orchestrator
latest
false
Orchestrator-Anleitung
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 30. Okt. 2024

Verwalten von Anmeldeinformationsspeichern

Erstellen eines Anmeldeinformationsspeichers

  1. Klicken Sie auf der Seite Anmeldeinformationen im Abschnitt Speicher auf Anmeldeinformationsspeicher hinzufügen. Das Dialogfeld Anmeldeinformationsspeicher hinzufügen wird angezeigt.
  2. Wählen Sie in der Dropdownliste Proxy den gewünschten Proxy aus. Lokal enthält alle integrierten Speicher vom Orchestrator. Alle anderen verfügbaren Optionen entsprechen Proxys, die von Ihnen auf der Seite Credentials Proxy hinzufügen erstellt wurden. Daher kann auch Folgendes verfügbar sein:
    • Ein verbundener Proxy – Wird vom Orchestrator verwaltet, also ruft der Orchestrator Anmeldeinformationen vom Proxy ab und leitet sie an den Roboter weiter.

    • Ein getrennter Proxy – Wird nicht vom Orchestrator verwaltet, also werden Anmeldeinformationen direkt vom Proxy abgerufen, bevor sie dem Roboter übergeben werden.

  3. Wählen Sie im Dropdownmenü Typ aus, welcher sichere Speicher verwendet wird.
    Die verfügbaren Optionen hängen vom ausgewählten Proxy ab.
    Hinweis: Wenn keine gültigen Plugins konfiguriert sind, ist dieses Feld leer.
  4. Die nächsten Schritte hängen davon ab, welchen Anmeldeinformationsspeicher Sie erstellen möchten. Ihre Optionen sind:
    • Orchestrator-Datenbank
      Hinweis: Sie können nur einen einzigen Orchestrator-Datenbankspeicher haben.
    • CyberArk® Concur Cloud
    • Azure Key Vault – Wählen Sie zwischen Azure Key Vault und Azure Key Vault (schreibgeschützt)
    • HashiCorp Vault – Wählen Sie zwischen HashiCorp Vault und HashiCorp (schreibgeschützt)
    • BeyondTrust – Wählen Sie zwischen BeyondTrust Password Safe – Verwaltete Konten und BeyondTrust Password Safe – Teamkennwörter
    • Thycotic Secret Server
    • AWS Secrets Manager – Wählen Sie zwischen AWS Secrets Manager und AWS Secrets Manager (schreibgeschützt)

Orchestrator-Datenbank

Klicken Sie auf Erstellen – Orchestrator-Datenbankspeicher haben keine konfigurierbaren Eigenschaften.

CyberArk CCP

Hinweis: Wenn CyberArk-Speicher in mehreren Mandanten mit den gleichen App-IDs, Safes und Ordnernamen konfiguriert werden, ist der Zugriff auf gespeicherte Anmeldeinformationen über Mandanten hinweg möglich. Um die Sicherheit und Isolierung auf Mandantenebene aufrechtzuerhalten, stellen Sie sicher, dass unterschiedliche Konfigurationen für den CyberArk-Speicher jedes Mandanten verwendet werden.
  1. Geben Sie im Feld Name einen Namen für den neuen Anmeldeinformationsspeicher ein.
  2. Geben Sie im Feld App ID die Anwendungs-ID für Ihre Orchestrator-Instanz über die CyberArk® PVWA (Password Vault Web Access)-Oberfläche ein. Klicken Sie hier für Details.
  3. Geben Sie im Feld CyberArk-Safe den Safe-Namen ein, wie in CyberArk® PVWA definiert. Klicken Sie hier für Details.
  4. Geben Sie im Feld CyberArk Folder den Speicherort ein, an dem CyberArk® Ihre Anmeldeinformationen speichert.
  5. Geben Sie im Feld URL Central Credential Provider-URL die Adresse des Central Credential Anbieter ein.
  6. Geben Sie im Feld Webdienstname den Namen des Central Credential Provider-Webdienstes ein. Wenn Sie dieses Feld leer lassen, wird der Standardname verwendet: AIMWebService.
  7. Das Clientzertifikat muss konfiguriert werden, wenn die CyberArk-Anwendung die Authentifizierungsmethodefür das Clientzertifikat verwendet. Die erwartete Eingabe ist eine .pfx -Datei, in der der private und der öffentliche Schlüssel des Zertifikats gespeichert sind. Das Clientzertifikat muss auf der Maschine installiert werden, auf der CyberArk CCP AIMWebservice bereitgestellt wird.
    Hinweis:

    Das Clientzertifikat wird von den CyberArk-Anmeldeinformationen verwendet, um die im Anmeldeinformationsspeicher des Orchestrators definierte Anwendung zu authentifizieren. Weitere Informationen zu Authentifizierungsmethoden für Anwendungen finden Sie in der offiziellen CyberArk-Dokumentation.

    Das Clientzertifikat ist eine Datei im PKCS12-Binärformat, in der der/die öffentliche(n) Schlüssel der Zertifikatkette und der private Schlüssel gespeichert sind.

    CyberArk CCP verwendet 2048-Bit-Zertifikatschlüssel.

    Wenn das Clientzertifikat in Base 64 kodiert ist, führen Sie den folgenden certutil-Befehl aus, um es im Binärformat zu dekodieren:

    certutil -decode client_certificate_encoded.pfx client_certificate.pfx

  8. Geben Sie im Feld Clientzertifikatkennwort das Kennwort des Clientzertifikats ein.
  9. Das Serverstammzertifikat muss konfiguriert werden, wenn ein selbstsigniertes Stammzertifikat der Zertifizierungsstelle vom CyberArk CCP AIMWebService für eingehende HTTP-Anforderungen verwendet wird. Es wird bei der Validierung der HTTPS TLS Handshake-Zertifikatkette verwendet. Die erwartete Eingabe ist eine .crt- oder .cer-Datei, in der der öffentliche Schlüssel des Stammzertifikats der Zertifizierungsstelle gespeichert ist.
  10. Die Option Benutzerauthentifizierung des Betriebssystems zulassen wird nur angezeigt, wenn der Wert des Parameters Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication auf true festgelegt ist. Die Option ermöglicht die Authentifizierung mit den Anmeldeinformationen des Benutzers, der derzeit an der Orchestrator-Maschine angemeldet ist.
    Hinweis: Stellen Sie sicher, dass die entsprechende Infrastruktur eingerichtet ist, indem Sie die erforderlichen Änderungen in IIS für den Orchestrator sowie für CyberArk vornehmen.
  11. Wählen Sie Erstellen. Ihr neuer Berechtigungsnachweisspeicher ist einsatzbereit.


CyberArk Conjur Cloud (schreibgeschützt)

Hinweis:

Ein CyberArk Concur Cloud-Speicher, der mit dem gleichen App-ID-Code, Safe und Ordnernamen für die Mandanten konfiguriert ist, ermöglicht den mandantenübergreifenden Zugriff auf Anmeldeinformationen. Um die Sicherheit und Isolierung auf Mandantenebene aufrechtzuerhalten, stellen Sie sicher, dass Sie für jeden CyberArk® Conjur Cloud-Speichermandanten unterschiedliche Konfigurationen verwenden.

  1. Geben Sie im Feld Name einen Namen für den neuen Anmeldeinformationsspeicher ein.
  2. Fügen Sie im Feld CyberArk Conjur Cloud-URL Ihre private CyberArk-URL hinzu (z. B https://[ihr-firmenname].secretsmgr.cyberark.cloud).
  3. Kopieren Sie im Feld Anmeldename den vollständigen Workload-Namen aus CyberArk Conjur Cloud und fügen Sie ihn im Format host/data/<Workload_name> im Orchestrator ein.
  4. Fügen Sie im Feld API-Schlüssel den API-Schlüssel hinzu, der beim Erstellen der Workload generiert wurde. Sollten Sie den API-Schlüssel einmal vergessen, können Sie jederzeit einen neuen aus der Conjur Cloud generieren. Stellen Sie aber sicher, dass Sie ihn auch im Orchestrator ändern.
  5. Geben Sie im optionalen Feld Variablen-ID-Präfix ein Präfix ein, das einem Variablenpfad hinzugefügt werden soll, auf den Sie zugreifen möchten. Beispiel: data/vault/<Safe_Name>.
    Hinweis: Das Präfix wird dem Feld Externer Name des Roboters oder Assets hinzugefügt, wenn ein Speicher verwendet wird.
    Wenn Sie beispielsweise das Präfix /data/vault/Safe_Name und den externen Namen Machine verwenden, sind die zu lesenden Variablen /data/vault/Safe_Name/Machine/username und /data/vault/Safe_Name/Machine/password.

Azure Key Vault

Key Vault-Anmeldeinformationen verwenden die RBAC-Authentifizierung. Führen Sie nach dem Erstellen eines Dienstprinzipals die folgenden Schritte aus:

  1. Geben Sie im Feld Name einen Namen für den neuen Anmeldeinformationsspeicher ein.

  2. Geben Sie im Feld Key Vault-URI die Adresse Ihres Azure Key-Vault ein. Sie lautet https://<vault_name>.vault.azure.net/.
  3. Geben Sie im Feld Verzeichnis-ID die Verzeichnis-ID ein, die im Azure-Portal zu finden ist.

  4. Geben Sie im Feld Client-ID die Anwendungs-ID vom Abschnitt „Azure AD App-Registrierungen“ ein, in dem die Orchestrator-App registriert wurde.

  5. Geben Sie im Feld Geheimer Clientschlüssel den geheimen Schlüssel ein, der zum Authentifizieren des im vorherigen Schritt eingegebenen Clientkontos erforderlich ist.

  6. Klicken Sie auf Erstellen (Create). Ihr neuer Berechtigungsnachweisspeicher ist einsatzbereit.



Wichtig: Sie können nur einen Azure Key Vault verwenden, der von Azure Government gehostet wird.

HashiCorp Vault

  1. Wählen Sie im Feld Typ entweder HashiCorp Vault oder HashiCorp Vault (schreibgeschützt) als Ihren Anmeldeinformationsspeicher aus.
  2. Geben Sie im Feld Name einen Namen für den HashiCorp Vault-Anmeldeinformationsspeicher an.
  3. Geben Sie im Feld Tresor-URI den URI zur HTTP-API des HashiCorp Vault an.
  4. Geben Sie im Feld Authentifizierungstyp Ihre bevorzugte Authentifizierungsmethode an. Je nach gewählter Option müssen Sie zusätzliche Felder konfigurieren:

    • AppRoleDies ist die empfohlene Authentifizierungsmethode. Wenn Sie diese Option auswählen, stellen Sie sicher, dass Sie auch die folgenden Felder konfigurieren:

      • Rollen-ID – Geben Sie die Rollen-ID an, die mit der AppRole-Authentifizierungsmethode verwendet werden soll.
      • Geheime ID – Geben Sie die geheime ID ein, die mit dem AppRole-Authentifizierungstyp verwendet werden soll.
    • UsernamePassword – Wenn Sie diese Option auswählen, stellen Sie sicher, dass Sie auch die folgenden Felder konfigurieren:

      • Benutzername – Geben Sie den Benutzernamen ein, der mit UsernamePassword verwendet werden soll.
      • Kennwort – Geben Sie das Kennwort an, das mit dem UsernamePassword-Authentifizierungstyp verwendet werden soll.
    • Ldap – Wenn Sie diese Option auswählen, stellen Sie sicher, dass Sie auch die folgenden Felder konfigurieren:

      • Benutzername – Geben Sie den Benutzernamen an, der mit dem LDAP-Authentifizierungstyp verwendet werden soll.
      • Kennwort – Geben Sie das Kennwort an, das mit dem LDAP-Authentifizierungstyp verwendet werden soll.
    • Token – Wenn Sie diese Option auswählen, stellen Sie sicher, dass Sie auch das folgende Feld konfigurieren:

      • Token – Geben Sie das Token ein, das mit dem Token-Authentifizierungstyp verwendet werden soll.
    • Wählen Sie im Feld Geheimnis-Engine die zu verwendende Geheimnis-Engine aus. Ihre Optionen sind:
      • KeyValueV1
      • KeyValueV2
      • Active Directory
      • Öffnen Sie LDAP
      • LDAP (Lightweight Directory Access Protocol)
  5. Im optionalen Feld Authentifizierungs -Bereitstellungspfad können Sie einen benutzerdefinierten Bereitstellungspfad angeben. Sie können dieselbe Authentifizierungsmethode mit zwei verschiedenen Konfigurationen auf zwei verschiedenen Pfaden bereitstellen.

  6. Geben Sie im Feld Bereitstellungspfad von Geheimnis-Engine den Pfad der Geheimnis-Engine an. Wenn nicht angegeben, wird standardmäßig kv für KeyValueV1, kv-v2 für KeyValueV2 und ad für ActiveDirectory verwendet.
  7. Geben Sie im Feld Datenpfad das Pfadpräfix ein, das für alle gespeicherten Geheimnisse verwendet werden soll.
  8. Geben Sie im Feld Namespace den zu verwendenden Namespace an. Nur in HashiCorp Vault Enterprise verfügbar.
  9. Wählen Sie für die Option (Ldap) Dynamische Anmeldeinformationen verwenden die Option True (dynamisch) oder False (statisch) aus, um zwischen dynamischen und statischen Anmeldeinformationen zu wechseln. Die Standardoption ist False.

  10. Wählen Sie Erstellen. Ihr neuer Berechtigungsnachweisspeicher ist einsatzbereit.



BeyondTrust

  1. Wählen Sie im Feld Typ eine der folgenden Optionen aus:

    • BeyondTrust Password Safe – Verwaltete Konten
    • BeyondTrust Password Safe – Team-Kennwörter
  2. Geben Sie im Feld Name einen Namen für den BeyondTrust-Anmeldeinformationsspeicher an.
  3. Geben Sie im Feld BeyondTrust Host-URL die URL Ihrer geheimen Serverinstanz an.
  4. Geben Sie im Feld API-Registrierungsschlüssel den Wert des API-Registrierungsschlüssels von BeyondTrust an.
  5. Geben Sie im Feld API-Ausführung als Benutzername den BeyondTrust-Benutzernamen an, unter dem Sie die Aufrufe ausführen möchten.

BeyondTrust Password Safe – Verwaltete Konten

Wenn Sie BeyondTrust Password Safe – Verwaltete Konten ausgewählt haben, fahren Sie mit den folgenden Schritten fort:

  1. Geben Sie optional im Feld Standardname des verwalteten Systems den Systemnamen an, der vom BeyondTrust Password Safe verwaltet wird. Dieses Feld dient als Ausweich-Systemname, wenn das Feld Externer Name des Orchestrator-Assets kein Systemnamenpräfix enthält.
  2. Geben Sie im Feld System-/Kontotrennzeichen das Trennzeichen an, mit dem der Systemname vom Kontonamen im Orchestrator-Asset getrennt wird.
  3. Wählen Sie im Feld Typ des verwalteten Kontos den Typ des Kontos aus, das von BeyondTrust abgerufen werden soll:
    • system – Gibt lokale Konten zurück
    • domainlinked – Gibt Domänenkonten zurück, die mit Systemen verknüpft sind
  4. Wählen Sie Erstellen. Ihr neuer Berechtigungsnachweisspeicher ist einsatzbereit.
Hinweis: Der Systemname muss entweder im Anmeldeinformationsspeicher im Format SystemName oder im Feld Externer Name des Orchestrator-Assets im Format SystemName/AccountName angegeben werden.

BeyondTrust Password Safe – Team-Kennwörter

Wenn Sie BeyondTrust Password Safe – Team-Kennwörter auswählen, fahren Sie mit den folgenden Schritten fort:

  1. Geben Sie optional im Feld Ordnerpfadpräfix ein Standard-Ordnerpfadpräfix an. Dies wird vor allen Werten der Orchestrator-Assets eingefügt.

  2. Geben Sie im Feld Ordner-/Kontotrennzeichen das Trennzeichen ein, mit dem der Pfad vom Titel im Orchestrator-Asset getrennt wird.
  3. Wählen Sie Erstellen. Ihr neuer Berechtigungsnachweisspeicher ist einsatzbereit.



Thycotic Secret Server

  1. Wählen Sie im Feld Typ die Option Thycotic Secret Server aus.
  2. Geben Sie im Feld Name einen Namen für den neuen Anmeldeinformationsspeicher ein.
  3. Geben Sie im Feld Secret Server-URL die URL Ihrer geheimen Serverinstanz an.
  4. Geben Sie im Feld Regelname den Namen der Client-Onboarding-Regel an.
  5. Geben Sie optional im Feld Regelschlüssel den Schlüssel aus der Onboarding-Regel an. Obwohl dieser Schritt optional ist, empfehlen wir, den Regelschlüssel für eine verbesserte Sicherheit anzugeben.
  6. Geben Sie im Feld Benutzername den Slug-Namen des Felds Geheime Vorlage an, aus dem der Orchestrator den Benutzernamen beim Abrufen eines Assets vom Thycotic Secret Server abruft.
  7. Geben Sie im Feld Kennwortfeld den Slug-Namen des Felds Geheime Vorlage an, aus dem der Orchestrator das Kennwort abruft, wenn ein Asset vom Thycotic Secret Server abgerufen wird.

    Hinweis: Sie finden den Slug-Namen des Felds Geheime Vorlage unter Administrator > Geheime Vorlagen > Vorlage > Felder.


Wenn ein Asset oder ein Roboter im Orchestrator erstellt wird, wird er über den externen Namen mit einem bereits existierenden Geheimnis verknüpft. In diesem Fall ist dies die tatsächliche Geheimnis-ID vom Thycotic Secret Server.

Sie finden die geheime ID in der Route. Im folgenden Beispiel ist der Wert 5.




AWS Secrets Manager

  1. Wählen Sie im Feld Typ die Option AWS Secrets Manager oder AWS Secrets Manager (schreibgeschützt) aus.

    Die Wahl zwischen der schreibgeschützten und der schreibgeschützten Version hängt von Ihren IAM-Richtlinienberechtigungen ab.

  2. Geben Sie im Feld Name einen Namen für den neuen Anmeldeinformationsspeicher ein.
  3. Fügen Sie im Feld Zugriffsschlüssel die Zugriffsschlüssel-ID hinzu, die auf der Registerkarte Sicherheitsanmeldeinformationen Ihrer AWS IAM-Benutzerseite verfügbar ist.
  4. Fügen Sie im Feld Geheimer Schlüssel die ID des geheimen Schlüssels hinzu, die Ihnen beim Erstellen des AWS IAM-Benutzerkontos bereitgestellt wurde.
  5. Fügen Sie im Feld Region die Region hinzu, in der Ihre Geheimnisse gespeichert werden sollen, wie in Ihrem AWS-Konto angezeigt.


    Wenn Sie AWS Secrets Manager (schreibgeschützt) verwenden möchten, müssen Sie zuerst Ihre Asset- oder Roboter-Anmeldeinformationen im AWS Secrets Manager erstellen.

Bearbeiten eines Anmeldeinformationsspeichers

Navigieren Sie zu Speicher (Mandant > Anmeldeinformationen > Speicher) und wählen Sie im Menü Weitere Aktionen des gewünschten Speichers die Option Bearbeiten aus. Das Dialogfeld Anmeldeinformationsspeicher bearbeiten wird angezeigt.

Hinweis: Der Orchestrator-Datenbank-Speicher verfügt über keine bearbeitbaren Eigenschaften.

Einrichten eines standardmäßigen Anmeldeinformationsspeichers

Wenn Sie 2 oder mehr Anmeldeinformationsspeicher verwenden, können Sie auswählen, welcher Standardspeicher für Roboter und Assets verwendet wird. Der gleiche Speicher kann als Standard für beide verwendet werden, oder Sie können für jeden einen anderen Standardspeicher auswählen.

Um einen Standardspeicher auszuwählen, wählen Sie im Menü Weitere Aktionen die Option Als Speicher für Standardeinstellungen des Roboters festlegen und/oder Als Speicher für Standardeinstellungen von Assets festlegen.

Hinweis:

Durch das Ändern des Standardspeichers wird keine bestehende Roboter- oder Asset-Konfiguration geändert. Es wird lediglich festgelegt, was bei der Erstellung neuer Roboter oder Assets im Dropdownmenü Anmeldeinformationsspeicher vorab ausgewählt wird. Roboter und Assets erhalten ihre Kennwörter immer aus dem Speicher, der bei der Erstellung verwendet wurde. Um den Anmeldeinformationsspeicher für einen bestimmten Roboter oder ein bestimmtes Asset zu ändern, müssen Sie ihn auf Roboter- oder Asset-Ebene ändern.

Löschen eines Anmeldeinformationsspeichers

Um einen Anmeldeinformationsspeicher zu löschen, wählen Sie aus dem Menü Weitere Aktionen des gewünschten Speichers die Option Entfernen aus.

Wenn der ausgewählte Speicher verwendet wird, wird eine Warnung mit der Anzahl der betroffenen Roboter und Assets angezeigt. Klicken Sie auf Löschen, um das Entfernen zu bestätigen, oder auf Abbrechen. Beachten Sie, dass mindestens ein Anmeldeinformationsspeicher jederzeit aktiv sein muss. Wenn nur einer vorhanden ist, wird die Option zum Löschen nicht angezeigt.

Hinweis: Ein Anmeldeinformationsspeicher, der als Standard festgelegt wurde, kann nicht gelöscht werden. Sie müssen zunächst einen anderen Standardspeicher für den Anmeldeinformationstyp auswählen.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten