Это старая версия документа!

Настройка хранения строк подключения в Hashicorp Vault

Начиная с версии системы 3.29, чтобы повысить безопасность хранения секретов (паролей, токенов/маркеров-доступа, API-ключей, закрытых криптографических ключей и т.п.) можно настроить подключение системы ADVANTA к СУБД, или сервису Active Directory через сервис хранения секретов HashiCorp Vault.

В этом случае в системе или файлах конфигурации не будут храниться пароли к сервисам и службам компании.

Для этого в настройках конфигурационного файла системы client.config необходимо:

  1. Добавить раздел с указанием использования сервиса хранения секретов.
  2. Добавить раздел с перечнем ключей, получаемых из сервиса хранения секретов для строк соединения с СУБД.
  3. Добавить раздел для получения секрета для сервисов Active Directory (если используется).

Изменения в конфигурационном файле

Необходимые изменения в конфигурационном файле client.config для запуска системы через получение паролей из сервиса хранения секретов HashiCorp Vault:

  1. В разделе <configSections> добавить <section name= ″hashiCorpVault″ type=″Config.HashiCorpVaultConfigurationSection, smcorelib″/>, параметр будет использоваться как индикатор необходимости использовать Hashicorp Vault.
  2. В разделе <configuration> добавить следующие секции:
  • <hashiCorpVault address=″″ roleId=″″ secretId=″″> с закрывающим тэгом </hashiCorpVault>;
  • внутри секции hashiCorpVault добавить список контейнеров <containers>……. </containers> в которой будет располагаться список контейнеров для заполнения из Hashicorp.
Формат описания одного контейнера: <add id=″″ version=″″ mountPoint=″″ path=″″/>, где id – название контейнера.

Доступны названия:

  • adDomainPasswords – для Active Directory;
  • dbPasswords – для connectionString в СУБД.