Coffres-forts de secrets
Les coffres-forts de secrets permettent aux moniteurs de récupérer leurs identifiants — mots de passe, clés API, graines TOTP — depuis un gestionnaire de secrets externe à l’exécution, de sorte qu’aucun secret n’est jamais stocké dans la définition d’un moniteur.
Au lieu de saisir un mot de passe dans un moniteur, vous référencez un secret conservé dans le coffre-fort de votre organisation. À l’exécution, la sonde résout la référence auprès du coffre-fort et injecte la valeur uniquement le temps de l’exécution. La rotation du secret dans le coffre-fort prend effet immédiatement, sans rien à modifier côté Mugnsoft.
Fournisseurs de coffres-forts pris en charge
| Fournisseur | Description |
|---|---|
| HashiCorp Vault | Moteur de secrets KV via l’API HTTP de Vault |
| Azure Key Vault | Secrets récupérés via une application Azure AD (identifiants tenant/client) |
| CyberArk Conjur | Secrets récupérés via un login hôte Conjur et une clé API |
Un seul fournisseur est actif à la fois. Les paramètres du coffre-fort sont globaux : vous les configurez une fois sur le Webserver, puis ils sont poussés vers toutes les sondes activées.
Configurer un coffre-fort
Les paramètres du coffre-fort se trouvent dans la page Paramètres du Webserver (ADMIN uniquement). Choisissez le fournisseur dans la section Vault et renseignez les champs correspondants.
Testez avant d'enregistrer
Référencer un secret depuis un moniteur
Une fois un coffre-fort configuré, un champ de moniteur peut pointer vers un secret du coffre-fort au lieu de contenir une valeur littérale. À l’exécution, la sonde résout la référence et injecte le secret.
Pour les scénarios EUM (navigateur), les valeurs résolues sont exposées au script Selenium sous forme de variables d’environnement, indexées par le titre de l’URL :
VAULT_USERNAME_<urlTitle>VAULT_PASSWORD_<urlTitle>TOTP_SECRET_<urlTitle>(pour les graines TOTP / double authentification)
Voir la page Moniteur EUM pour savoir comment les consommer dans un scénario.
Dépannage
| Symptôme | Cause | Solution |
|---|---|---|
| Le test rapporte Échec sur une sonde | La sonde ne peut pas joindre l’URL du coffre-fort, ou les identifiants sont erronés | Vérifiez le chemin réseau sonde → coffre-fort et re-vérifiez les champs du fournisseur |
| Le moniteur s’exécute avec un identifiant vide | Le nom/chemin du secret référencé ne se résout pas | Vérifiez que le secret existe au chemin configuré et que le token/login peut le lire |
| Secret pivoté non pris en compte | La référence du coffre-fort pointe vers la mauvaise version/chemin | Les références se résolvent en direct à chaque exécution — vérifiez le chemin, pas une valeur en cache |
Voir aussi
- Paramètres du Webserver — où les paramètres du coffre-fort sont configurés
- Configuration des moniteurs — les champs de coffre-fort sous-jacents
- Moniteur EUM — comment les valeurs du coffre-fort atteignent les scénarios navigateur à l’exécution
- Configurations d’identifiants — bundles d’identifiants SNMP/WMI réutilisables
- Modèle de sécurité — protection des secrets en transit et au repos