InfoGrab Docs

ServiceNow로 접근 요청 처리

요약

Teleport의 ServiceNow 통합을 통해 엔지니어는 공격 벡터가 될 수 있는 영구적인 관리자 권한을 부여하지 않고도 인시던트를 빠르게 해결하는 데 필요한 인프라에 접근할 수 있습니다. Teleport의 ServiceNow 통합을 사용하면 Teleport 접근 요청을 ServiceNow 인시던트로 처리하고, 적절한 온콜 팀에 알리고, Teleport를 통해 요청을 승인하거나 거부할 수 있습니다.

Teleport의 ServiceNow 통합을 통해 엔지니어는 공격 벡터가 될 수 있는 영구적인 관리자 권한을 부여하지 않고도 인시던트를 빠르게 해결하는 데 필요한 인프라에 접근할 수 있습니다.

Teleport의 ServiceNow 통합을 사용하면 Teleport 접근 요청을 ServiceNow 인시던트로 처리하고, 적절한 온콜 팀에 알리고, Teleport를 통해 요청을 승인하거나 거부할 수 있습니다. 또한 요청하는 사용자가 특정 온콜 로테이션에 있는 경우 접근 요청을 자동으로 승인하도록 플러그인을 구성할 수도 있습니다.

이 가이드는 ServiceNow용 Teleport 접근 요청 플러그인 설정 방법을 설명합니다.

전제 조건#

  • A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

  • 'incident' 테이블에서 읽고 쓸 수 있는 접근 권한이 있는 ServiceNow 계정.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

1/4단계. 서비스 만들기#

특정 사용자가 접근 요청을 만들 때 인시던트를 만들도록 ServiceNow 플러그인을 구성할 것입니다.

2/4단계. RBAC 리소스 정의#

Teleport ServiceNow 플러그인은 Teleport Auth Service에서 접근 요청 이벤트를 받아 이러한 이벤트를 기반으로 ServiceNow API와 상호작용합니다.

접근 요청을 만들기 전에 요청하는 사용자가 requester 역할을 가지고 있는지 확인합니다.

자동 승인 플로우를 위해 플러그인이 어떤 ServiceNow 로테이션을 확인해야 하는지 알 수 있도록 사용자를 확인할 로테이션이 요청하는 사용자의 역할 중 하나에 포함되어야 합니다. 이를 위해 다음 예시와 같이 teleport.dev/schedules 주석을 추가합니다:

kind: role
version: v5
metadata:
  name: YOUR_ROLE_NAME_HERE
spec:
  allow:
    request:
      roles: ['editor']
      thresholds:
        - approve: 1
          deny: 1
      annotations:
        teleport.dev/schedules:
        - YOUR_SERVICENOW_ROTA_ID_HERE

ServiceNow 로테이션 ID를 가져오려면 로테이션이 속한 ServiceNow 그룹의 그룹 레코드로 이동하고 헤더를 마우스 오른쪽 버튼으로 클릭한 다음 'Select copy sys_id'를 클릭하여 ID를 복사합니다.

그런 다음 ServiceNow 엔드포인트 /api/now/on_call_rota/workbench/group/{groupSysId}를 사용하여 그룹의 온콜 로타 정보를 가져옵니다. 응답에서 원하는 'rota' 값을 선택합니다.

3/4단계. ServiceNow 플러그인 구성#

이제 ServiceNow 플러그인이 ServiceNow API에 연결하는 데 사용할 ServiceNow 사용자가 있습니다. 이 사용자를 사용하도록 플러그인을 구성하려면 Management -> Integrations -> Enroll New Integration으로 이동합니다.

Integrations page

플러그인은 incident 테이블에서 읽고 쓸 수 있는 자격 증명이 필요합니다.

여기에 지정된 "Close Code"는 ServiceNow 인시던트를 해결할 때 사용되는 코드입니다. "Caller"는 요청하는 Teleport 사용자의 사용자 이름이 됩니다. ("Caller" 필드는 동일한 이름의 ServiceNow 사용자가 있는 경우에만 채워집니다.)

4/4단계. ServiceNow 플러그인 테스트#

접근 요청 만들기#

Teleport 사용자 myusereditor 역할에 대한 접근 요청을 만듭니다:

ServiceNow에서 접근 요청에 대한 정보가 포함된 새 인시던트가 표시됩니다.

요청자의 역할 주석에 ServiceNow 로테이션이 지정된 경우 ServiceNow 플러그인은 요청자의 사용자 이름이 해당 로테이션에서 현재 온콜 중인 ServiceNow 사용자와 일치하는지 확인하고 접근 요청을 승인합니다.

요청 해결#

Once you receive an Access Request message, click the link to visit Teleport and approve or deny the request:

Reviewing a request

Reviewing from the command line

You can also review an Access Request from the command line:

문제 해결#

Note

이 섹션의 내용은 원문 문서를 참조하세요. (access-plugin-troubleshooting.mdx)

ServiceNow로 접근 요청 처리

원문 보기
요약

Teleport의 ServiceNow 통합을 통해 엔지니어는 공격 벡터가 될 수 있는 영구적인 관리자 권한을 부여하지 않고도 인시던트를 빠르게 해결하는 데 필요한 인프라에 접근할 수 있습니다. Teleport의 ServiceNow 통합을 사용하면 Teleport 접근 요청을 ServiceNow 인시던트로 처리하고, 적절한 온콜 팀에 알리고, Teleport를 통해 요청을 승인하거나 거부할 수 있습니다.

Teleport의 ServiceNow 통합을 통해 엔지니어는 공격 벡터가 될 수 있는 영구적인 관리자 권한을 부여하지 않고도 인시던트를 빠르게 해결하는 데 필요한 인프라에 접근할 수 있습니다.

Teleport의 ServiceNow 통합을 사용하면 Teleport 접근 요청을 ServiceNow 인시던트로 처리하고, 적절한 온콜 팀에 알리고, Teleport를 통해 요청을 승인하거나 거부할 수 있습니다. 또한 요청하는 사용자가 특정 온콜 로테이션에 있는 경우 접근 요청을 자동으로 승인하도록 플러그인을 구성할 수도 있습니다.

이 가이드는 ServiceNow용 Teleport 접근 요청 플러그인 설정 방법을 설명합니다.

전제 조건#

  • A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

  • 'incident' 테이블에서 읽고 쓸 수 있는 접근 권한이 있는 ServiceNow 계정.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

1/4단계. 서비스 만들기#

특정 사용자가 접근 요청을 만들 때 인시던트를 만들도록 ServiceNow 플러그인을 구성할 것입니다.

2/4단계. RBAC 리소스 정의#

Teleport ServiceNow 플러그인은 Teleport Auth Service에서 접근 요청 이벤트를 받아 이러한 이벤트를 기반으로 ServiceNow API와 상호작용합니다.

접근 요청을 만들기 전에 요청하는 사용자가 requester 역할을 가지고 있는지 확인합니다.

자동 승인 플로우를 위해 플러그인이 어떤 ServiceNow 로테이션을 확인해야 하는지 알 수 있도록 사용자를 확인할 로테이션이 요청하는 사용자의 역할 중 하나에 포함되어야 합니다. 이를 위해 다음 예시와 같이 teleport.dev/schedules 주석을 추가합니다:

kind: role
version: v5
metadata:
  name: YOUR_ROLE_NAME_HERE
spec:
  allow:
    request:
      roles: ['editor']
      thresholds:
        - approve: 1
          deny: 1
      annotations:
        teleport.dev/schedules:
        - YOUR_SERVICENOW_ROTA_ID_HERE

ServiceNow 로테이션 ID를 가져오려면 로테이션이 속한 ServiceNow 그룹의 그룹 레코드로 이동하고 헤더를 마우스 오른쪽 버튼으로 클릭한 다음 'Select copy sys_id'를 클릭하여 ID를 복사합니다.

그런 다음 ServiceNow 엔드포인트 /api/now/on_call_rota/workbench/group/{groupSysId}를 사용하여 그룹의 온콜 로타 정보를 가져옵니다. 응답에서 원하는 'rota' 값을 선택합니다.

3/4단계. ServiceNow 플러그인 구성#

이제 ServiceNow 플러그인이 ServiceNow API에 연결하는 데 사용할 ServiceNow 사용자가 있습니다. 이 사용자를 사용하도록 플러그인을 구성하려면 Management -> Integrations -> Enroll New Integration으로 이동합니다.

Integrations page

플러그인은 incident 테이블에서 읽고 쓸 수 있는 자격 증명이 필요합니다.

여기에 지정된 "Close Code"는 ServiceNow 인시던트를 해결할 때 사용되는 코드입니다. "Caller"는 요청하는 Teleport 사용자의 사용자 이름이 됩니다. ("Caller" 필드는 동일한 이름의 ServiceNow 사용자가 있는 경우에만 채워집니다.)

4/4단계. ServiceNow 플러그인 테스트#

접근 요청 만들기#

Teleport 사용자 myusereditor 역할에 대한 접근 요청을 만듭니다:

ServiceNow에서 접근 요청에 대한 정보가 포함된 새 인시던트가 표시됩니다.

요청자의 역할 주석에 ServiceNow 로테이션이 지정된 경우 ServiceNow 플러그인은 요청자의 사용자 이름이 해당 로테이션에서 현재 온콜 중인 ServiceNow 사용자와 일치하는지 확인하고 접근 요청을 승인합니다.

요청 해결#

Once you receive an Access Request message, click the link to visit Teleport and approve or deny the request:

Reviewing a request

Reviewing from the command line

You can also review an Access Request from the command line:

문제 해결#

Note

이 섹션의 내용은 원문 문서를 참조하세요. (access-plugin-troubleshooting.mdx)