CyberArk

Virtual DataPort が CyberArk Vault から資格情報を取得する方法には、次の 2 つがあります。

  1. エージェントモード: このモードでは、データソースが、Denodo Platform と同じコンピュータにインストールされた CyberArk エージェントに資格情報をリクエストします。この場合、CyberArk の Agent Based Credential Provider (CP) が使用されます。

  2. エージェントレスモード: このモードでは、データソースは、CyberArk のサービス AIMWebService に資格情報をリクエストします。

CyberArk: エージェントモード

「エージェントモード」では、Virtual DataPort がデータベースに接続するための資格情報を、Denodo Platform と同じコンピュータで稼動している CyberArk エージェントにリクエストします。

次の手順で CyberArk の統合を有効にできます。

手順 #1: CyberArk エージェントをインストールする

CyberArk エージェントを Denodo Platform と同じコンピュータにインストールします。エージェントのインストール方法については、CyberArk『Credential Provider and ASCP Implementation Guide』を参照してください。

エージェントのインストールが終わったら、Denodo を表す「ハッシュ」を取得します。Windows では次のコマンドを実行します (Linux では同等のコマンドを実行します)。

cd C:\Program Files (x86)\CyberArk\ApplicationPasswordProvider\Utils
AIMGetAppInfo.exe GetHash

プロンプトで、 <DENODO_HOME>/lib/contrib/denodo-commons-vault.jar へのパスを入力します。出力は次のようになります。

Application file full path [mandatory] ==> DENODO_HOME/lib/contrib/denodo-commons-vault.jar
FC11BA736FC0AB66301B160F7FC37D496EBC3B6B
Command ended successfully

この出力をコピーします。これは次の手順で必要になります。

手順 #2: CyberArk パスワード保管方法で Application ID (APPID) を設定する

Denodo Platform 用の Application ID (APPID) を設定します。CyberArk にアプリケーションを登録する方法については、 CyberArk Password Vault Web Access (PVWA) のドキュメントを参照してください。

アプリケーションの登録が終わったら、認証の詳細を定義する必要があります。

  • OS ユーザー を追加する場合は、Virtual DataPort の開始に使用するアカウントの名前を入力します。

  • パス を追加する場合は、 <DENODO_HOME>/lib/contrib/denodo-commons-vault.jar へのパスを入力します (「<DENODO_HOME>」は実際のパスに置き替えてください)。

  • ハッシュ を追加する場合は、「手順 #1」で取得したハッシュを使用します。

    注釈

    このハッシュは、Denodo の更新をインストールすると変化する場合があります。そのため、更新のインストール後は、「AIMGetAppInfo」ユーティリティーを実行して、ハッシュが変化していないか確認してください。変化していた場合は、新しいハッシュを追加し、別の更新を実行している Denodo サーバーがある場合は、その既存のハッシュを維持することを検討してください。

手順 #3: CyberArk の統合を有効化する - Virtual DataPort のエージェントモード

CyberArk にアプリケーションを定義したら、以下の手順を実行して、Virtual DataPort で統合を有効化する必要があります。

  1. CyberArk エージェントのインストール環境でファイル JavaPasswordSDK.jar を見付けてください。通常は、 <CYBERARK_AGENT_HOME>/CyberArk/ApplicationPasswordSdk/JavaPasswordSDK.jar にあります。これは、あとで使用します。

  2. Virtual DataPort の Administration Tool を開いて、管理者アカウントでログインします。

  3. [File] メニュー > [Extension management] をクリックします。

  4. このダイアログで、[Libraries] タブ、[Import] の順にクリックします。

  5. [Resource type] で、[Vault]、[CyberArk] の順に選択します。[Add] をクリックし、ファイル JavaPasswordSDK.jar を選択します (これは、Virtual DataPort サーバーではなく、Administration Tool のコンピュータの内容を表示しています)。

  6. [Ok] をクリックし、再度 [Ok] をクリックしてこのライブラリをアップロードします。

  7. Virtual DataPort を再起動します。

  8. 再度ログインします。

  9. [Administration] メニューで、[Serverconfiguration] をクリックし、さらに [Credentials vault] タブをクリックします。

  10. このタブで、[Use external credentials vault] を選択し、[Provider] を [CyberArk (agent mode)] に設定します。

  11. [Application Id] で、Denodo を CyberArk に登録する際に使ったアプリケーション名を入力します。たとえば「denodo_production」などです。

  12. [Ok] をクリックして変更を保存します。

Enabling CyberArk Agent Mode

このあと、[Obtain credentials from password vault] オプションを使用して、 JDBC データソース を設定できます。

エージェントモード用のアプリケーション構成

CyberArk では、 エージェントモード でアクセスするアプリケーションを認証するオプションとして、以下のものがあります。以下のオプションは、CyberArk 側で Application Id ごとに設定します。

  • アプリケーションの ハッシュ

    Virtual DataPort のハッシュを取得するには、 AIMGetAppInfo スクリプトを使用します。これは、CyberArk SDK のインストール環境で使用できます。例:

    C:\Program Files (x86)\CyberArk\ApplicationPasswordProvider\Utils>AIMGetAppInfo.exe GetHash
      Application file full path [mandatory] ==> DENODO_HOME/lib/contrib/denodo-commons-vault.jar
      FC11BA736FC0AB66301B160F7FC37D496EBC3B6B
      Command ended successfully
    

    返される値は、ハッシュを使ってアクセスを制限するために CyberArk で構成する必要があります。

    注釈

    ハッシュを計算するためのアプリケーションパスは、 必ず DENODO_HOME/lib/contrib/denodo-commons-vault.jar としてください。

    警告

    ハッシュ値は、Denodo の新しい更新をインストールすると変化する場合があります。

  • アプリケーションの パス

    パスを使ってアプリケーションアクセスを制限するには、CyberArk で次の値を構成します。

    <DENODO_HOME>/lib/contrib/denodo-commons-vault.jar
    

CyberArk: エージェントレスモード

エージェントレスモード では、データソースが CyberArk のサービス AIMWebService に資格情報をリクエストします。これには CyberArk の Agentless Central Credential Provider (CCP) が使用されます。

Enabling CyberArk AgentLess Mode

これを有効にするには以下の手順に従います。

  1. CyberArk Password Vault Web Access (PVWA) に、アプリケーションを管理することが許可されているユーザーアカウント (Manage Users 権限が必要) でログインします。

  2. [Applications] タブで、[Add Application] をクリックして、Denodo Platform 用の [Application ID] (APPID) を設定します。

    CyberArk にアプリケーションを登録する方法については、 CyberArk Password Vault Web Access (PVWA) のドキュメントを参照してください。

  3. Administration Tool を開き、管理者ユーザーとしてログインします。

  4. [Administration] メニューで、[Serverconfiguration] をクリックし、さらに [Credentials vault] タブをクリックします。

  5. このタブで、[Use external credentials vault] を選択し、[Provider] を [CyberArk (agentless mode)] に設定します。

  6. このフォームでは、次の情報を入力します。

  • Application Id: CyberArk Vault でのアプリケーションの ID です。

  • URL: CyberArk の AIMWebService の URL です (例: https://cyberark-server.acme.com/AIMWebService/api/Accounts)。

  • Client certificate (private key): [Browse] をクリックして、CyberArk Vault で上述の Application Id を認証するために使用される秘密鍵が入ったファイルをアップロードします。アップロードするファイルは、PFX ファイル、または PKCS#12 ファイルである必要があります。

    • Password: Client certificate のパスワード

  • Certificate of Certification Authority (CA) (任意): [Browse] をクリックして、CyberArk Vault からのレスポンスを検証するために使用される証明書が入ったファイルをアップロードします。アップロードするファイルは、PFX ファイル、PKCS#12 ファイル、または X509 証明書である必要があります。これが必要となるのは、ボールトが広く認知されていない証明書を使用する場合のみです。

    • Password (任意): Certificate of Certification Authority (CA) のパスワードです。X509 証明書を設定した場合には無視されます。

[Ok] をクリックして変更を適用します。変更はすぐに適用され、再起動は不要です。

CyberArk アカウントの命名規則

CyberArk Vault では、 Accounts という名前のオブジェクトを使用して資格情報が保存されます。このオブジェクトは、 Safe という名前の別のエンティティに配置されます。Virtual DataPort では、一意な CyberArk Account を識別するために、Safe と Account の名前を指定する必要があります。

データソースの構成で、[Account name] に値を設定するときには、この形式で入力します。

<SafeName>\<AccountName>

たとえば、Safe「DenodoSafe」の「my-database-account」という CyberArk Account を使用するには、次を入力します。

DenodoSafe\my-database-account

Virtual DataPort が CyberArk から証明書を取得する方法

前ページの「 データソースが資格情報保管方法から資格情報を取得する方法 」を参照してください。 エージェントモード でも エージェントレスモード でも、手順は同じです。