ITSMとの統合

ServiceNowなどのITSMプラットフォームとの統合

概要

KeeperPAMは、ServiceNowをはじめとするITSMプラットフォームとシームレスに統合し、ITサービスワークフロー内での特権アクセス管理を自動化します。これにより、手動での認証情報の取り扱いが不要となり、セキュリティリスクを軽減できます。

統合によって実現できる主な機能は以下のとおりです。

  • 認証情報の自動取得とローテーション

  • ユーザーのプロビジョニングおよびチーム/ロールへの割り当て

  • サーバーやアプリケーションへの時間制限付きアクセス付与

  • 共有フォルダの作成とユーザー割り当て

  • コンプライアンスレポートおよび監査イベントの取得

以下は、KeeperPAMでサポートされている主な統合方法となります。

1. Keeperシークレットマネージャーを利用したシークレット取得

Keeperでは、ServiceNow MIDサーバーとのネイティブ統合機能が備わっており、Keeperシークレットマネージャーから安全にシークレットを取得できます。

セットアップ概要

  • ServiceNow MIDサーバーにKeeperシークレットマネージャーSDKとプラグインをインストールします。

  • スコープ付きアクセスを持つシークレットマネージャーアプリケーションを構成します。

  • MIDサーバーをワンタイムアクセストークン (OTA) またはアプリケーションクレデンシャルで認証します。

  • オーケストレーションスクリプトや自動化タスクでシークレットを使用します。

メリット

  • ServiceNowに認証情報が保存されることはありません。

  • Keeperのクラウドボルトを使用したシークレットへのゼロトラストアクセス

  • 監査ログ、きめ細かなアクセス制御、シークレットのローテーションをサポート

詳しくは、Keeperシークレットマネージャーの「ServiceNow」のページをご参照ください。

2. KeeperコマンダーCLIを利用したアクセス割り当て

ServiceNowなどのITSMプラットフォームは、KeeperコマンダーCLIを使用して、特権リソースへのアクセス割り当てやパスワードのローテーションを実行できます。これはMIDサーバー経由で実行されます。

セットアップ手順

  1. WindowsまたはLinuxマシンにServiceNow MIDサーバーをインストールします。

  2. Keeperコマンダーをインストールします。

  3. 永続セッションでコマンダーを認証します。

  4. ServiceNow Flow Designerで、「Run PowerShell」または「Run Command」アクティビティを使用します。

コマンド例

Linuxサーバーへのアクセスを1時間付与します。

share-record --expire-in 1h -e user@company.com servers/Linux001

特定パスワードをローテーションします。

pam action rotate --record-uid <RECORD_UID>

ユーザーをKeeperへ招待します。

enterprise-user --add user@example.com

共有フォルダを作成してユーザーを追加します。

mkdir some_team_folder -sf -s  
share-folder some_team_folder -e user@example.com -p off

メリット

  • ジャストインタイムアクセスのプロビジョニングを自動化。

  • ServiceNowにはシークレットは保存されません。

  • 承認フローやサービスカタログとの統合が可能。

この方法は最も柔軟性が高く、あらゆるKeeperコマンダーのアクションをスクリプト化してMIDサーバー経由で実行することができます。

詳しくは、「コマンダーの概要」および「コマンドリファレンス」の各ページをご参照ください。

3. コマンダーのサービスモードREST APIの利用

コマンダーのサービスモードを有効にすることで、HTTPコマンドによってKeeperのアクションを実行できる、安全な内部REST APIを公開できます。

セットアップ概要

  • Keeperコマンダーをインストールしてサービスモードで実行します。

  • APIへのアクセスを内部ネットワークに制限します。

  • 許可するコマンドを定義したサービスモード構成を作成します。

  • HTTPSリクエストで以下の操作を実行します。

    • ユーザーをKeeperへ招待

    • ユーザーのチームへの追加と削除

    • パスワードのローテーション

    • BreachWatchスキャンの実行

    • ボルト内のレコードへのアクセス共有

メリット

  • REST APIでITSM、チケット管理、自動化プラットフォームと連携可能

  • HTTPS経由での全コマンドサポート

  • 柔軟かつプラットフォームに依存しない設計

セキュリティ上の注意: このAPIはお客様の環境でセルフホストされるものであり、内部ネットワークからのみアクセス可能とし、ファイアウォールによる制限を適用するなど、適切なセキュリティ対策を講じる必要があります。

詳しくはコマンダーの「サービスモードREST API」のページをご参照ください。

統合方法の比較表

統合タイプ
主な用途
プラットフォーム
実行場所
セキュリティモデル

シークレットマネージャーMIDサーバー

シークレットの安全な取得

ServiceNow

MIDサーバー

ゼロトラスト・ボルトアクセス

コマンダーCLI (Flow Designer)

アクセス割り当て、パスワードローテーション

すべてのITSMプラットフォーム

MIDサーバー

CLIベースの自動化

コマンダーのサービスモードAPI

RESTによるコマンド実行

すべてのITSMプラットフォーム

内部サーバー

内部専用RESTインターフェース

前へCLIによるローテーション管理次へベンダー特権アクセス管理

最終更新