パスワード管理用のCyberArk統合の有効化
OpenManage Enterpriseはサード パーティーのID管理システムであるCyberArkとの統合を提供し、安全なヴォールトで特権認証情報を管理してセキュリティとアクセス制御を強化します。このガイドでは、CyberArk Privileged Access Manager(PAM)(自己ホスト型アーキテクチャを使用してオンサイトに導入されます)とOpenManage Enterpriseを統合する手順について説明します。詳細については、CyberArkのマニュアルを参照してください。
前提条件
- CyberArk統合は、OpenManage Enterprise Advanced+ライセンスがあるデバイスでのみ使用可能です。
- ターゲット デバイスが単一のCyberArkセーフ内にオンボーディングされていることを確認します。OpenManage Enterpriseでは、1つのセーフがサポートされます。
- CyberArkを使用してローテーションできるのは、ローカルiDRACパスワードのみです。ディレクトリー サービス(Active Directory、LDAPなど)で管理されるアカウントは、CyberArk統合では使用できません。
- アプライアンスが中央認証情報プロバイダー ホストにアクセスできることを確認します。
手順
CyberArkパスワード ローテーションを有効にするには、次の手順を実行します。
-
CyberArk統合を有効にするを選択して、CyberArk統合を有効にします。CyberArkを有効にすると、アプライアンスはCyberArk内の設定済みiDRACの認証情報を取得します。
-
エクスポートをクリックして、この機能の対象となるiDRACのダウンロード可能リストを生成します。
-
アップロードをクリックして、中央認証情報プロバイダー ホストの認証のために使用される証明書を、アプライアンスにアップロードします。証明書ベース認証のみがサポートされています。
-
中央認証情報プロバイダー ホストのIPv4アドレスまたはFQDNとポート番号を入力します。
-
CyberArkからアプライアンスに割り当てられたアプリケーションIDを入力して、モバイル アプリケーションにシングル サインオンを提供します。
-
安全名を入力して、必要なiDRAC認証情報をアプライアンスが見つけられるようにします。
-
IPアドレス、FQDN、またはサービス タグを選択して、認証情報の取得方法を決定します。パスワード ヴォールトWebアクセス(PVWA)でiDRAC用に設定されたアカウント名が、IPアドレス、FQDN、またはサービス タグと一致することを確認します。この値は、Retrieve Credentials Byフィールドで選択した値に基づいています。
-
接続のテストをクリックして、アプライアンスが中央認証情報プロバイダー ホストにアクセスして認証できることを確認します。CyberArkの設定時に、アカウントがパスワード ヴォールトWebアクセス(PVWA)に追加されていない場合、接続テストは失敗します。
-
適用をクリックして変更内容を保存するか、破棄をクリックして以前の値に設定をリセットします。
タスクの結果
CyberArk統合を無効にするには、CyberArk統合を有効にするチェック ボックスをオフにして適用をクリックします。保存済み検出ジョブがすべてトリガーされ、適合するデバイスに適切な認証情報が確実に割り当てられます。
注:CyberArk統合を有効にする際に考慮すべき重要ポイント:
- OpenManage Enterprise経由でiDRACデバイスにアクセスする際に中断が発生しないように、CyberArkが適切に設定されていることを確認します。デル・テクノロジーズはCyberArkソフトウェアに関する責任を一切負わないものとします。お客様の業務、技術、サポートにおけるCyberArkとの関係は、CyberArkのお客様に責任があります。インストール、機能と拡張性のテスト、ソフトウェアの全体的な管理は、必ずCyberArk社と直接連携して行ってください。
- CyberArkを使用してデバイス認証情報を管理する場合、OpenManage Enterpriseは、特定のタスクを実行する前に、定期的にヴォールトからパスワードを取得します。ヴォールトへのアクセス不能、認証情報の誤り、または進行中のローテーションが原因で取得プロセスが失敗した場合、デバイス タスクも失敗して、デバイスが不明な状態になります。
- OpenManage Enterpriseがデバイスに接続できない場合は、必ず内部イベントCDEV6131が生成されます。CyberArk管理対象デバイスでこのような事象が観察された場合は、CyberArk管理者に正しい認証情報が取得されているかどうかを確認するように通知します。
- CyberArkで管理されているデバイスについて、新しい認証情報が検出された場合、認証情報のタイプは[検出]に変更されます。ただし、デバイス内のアプライアンスで開始されたすべてのタスクでは、CyberArkの認証情報が使用されます。
- 特定のiDRACのCyberArkパスワード管理を無効にするには、CyberArkからデバイス アカウントを削除し、OpenManage Enterpriseでそのデバイスを再検出して、アップデートされた認証情報をすべての管理操作に使用します。
関連するリファレンス
iDRACパスワード管理の設定