Anforderungen und Technik – Security

Passwort Server Connector

So erreichen sie höchste Sicherheit für administrative Accounts

 

Passwort Server sind Infrastruktur-Komponenten, um Benutzer-, Applikations- und System-Passwörter zentral zu verwalten, automatisch zu erneuern und Frontend- sowie Backend-Anwendungen zur Verfügung zu stellen. Dabei verwalten die Passwort Server verschiedene Safes, in denen jeweils die notwendigen Account-Informationen gespeichert sind. Der Zugriff der jeweiligen Applikation kann auf einen bestimmten Safe beschränkt werden.

ScriptRunner unterstützt zentrale Passwort-Safes und Passwort Server, um für mehr Sicherheit für Ihre Credentials zu sorgen. ScriptRunner kann über Connectoren an folgende Passwort Server angeschlossen werden:

  • CyberArk Password Vault
  • Pleasant Password Server
  • Thycotic Secret Server

Verwendung eines Passwort Server Connectors zur sicheren Verwaltung von Zugangsdaten

 

 

Trennung von Rollen und administrativen Rechten

Verwendung nur im PowerShell Prozess

Startet ein Script, so startet auf dem ScriptRunner Host ein Windows-Hintergrundprozess für die PowerShell. Der Hintergrundprozess erhält ein temporäres Token. Mit diesem Token greift der Prozess auf den Passwort-Safe zu. Über eine Referenz-ID wird das zugehörige Credential abgerufen.

Token & Reverse Proxy

Neben dem Token-Mechanismus kann auch ein Reverse-Proxy-Mechanismus zum Einsatz kommen, der mit einer Reverse-Anfrage sicherstellt, dass nur ein zuvor definierter und charakterisierter Prozess eine Passwortanfrage stellen darf und nur dieser vom Passwort-Safe-Proxy an den Passwort Server weitergeleitet und beantwortet wird.

Kontrollierter Zugang zum Passwort Safe

Mit diesem Vorgehen ist auf dem ScriptRunner Host keine Account-Information mehr vorhanden. Es verbleibt lediglich die Referenz-ID zum Credential im Passwort-Safe.

Perfekte Verbindung

Die Verbindung zwischen ScriptRunner und dem Passwort Server System erfolgt mittels Connector. Die Konfiguration der Verbindung erfolgt über das PowerShell-Cmdlet.