Utiliser CyberArk CCP pour les connexions mode sans-agent
CyberArk Central Credential Provider est un service de centralisation de secrets duquel Cyberwatch peut obtenir les mots de passe afin de se connecter par SSH ou WinRM à des actifs.
Configuration de l’accès à CyberArk CCP
Cyberwatch accède à CyberArk CCP par API REST, avec authentification par certificat.
Tout d’abord, générer une clé accompagnée d’un certificat qui devra être signé par l’autorité configurée sur CyberArk CCP.
Créer ensuite une application pour Cyberwatch sur CyberArk CCP. Voir la documentation officielle à l’adresse https://docs.cyberark.com/credential-providers/Latest/en/Content/Common/Adding-Applications.htm. Le numéro de série du certificat devra être associé à l’application créée.
Les informations suivantes seront nécessaires à la configuration de l’accès à CyberArk CCP depuis Cyberwatch :
- L’ID de l’application créée.
- La clé privée générée à la première étape.
- Le certificat signé associé à la clé.
- Le certificat de l’autorité.
La clé et les certificats doivent être au format PEM.
Enfin, depuis Cyberwatch, accéder au menu Réglages > Identifiants enregistrés puis cliquer sur Ajouter. Sélectionner le type CyberArk Central Credential Provider et entrer les informations précédemment obtenues.
Créer une connexion mode sans-agent avec CyberArk CCP
Dans la section Actifs, aller dans Gestion des actifs > Connexions mode sans-agent.
Cliquer sur Ajouter.
Dans Protocole d’accès, sélectionner SSH ou WinRM.
Sélectionner comme jeu d’identifiants l’accès CyberArk CCP configuré à la section précédente.
Entrer la requête CyberArk CCP pour récupérer le compte à utiliser pour la connexion à l’actif. Le format recommandé est
Safe=…;Folder=…;Object=…
, mais toute autre requête supportée par CyberArk CCP fonctionnerait.