかどうかを指定します。 このブールプロパティを有効にする前に、レポートへのすべてのアクセスが許可されていることを確認してください。許可されていない場合、APIアクセス拒否の問題が発生する可能性があります。 このアクセスは、ユーザー、レポートなどへのアクセスで構成されます。 |
| vault.thycotic.secret.report.id | 整数 | 注意:正しいレポートID値を指定する必要があります。 | このプロパティは、シークレットのシステムレポートであるレポート「ユーザーが表示できるシークレット」のレポートIDの値を指定します。 |
トラブルシューティング
1. postmanを使用してAPIを確認するにはどうすればよいですか?
アンス:LogicMonitor Thycotic Secret Server統合は、Thycotic SecretServerのOAuth2トークンベースのRESTAPIを使用します。 認証用のOAuth2トークンを受け取ります。これは、Thycotic SecretServerのさまざまなエンティティ操作を実行するために使用されます。 APIは、郵便配達員を使用して確認できます。 Postmanを使用してAPIを確認するには、次の画像を参照してください。
注:REST APIの詳細については、を参照してください。 Thycotic シークレット サーバー REST API.
2.コレクターのボールトログを取得するにはどうすればよいですか?
アンス:コレクターのボールトログを取得するには、!taildebugコマンドを使用します。 ボールトログはwrapper.logファイルの一部であり、直接アクセスできます。 詳細については、次のスクリーンショットを参照してください。
3.ボールトのデバッグログを有効にして、より多くのデータを取得するにはどうすればよいですか?
アンス:ボールトのデバッグログを有効にするには、次の手順を実行します。
1。 案内する [設定]> [コレクター]>必要なコレクターを選択します.
2.コレクターの管理で、 コレクター構成 から サポート ドロップダウンリスト。
3。 クリック エージェント構成 タブをクリックし、logger.level値を次のように設定します debug.
4.構成の詳細を追加したら、をクリックします 保存して再起動します.
次の画像を参照してください。
