Intégration Delinea Secret Server
GGScout prend en charge l'intégration avec Delinea Secret Server pour collecter et surveiller vos secrets. Ce guide vous aide à mettre en place et configurer l'intégration.
Fonctionnalités prises en charge
- Collecte de plusieurs versions de secrets
- Authentification OAuth
- Configuration spécifique au tenant
- Prise en charge multi-environnements
Configuration
Pour configurer GGScout afin qu'il fonctionne avec Delinea Secret Server, ajoutez la configuration suivante à votre fichier ggscout.toml :
[sources.delinea]
type = "delineasecretserver"
auth_mode = "oauth"
client_id = "${DELINEA_CLIENT_ID}"
client_secret = "${DELINEA_CLIENT_SECRET}"
fetch_all_versions = true
tenant = "${DELINEA_TENANT}"
tld = "com"
mode = "read"
env = "production"
owner = "devops-team@example.com"
[[sources.delinea.include]]
resource_ids = ["app/*", "database/*", "api-key"]
[[sources.delinea.exclude]]
resource_ids = ["test/*", "temp/*", "old-secret"]
Paramètres de configuration
| Paramètre | Description | Requis | Valeur par défaut |
|---|---|---|---|
type | Doit être défini sur "delineasecretserver" | Oui | |
auth_mode | Mode d'authentification (par ex. « oauth ») | Oui | |
client_id | Le client ID pour l'authentification OAuth | Oui | |
client_secret | Le client secret pour l'authentification OAuth | Oui | |
tenant | Votre tenant ID Delinea | Oui | |
tld | Domaine de premier niveau (par ex. « com ») | Non | "com" |
fetch_all_versions | Indique s'il faut collecter toutes les versions des secrets | Oui | |
mode | Mode d'intégration (parmi : « read », « write », « read/write ») | Non | "read" |
env | Libellé d'environnement pour catégoriser les secrets (par ex. « production », « staging », « development ») | Non | |
owner | Propriétaire de cette source (un e-mail, généralement d'un employé ou d'une équipe) | Non | |
[[sources.<name>.include]] | Table de motifs de resource_id à inclure (voir ci-dessous) | Non | |
[[sources.<name>.exclude]] | Table de motifs de resource_id à exclure (voir ci-dessous) | Non |
Note :
- Utilisez les tables
[[sources.<name>.include]]et[[sources.<name>.exclude]]pour spécifier plusieurs règles d'inclusion/exclusion. Chaque table doit comporter un tableauresource_ids. - Les motifs prennent en charge les wildcards (*) uniquement à la fin pour la correspondance par préfixe. Pour des correspondances exactes, indiquez le nom complet sans wildcards.
Authentification
GGScout prend en charge l'authentification avec Delinea Secret Server via :
- OAuth : à l'aide d'un client ID et d'un secret
- Variables d'environnement : à l'aide des variables d'environnement standard de Delinea
Variables d'environnement
DELINEA_CLIENT_ID: votre client ID DelineaDELINEA_CLIENT_SECRET: votre client secret DelineaDELINEA_TENANT: votre tenant ID Delinea
Bonnes pratiques
- Utilisez des variables d'environnement pour les identifiants sensibles
- Suivez le principe du moindre privilège pour les politiques d'accès
- Activez
fetch_all_versionspour suivre les changements dans vos secrets au fil du temps - Faites tourner régulièrement les client secrets
- Utilisez des tenants distincts pour chaque environnement
- Mettez en place des politiques de rotation de secrets adaptées
- Surveillez les journaux d'accès pour détecter toute activité suspecte
- Utilisez des politiques de mots de passe robustes pour les secrets
