デュアルアカウント用の CyberArk Vault との統合
最終更新日 - 05年2026月XNUMX日
LogicMonitorCollectorをCyberArkVaultと統合して、ログイン資格情報、キー、およびホスト、デバイス、サービスなどのその他の機密データなどの機密情報を保存できます。 単一のアカウントに加えて、CyberArk Vaultはデュアルアカウントもサポートしており、パスワードローテーションプロセス中に発生する可能性のあるデータ収集の損失やアカウントのロックなど、単一のアカウントを使用して発生する可能性のあるエッジケースの遅延を排除します。
デュアルアカウント向けCyberArk Vaultとの統合要件
LogicMonitorCollectorをCyberArkforDual Accountと統合するには、次の要件を満たす必要があります。
- EACollectorバージョン32.200以降。
- 同様の権限を持つXNUMXつのCyberArkアカウント。 両方のアカウントのVirtualUsernameは同じである必要があります。
- 2つのCyberArkアカウントのうち1つは、CyberArkポータルでアクティブとしてマークされている必要があります。CyberArkは、パスワードローテーション中にこれを自動的に処理する必要があります。
CyberArkアプリケーションの認証方法
LogicMonitor CollectorとCyberArkの統合は、アプリケーション認証のために次の方法をサポートします。
- 許可されたマシン
- パス
- ハッシュ
- クライアント証明書
これらの4つの方法のうち、クライアント証明書方式については、 CyberArk証明書の構成.
特権アクセスセキュリティ(PAS)ソリューションへの認証
CyberArkAIMWebServiceアプリケーションはIISサーバーに展開されます。 LogicMonitor CollectorとCyberArkの統合では、IISサーバーに対して基本認証を使用します。
Vaultにログインするには、提供されたパスワードを使用する必要があります。ログイン後、パスワードを変更することをお勧めします。
CyberArk統合のためのコレクターエージェント構成設定
次の表に、デュアルアカウントのコレクタエージェント構成を示します。
| エージェント構成 | タイプ | デフォルト | 詳細説明 |
| ボールトバイパス | ブーリアン | TRUE | 値がtrueに設定されている場合、VaultAPIは呼び出されません。 値がfalseに設定されている場合、VaultAPIが呼び出されます。 |
| vault.credentials.cache.expirationtime | 整数 | 60 minutes | Vaultキャッシュ内の資格情報の有効期限タイムアウト(分単位)。 この時間が経過すると、Vaultキャッシュ内の資格情報が期限切れになり、Vaultからそれらを再フェッチする必要があります。 |
| vault.credentials.refresh.delay | 整数 | 15 seconds | クレデンシャルキャッシュの有効期限後の遅延時間(秒単位)。 キャッシュの有効期限が切れたら、タスクを更新してください。 お願い:コレクターのインストール中に遅延時間をカスタマイズできます。 |
| vault.credentials.pair.enable | ブーリアン | 間違った情報 | このプロパティは、コレクター上でCyberArkデュアルアカウント設定を有効にします。有効にするには、値を「true'。 |
Vaultのプロパティの構成
デバイスまたはデバイスグループレベルで、コレクターのVaultメタデータとVaultキーを含むVaultプロパティを構成する必要があります。
注意: CyberArk では、金庫名やオブジェクト名に「\ / : * ? 」などの特殊文字は使用できません。
メタデータプロパティの構成
次のVaultメタデータプロパティを構成する必要があります。
| Vaultメタデータ | 詳細説明 |
| ボールト.メタ.url | VaultのURL。 このURLには、フォルダとアプリケーションIDのみが含まれている必要があります。 |
| ボールト.メタセーフ | 安全(CyberArkの場合にのみ適用可能)。 デバイスは、SafeをXNUMXつだけ持つことができます。 |
| ボールト.メタ.タイプ | Vaultのタイプ。 現在、「CyberArk」Vault統合はコレクターでサポートされています。 |
| ボールト.メタ.ヘッダー | HTTPGetRequestに必要なヘッダー。 このカスタムプロパティの値は、次の例に示すように、「&」で区切られたヘッダーになります。ヘッダーキーの値は「=」で区切られます。 vault.meta.header – Content-Type = application / json&Accept-Encoding = gzip、deflate、br |
| vault.meta.keystore.type | キーストアのタイプ。 キーストアタイプが指定されていない場合、キーストアのデフォルトタイプはJKSです。 |
| vault.meta.keystore.path | キーストアファイルのパス。 |
| vault.meta.keystore.pass | キーストアのパスワード。 |
Vaultキーの構成
Vaultキーは、デバイスレベルで.lmvaultというサフィックスを付けて指定する必要があります。例えば、ssh.user情報には、ssh.user.lmvaultというキーを指定する必要があります。以下のVaultキーを設定する必要があります。
| ボールトキー | 詳細説明 |
| .lmvaultの接尾辞が付いたプロパティ(単一アカウントの場合) | Vaultから値を取得する必要があり、接尾辞.lmvaultを追加してデバイスレベルで指定する必要があるカスタムプロパティ。 このようなプロパティの値は、Vault内のキーのパスになります。 具体的な例を挙げますと、以下の通りです。 ssh.user.lmvault = ssh \ ssh.user ssh.user.lmvault の場合、プロパティは Vault から取得する必要があります。 このプロパティ「ssh\ssh.user」の値は、クレデンシャルが保存されているVault内のパスを表します。 |
| .lmvaultの接尾辞が付いたプロパティ:Multi-Safe | マルチセーフアプローチでは、Vault内のさまざまな金庫からlmvaultプロパティの値を取得できます。 LM Vaultプロパティ値は、safe:pathの形式で指定する必要があります。例えば、安全なsshcredsとオブジェクトパスssh\ssh.userを参照するプロパティは、ssh.user.lmvault = sshcreds:ssh\ssh.userのように指定できます。 プロパティレベルで指定されたSafeは、「vault.meta.safe」プロパティを介してデバイスレベルで指定された値を上書きします。 |
| .lmvaultの接尾辞が付いたプロパティ(デュアルアカウントの場合) | safe、appid、folderなどのパラメーターは、既存のVaultメタデータから使用されます。 クエリは、DualAccountStatusがアクティブなVirtualUsernameに対して行われます。 <>内で指定された属性名は、VaultAPIJSON応答から解析されます。 デュアルアカウントAPIは、同じ応答内にユーザー名とパスワードを持っているため、このような資格情報チェーンは、コレクターの起動時にコレクターで形成されます。 お願い:LM Vaultプロパティ値は、VirtualUsernameとともにフィールド/属性で構成されている必要があります。 フィールドまたは属性は<>内で渡すことができます。 それぞれのテンプレートに存在する任意のプロパティでデュアルアカウントを使用できます。 フィールド/属性は、CyberArkから受信したAPI応答から解析されます。 具体的な例を挙げますと、以下の通りです。 jdbc.mysql.user.lmvault = VirtualUsername = Test jdbc.mysql.pass.lmvault = VirtualUsername = Test jdbc.mysql.port.lmvault = VirtualUsername = Test |
Collector と CyberArk Vault の統合
- マルチセーフのサポート:デバイスの下に複数のセーフを指定して、マルチセーフから資格情報を取得します。
- マルチボールトのサポート:コレクターの下のデバイスに複数のボールトを使用できます。 各デバイスは、単一のVaultを指すことができます。
- Vault APIoverHTTPまたはHTTPSを呼び出すことができます。 ただし、HTTPSを介してVault APIを呼び出す場合は、RootCA証明書を構成する必要があります。 詳細については、を参照してください。 RootCA証明書。
- CyberArk認証を完了する必要があります。 詳細については、を参照してください。 認証方法の設定 CyberArkより。
注意: Vault API への頻繁なリクエストを回避するために、デバイス固有のキャッシュがコレクターに実装されています。
- CyberArkデュアルアカウントの場合、既存のパラメータに加えて、CyberArk API呼び出しには「DualAccountStatus」と「VirtualUsername」という2つの追加パラメータが必要です。デュアルアカウントプロパティの詳細については、以下を参照してください。 CyberArkデュアルアカウント CyberArkより。
- CyberArkデュアルアカウントの場合、プロパティはデバイスまたはデバイスグループレベルで指定できます。
- デバイスの各プロパティレベルで、VirtualUsernameなどのデュアルアカウントプロパティを設定する必要があります。
- CyberArk Vaultでデュアルアカウントが有効になっている場合、アカウントのテンプレートに基づいて、応答のさまざまなフィールドに対して応答の解析を実行できます。
