Coffres-forts de secrets

Les coffres-forts de secrets permettent aux moniteurs de récupérer leurs identifiants — mots de passe, clés API, graines TOTP — depuis un gestionnaire de secrets externe à l’exécution, de sorte qu’aucun secret n’est jamais stocké dans la définition d’un moniteur.

Au lieu de saisir un mot de passe dans un moniteur, vous référencez un secret conservé dans le coffre-fort de votre organisation. À l’exécution, la sonde résout la référence auprès du coffre-fort et injecte la valeur uniquement le temps de l’exécution. La rotation du secret dans le coffre-fort prend effet immédiatement, sans rien à modifier côté Mugnsoft.

Fournisseurs de coffres-forts pris en charge

Fournisseur Description
HashiCorp Vault Moteur de secrets KV via l’API HTTP de Vault
Azure Key Vault Secrets récupérés via une application Azure AD (identifiants tenant/client)
CyberArk Conjur Secrets récupérés via un login hôte Conjur et une clé API

Un seul fournisseur est actif à la fois. Les paramètres du coffre-fort sont globaux : vous les configurez une fois sur le Webserver, puis ils sont poussés vers toutes les sondes activées.

Configurer un coffre-fort

Les paramètres du coffre-fort se trouvent dans la page Paramètres du Webserver (ADMIN uniquement). Choisissez le fournisseur dans la section Vault et renseignez les champs correspondants.

| Champ | Description | |-------|-------------| | URL Vault | URL de base du serveur Vault | | Token Vault | Token d'accès utilisé pour lire les secrets | | Chemin du secret | Chemin du secret KV à lire |
| Champ | Description | |-------|-------------| | URL Key Vault | URL de base de l'Azure Key Vault | | Tenant ID | Tenant Azure AD | | Client ID | ID de l'application (client) | | Client secret | Secret client de l'application | | Nom du secret | Nom du secret à lire |
| Champ | Description | |-------|-------------| | URL Conjur | URL de base du serveur Conjur | | Compte | Compte Conjur | | Login | Login hôte / utilisateur | | Clé API | Clé API du login | | Secret | Identifiant de variable du secret à lire |

Testez avant d'enregistrer

Utilisez le bouton test de la section Vault pour valider les paramètres. Mugnsoft exécute le test sur chaque sonde activée et rapporte le succès ou l’échec par sonde, afin de confirmer que chaque sonde peut joindre le coffre-fort avant qu’un moniteur n’en dépende.

Référencer un secret depuis un moniteur

Une fois un coffre-fort configuré, un champ de moniteur peut pointer vers un secret du coffre-fort au lieu de contenir une valeur littérale. À l’exécution, la sonde résout la référence et injecte le secret.

Pour les scénarios EUM (navigateur), les valeurs résolues sont exposées au script Selenium sous forme de variables d’environnement, indexées par le titre de l’URL :

  • VAULT_USERNAME_<urlTitle>
  • VAULT_PASSWORD_<urlTitle>
  • TOTP_SECRET_<urlTitle> (pour les graines TOTP / double authentification)

Voir la page Moniteur EUM pour savoir comment les consommer dans un scénario.

Dépannage

Symptôme Cause Solution
Le test rapporte Échec sur une sonde La sonde ne peut pas joindre l’URL du coffre-fort, ou les identifiants sont erronés Vérifiez le chemin réseau sonde → coffre-fort et re-vérifiez les champs du fournisseur
Le moniteur s’exécute avec un identifiant vide Le nom/chemin du secret référencé ne se résout pas Vérifiez que le secret existe au chemin configuré et que le token/login peut le lire
Secret pivoté non pris en compte La référence du coffre-fort pointe vers la mauvaise version/chemin Les références se résolvent en direct à chaque exécution — vérifiez le chemin, pas une valeur en cache

Voir aussi

Traductions