Einführung der 1Password-Integration in JDisc Discovery

JDisc Discovery – 1Password Integration Announcement A graphic showing the integration between JDisc Discovery and 1Password, with both logos connected by an arrow on a blue background.

Liebe JDisc-Nutzer, wir freuen uns, Ihnen eine neue, von Kunden gewünschte Funktion vorstellen zu dürfen: JDisc Discovery lässt sich nun als sicherer externer Passwort-Manager in 1Password integrieren.

Passwortmanager sind ein wichtiger Bestandteil der modernen IT-Sicherheit. Sie ermöglichen es Unternehmen, für jedes System eindeutige, sichere Anmeldedaten zu verwalten, ohne dass das Risiko besteht, Passwörter im Klartext zu speichern oder sich auf gemeinsames Wissen unter Administratoren zu verlassen. Da Infrastrukturen immer komplexer werden, ist die sichere Verwaltung von Anmeldedaten unerlässlich – insbesondere bei automatisierten Erkennungsaufgaben.

Dank unserer neuen Integration müssen Anmeldedaten nicht mehr in der JDisc Discovery-Datenbank gespeichert werden. Stattdessen bleiben sie sicher in den verschlüsselten Tresoren des Passwort-Managers gespeichert, und JDisc ruft sie nur bei Bedarf über die Connect Server REST API ab.

Dadurch wird Ihr Discovery-Prozess sicherer, einfacher zu warten und vollständig automatisiert.

Übersicht über die Integration von 1Password

1Password ist ein sicherer und weit verbreiteter Passwort-Manager, mit dem Unternehmen Geheimnisse wie Passwörter, Zertifikate und API-Token zentral verwalten und abrufen können.
Mithilfe des Connect Servers kann JDisc Discovery während der Gerätescans sicher auf diese Geheimnisse zugreifen und so sicherstellen, dass Anmeldedaten bei Bedarf direkt aus Ihren verschlüsselten Tresoren abgerufen werden.

Diese Integration ermöglicht:

  • Keine Speicherung von Anmeldedaten im Klartext in JDisc Discovery

  • Automatischer Abruf von Anmeldedaten während Gerätescans

  • Skalierbare und sichere Verwaltung geheimer Daten für Unternehmensumgebungen

1. Einrichten eines 1Password Connect Servers

Der Connect Server ist die API-Brücke zwischen 1Password-Tresoren und JDisc Discovery.

1.1 Voraussetzungen

Bevor Sie Ihren Connect-Server erstellen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Ein gültiges Konto

  • Ein dedizierter Tresor für den Zugriff auf den Connect-Server
    (Connect-Server können nicht auf integrierte Tresore wie „Persönlich“, „Privat“, „Mitarbeiter“ oder den standardmäßigen gemeinsamen Tresor zugreifen)

  • Mitgliedschaft in einer Gruppe mit Berechtigungen für die Geheimnisautomatisierung

  • Eine Bereitstellungsumgebung (Docker oder Kubernetes)

1.2 Schritt 1: Erstellen Sie einen Workflow zur Automatisierung von Geheimnissen und einen Zugriffstoken

Sie können den Connect-Server über die 1Password-Webanwendung oder über die CLI erstellen.

Schritte (Web-UI):

  1. Melden Sie sich bei 1Password.com

  2. Navigieren Sie zu Entwickler → Verzeichnis.

  3. Wählen Sie unter Verwaltung von Infrastruktur-Geheimnissen die Option Anderes.

  4. Klicken Sie auf Connect-Server erstellen.

  5. Befolgen Sie die Anweisungen des Einrichtungsassistenten, um:

    • eine Secrets Automation-Umgebung zu erstellen,

    • ein Zugriffstoken zu generieren,

    • die Datei 1password-credentials.json herunterzuladen.

Sie verfügen nun über:

  • Eine für die Bereitstellung erforderliche Anmeldedatei.

  • Ein Zugriffstoken, das von JDisc Discovery zur Authentifizierung verwendet wird.

Wichtig:
Speichern Sie beide sicher im Passwort-Manager. Sie können Connect-Server später unter Entwickler→ Connect-Server anzeigen oder verwalten.

Tipp:
Exportieren Sie das Zugriffstoken als Umgebungsvariable (z. B. OP_API_TOKEN), wenn Sie es in Kubernetes oder andere Systeme integrieren.

1.3 Schritt 2: Bereitstellen des 1Password Connect Servers

Sie können den Connect Server mit Docker oder Kubernetes bereitstellen.

1.3.1 Bereitstellung über Docker Voraussetzungen:

Requirements:

  • Docker installiert

  • Docker Compose installiert

  • Ihre 1password-credentials.json sicher gespeichert

Erstellen Sie docker-compose.yaml

Legen Sie die Anmeldedaten-Datei und die docker-compose.yaml im selben Verzeichnis ab.

Der Connect Server benötigt zwei Container:

  • 1password/connect-api – REST API

  • 1password/connect-sync – Synchronisiert Geheimnisse aus dem Passwort-Manager mit dem lokalen Cache

Optional können Sie Umgebungsvariablen wie Protokollstufe oder benutzerdefinierte Pfade definieren.

Verwalten Sie die Bereitstellung

Starten:

docker compose up -d

Beenden:

docker compose down

1.3.2 Bereitstellung über Kubernetes

Befolgen Sie die Kubernetes-Bereitstellungsanleitung des Passwort-Managers, um:

  • Geheimnisse als Kubernetes-Geheimnisse zu speichern.

  • Die Pods connect-api und connect-sync bereitzustellen.

  • Die REST-API über HTTPS innerhalb Ihres Clusters verfügbar zu machen.

Wichtig: Die Best Practices für Kubernetes empfehlen dringend, Tokens als Kubernetes-Geheimnisse und nicht als Umgebungsvariablen zu speichern.

1.4 Beispiel für eine Docker Compose-Konfiguration für HTTPS

JDisc Discovery erfordert HTTPS für die Kommunikation mit externen APIs.
Nachfolgend finden Sie ein gebrauchsfertiges Beispiel für die Aktivierung von TLS auf Port 8443:

services:

connect-api:
image: 1password/connect-api:latest
restart: unless-stopped
ports:
– “8080:8080”
– “8443:8443”
environment:
OP_TLS_CERT_FILE: /certs/server.crt
OP_TLS_KEY_FILE: /certs/server.key
OP_HTTPS_PORT: “8443”
volumes:
– ./1password-credentials.json:/home/opuser/.op/1password-credentials.json:ro
– connect-data:/home/opuser/.op/data
– ./certs:/certs:ro
depends_on:
– connect-sync

connect-sync:
image: 1password/connect-sync:latest
restart: unless-stopped
volumes:
– ./1password-credentials.json:/home/opuser/.op/1password-credentials.json:ro
– connect-data:/home/opuser/.op/data

volumes:
connect-data:

Wichtige Hinweise

  • Erstellen Sie server.crt und server.key manuell und speichern Sie sie in einem Verzeichnis namens  certs.

  • Stellen Sie sicher, dass Docker die Zertifikate lesen kann (als schreibgeschützt gemountet).

  • HTTPS auf Port 8443 ist für die Kompatibilität mit JDisc Discovery zwingend erforderlich.

  • Der HTTP-Port 8080 kann vorübergehend für Testzwecke beibehalten werden, kann jedoch nicht von JDisc Discovery verwendet werden.

2. Konfigurieren der 1Password-Integration in JDisc Discovery

Sobald Ihr Connect Server läuft, öffnen Sie JDisc Discovery und navigieren Sie zu:

Einstellungen→ Passwort-Manager

In einem Dialogfeld werden alle konfigurierten Verbindungen aufgelistet.
Klicken Sie auf Hinzufügen und geben Sie Folgendes ein:

  • Serveradresse (HTTPS-URL Ihres Connect Servers)

  • Zugriffstoken aus Ihrer Automatisierungskonfiguration

3. Auswählen von Passwörtern für Gerätescans

Wenn die Verbindung konfiguriert ist, können Sie Geheimnisse direkt während der Scan-Konfiguration auswählen.

  1. Gehen Sie zu Passwörter verwalten.

  2. Klicken Sie auf den Link zur Passwortauswahl.

  3. Es öffnet sich ein Dialogfeld mit allen verfügbaren Passwortmanager-Integrationen.

  4. Wählen Sie den Passwortmanager aus.

  5. Durchsuchen Sie die für Ihren Connect Server verfügbaren Tresore und Elemente.

  6. Wählen Sie das Geheimnis aus, das für dieses Scan-Profil verwendet werden soll.

Bei jedem Gerätescan ruft JDisc Discovery die neuesten Anmeldedaten direkt aus dem Passwortmanager ab – manuelle Aktualisierungen sind nicht erforderlich.

A JDisc Discovery dialog showing the “Select Secret” window with a list of vaults and items retrieved from a connected 1Password server.
JDisc Discovery ruft während der Auswahl der Anmeldedaten verfügbare Geheimnisse von einem verbundenen 1Password Server ab

Fazit

Wir hoffen, dass diese neue Integration Ihre Infrastruktur-Erkennungs-Workflows wie folgt verbessert:

  • Sicherer

  • Einfacher zu warten

  • Vollständig automatisiert

Vielen Dank für Ihr kontinuierliches Feedback und Ihre Unterstützung.
Freuen Sie sich auf weitere Verbesserungen, die bald verfügbar sein werden!

Viele Grüße,
Raphael Nikou

About The Author

Raphael Nikou
I am a Junior Java Software Developer at JDisc, where I specialize in the design and implementation of the Discovery engine. My primary focus is on enhancing the core functionalities of the Discovery component, ensuring accurate and efficient data retrieval and system integration. Feel free to contact me on LinkedIn.

Leave A Comment