Orchestrator-Anleitung

CyberArk® CCP integration​

Voraussetzungen​

• Ein Netzwerk, das die Interkonnektivität zwischen dem Orchestrator-Dienst und dem CyberArk-Server ermöglicht.
• Der CyberArk® Central Credential Provider muss auf einer Maschine installiert sein, die HTTP-Verbindungen zulässt.
• CyberArk® Enterprise Password Vault

Erstellen einer Orchestrator-Anwendung​

1. Melden Sie sich bei CyberArk® PVWA als Benutzer an, der Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung „Benutzer verwalten“).
2. Klicken Sie auf der Registerkarte Anwendungen auf Anwendung hinzufügen. Das Fenster Anwendung hinzufügen wird angezeigt.

3. Geben Sie im Fenster Anwendung hinzufügen die folgenden Informationen an:
   • Name (Name)-Feld – ein benutzerdefinierter Name für die Anwendung, zum Beispiel Orchestrator.
   • Beschreibung – eine kurze Beschreibung, um Ihnen dabei zu helfen, den Zweck der neuen Anwendung anzugeben.
   • Ort – der Pfad der Anwendung innerhalb der Tresorhierarchie. Wenn kein Ort angegeben ist, wird die Anwendung am selben Ort wie der Benutzer, der diese Anwendung erstellt, hinzugefügt.
4. Wählen Sie Hinzufügen aus. Die Anwendung wird hinzugefügt und ihre Einzelheiten werden auf der Seite Anwendungsdetails angezeigt.
5. Aktivieren Sie das Kontrollkästchen Erweiterte Authentifizierungseinschränkungen zulassen.

• Client-Zertifikate – Das Client-Zertifikat, das für die CyberArk-Authentifizierung verwendet wird, muss mindestens 2048 Bit haben

6. Konfigurieren Sie die Authentifizierungsmethode. Wählen Sie zum Beispiel auf der Registerkarte Authentifizierung die Option Hinzufügen > Seriennummer des Zertifikats und fügen Sie die eindeutige Kennung des Clientzertifikats hinzu, das zur Authentifizierung der anfragenden Anwendung gegenüber dem CCP verwendet wird.

Erstellen eines Orchestrator-Safes​

1. In der Registerkarte Richtlinien klicken Sie im Abschnitt Zugangskontrolle (Safes) auf Safe hinzufügen. Die Seite Safe hinzufügen wird angezeigt.

2. Füllen Sie die Felder Safename und Beschreibung aus.
3. Klicken Sie Speichern an. Das Fenster Safedetails wird angezeigt.

4. Klicken Sie im Abschnitt Mitglieder (Members) auf Mitglied hinzufügen (Add Member). Das Fenster Sicheres Mitglied hinzufügen (Add Safe Member) wird angezeigt.

5. Suchen Sie nach der zuvor erstellten Anwendung (Schritte 2–6), und wählen Sie die folgenden Berechtigungen dafür aus:
   • Sichere Mitglieder ansehen (View Safe Members)
   • Konten abrufen
   • Konten auflisten
   • Zugriff auf Safe ohne Bestätigung - Nur wenn Sie eine Umgebung mit zweifacher Kontrolle und PIM-PSM v7.2 oder niedriger verwenden.

6. Klicken Sie auf Hinzufügen. Ihre Integration ist abgeschlossen und Sie können mit der Bereitstellung von CyberArk®-Anmeldeinformationsspeichern im Orchestrator beginnen. Weitere Informationen zum Speichern von Robot-Anmeldeinformationen finden Sie hier.

CyberArk® Conjur (schreibgeschützt)​

Voraussetzungen​

• Ein Netzwerk, das eine Interkonnektivität zwischen den Orchestrator-Maschinen und dem CyberArk®-Server ermöglicht.
• Ein CyberArk® Privilege-Benutzer mit Zugriff zum Erstellen von Benutzern und Safes.
• Ein CyberArk® Privilege-Benutzer mit Berechtigungen für die erforderlichen Safes und der Möglichkeit, Workloads zu erstellen.

Orchestrator-Safe zum Speichern von Anmeldeinformationen erstellen​

1. Melden Sie sich bei CyberArk® Privilege Cloud mit einem Konto an, das Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung Benutzer verwalten).
2. Wählen Sie neben dem Benutzerportal Start aus.
3. Wählen Sie unter Privilege Cloud Richtlinien aus, dann Safes, dann Safe erstellen und fügen Sie die folgenden Informationen hinzu:
   1. Fügen Sie im Schritt Eigenschaften definieren einen benutzerdefinierten Namen für den Safe hinzu und wählen Sie Weiter aus.
   2. Wählen Sie im Schritt Mitglieder auswählen die Option Systemkomponentenbenutzer für Quelle aus, suchen Sie nach Conjur Sync, wählen Sie den Conjur Cloud-Benutzer aus und wählen Sie dann Weiter aus.
   3. Wählen Sie im Schritt Safe-Berechtigungen festlegen für Berechtigungsvoreinstellungen die Option Vollständig aus und dann Safe erstellen.
4. Der neue Tresor ist jetzt unter Richtlinien sichtbar, nachdem Sie Tresore ausgewählt haben.

Konto und Workload erstellen, um auf die Anmeldeinformationen zuzugreifen​

1. Wählen Sie unter Privilege Cloud die Option Konten, dann Konto hinzufügen und dann:
   1. Wählen Sie im Schritt Systemtyp auswählen die Option Windows aus, dann Windows-Domänenkonto und dann einen vorhandenen Safe.
   2. Füllen Sie im Schritt Kontoeigenschaften definieren die Felder Adresse, Benutzername und Kennwort aus.
   3. Aktivieren Sie die Option Kontonamen anpassen, wenn Sie dem Konto einen benutzerdefinierten Namen hinzufügen möchten.
      Hinweis:

      Wenn ein Asset oder Roboter in Orchestrator erstellt wird, wird es/er mithilfe des externen Namens mit einem vorhandenen Geheimnis verknüpft. Stellen Sie sicher, dass im Orchestrator entweder der generierte oder der benutzerdefinierte Kontoname im Feld Externer Name festgelegt ist, um den CyberArk®-Kontodetails zugeordnet zu werden. Das Format data/vault/OrchestratorQA/companyname-john.doe/username stellt beispielsweise einen benutzerdefinierten Kontonamen dar, während das Format data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address einen generierten Kontonamen darstellt.

2. Sobald Sie einen Tresor und ein Konto erstellt haben, gehen Sie zum Secrets Manager-Dienst, wählen Sie Workloads und dann Workload erstellen aus.
   1. Wählen Sie im Schritt Workload-Typ die Option Sonstige aus.
   2. Geben Sie im Schritt Workload-Details einen benutzerdefinierten Namen für den Workload im Feld Name ein und wählen Sie Daten für das Feld Branch aus.
   3. Wählen Sie unter Authentifizierung im Dropdown-Menü Authenticator-Typ die Option Jwt aus.
   4. Wählen Sie im Schritt Zugriff auf Tresore den zuvor erstellten Tresor aus.
   5. Überprüfen Sie die Zusammenfassung Ihrer Konfiguration und wählen Sie dann Fertig aus.
   6. Sie können den API-Schlüssel kopieren und dann Fertig auswählen.

• Storing Robot credentials in CyberArk

CyberArk® Conjur Cloud (schreibgeschützt)​

Voraussetzungen​

• Ein Netzwerk, das eine Interkonnektivität zwischen den Orchestrator-Maschinen und dem CyberArk®-Server ermöglicht.
• Ein CyberArk® Privilege Cloud-Benutzer mit Zugriff zum Erstellen von Benutzern und Safes.
• Ein CyberArk® Privilege Cloud-Benutzer mit Berechtigungen für die erforderlichen Safes und der Möglichkeit, Workloads zu erstellen.

Orchestrator-Safe zum Speichern von Anmeldeinformationen erstellen​

1. Melden Sie sich bei CyberArk® Privilege Cloud mit einem Konto an, das Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung Benutzer verwalten).
2. Wählen Sie neben dem Benutzerportal Start aus.
3. Wählen Sie unter Privilege Cloud Richtlinien aus, dann Safes, dann Safe erstellen und fügen Sie die folgenden Informationen hinzu:
   1. Fügen Sie im Schritt Eigenschaften definieren einen benutzerdefinierten Namen für den Safe hinzu und wählen Sie Weiter aus.
   2. Wählen Sie im Schritt Mitglieder auswählen die Option Systemkomponentenbenutzer für Quelle aus, suchen Sie nach Conjur Sync, wählen Sie den Conjur Cloud-Benutzer aus und wählen Sie dann Weiter aus.
   3. Wählen Sie im Schritt Safe-Berechtigungen festlegen für Berechtigungsvoreinstellungen die Option Vollständig aus und dann Safe erstellen.
4. Der neue Tresor ist jetzt unter Richtlinien sichtbar, nachdem Sie Tresore ausgewählt haben.

Konto und Workload erstellen, um auf die Anmeldeinformationen zuzugreifen​

1. Wählen Sie unter Privilege Cloud die Option Konten, dann Konto hinzufügen und dann:
   1. Wählen Sie im Schritt Systemtyp auswählen die Option Windows aus, dann Windows-Domänenkonto und dann einen vorhandenen Safe.
   2. Füllen Sie im Schritt Kontoeigenschaften definieren die Felder Adresse, Benutzername und Kennwort aus.
   3. Aktivieren Sie die Option Kontonamen anpassen, wenn Sie dem Konto einen benutzerdefinierten Namen hinzufügen möchten.
      Hinweis:

      Wenn ein Asset oder Roboter in Orchestrator erstellt wird, wird es/er mithilfe des externen Namens mit einem vorhandenen Geheimnis verknüpft. Stellen Sie sicher, dass im Orchestrator entweder der generierte oder der benutzerdefinierte Kontoname im Feld Externer Name festgelegt ist, um den CyberArk®-Kontodetails zugeordnet zu werden. Das Format data/vault/OrchestratorQA/companyname-john.doe/username stellt beispielsweise einen benutzerdefinierten Kontonamen dar, während das Format data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address einen generierten Kontonamen darstellt.

2. Sobald Sie einen Tresor und ein Konto erstellt haben, gehen Sie zum Secrets Manager-Dienst, wählen Sie Workloads und dann Workload erstellen aus.
   1. Wählen Sie im Schritt Workload-Typ die Option Sonstige aus.
   2. Geben Sie im Schritt Workload-Details einen benutzerdefinierten Namen für die Workload in das Feld Name ein und wählen Sie Daten für das Feld Speicherort aus.
   3. Wählen Sie unter Authentifizierung die Option API-Schlüssel aus.
   4. Wählen Sie im Schritt Zugriff auf Tresore den zuvor erstellten Tresor aus.
   5. Überprüfen Sie die Zusammenfassung Ihrer Konfiguration und wählen Sie dann Fertig aus.
   6. Sie können den API-Schlüssel kopieren und dann Fertig auswählen.

• Storing Robot credentials in CyberArk

Azure Key Vault integration​

• Azure Key Vault – Ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
• Azure Key Vault (schreibgeschützt) – Ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)

Voraussetzungen​

• Die Anmeldeinformationsspeicher von Azure Key Vault verwenden die rollenbasierte Zugriffssteuerung (RBAC) von Azure für die Authentifizierung. Weisen Sie dem Dienstprinzipal, der Ihrer Anwendungsregistrierung zugeordnet ist, die entsprechende Rolle zu, abhängig vom Typ des Anmeldeinformationsspeichers:
  • Weisen Sie für Lese-/Schreib-Anmeldeinformationsspeicher die Rolle des Key Vault-Geheimnisbeauftragten zu.
  • Weisen Sie für schreibgeschützte Anmeldeinformationsspeicher die Rolle des Key Vault-Geheimnisbenutzer zu.
• In Automation Cloud Public Sector and Test Cloud Public Sector, you can only use an Azure Key Vault that is hosted by Azure Government.

Konfiguration​

1. Erstellen Sie eine neue App-Registrierung.
2. Kopieren Sie die Anwendungs-ID (Client) für die spätere Verwendung.
3. Wechseln Sie zu Verwalten > Zertifikate und Geheimschlüssel > Neuer geheimer Clientschlüssel und fügen Sie einen neuen geheimen Clientschlüssel hinzu. Notieren Sie sich die von Ihnen gewählte Gültigkeitsdauer und erstellen Sie vorher ein neues Geheimnis.
4. Kopieren Sie den Wert des Geheimnisses für die spätere Verwendung.

1. Greifen Sie auf die Seite Übersicht in Key Vault zu und kopieren Sie den Tresor-URI und die Verzeichnis-ID zur späteren Verwendung.
2. Wählen Sie im Menü auf der linken Seite die Option Zugriffssteuerung (IAM) aus.
3. Wählen Sie Hinzufügen und dann Rollenzuweisung hinzufügen aus.
4. Wählen Sie eine der folgenden Rollen aus, abhängig von Ihrem Typ des Anmeldeinformationsspeichers:
   • Key Vault-Geheimnisbeauftragter für Lese-/Schreib-Anmeldeinformationsspeicher.
   • Key Vault Geheimnisbenutzer für schreibgeschützte Anmeldeinformationsspeicher.
5. Weisen Sie dem Dienstprinzipal, der Ihrer Anwendungsregistrierung zugeordnet ist, die Rolle zu.
6. Wählen Sie Überprüfen + Zuweisen aus, um die Rollenzuweisung zu speichern.

Verwenden von Azure Key Vault (schreibgeschützt)​

• Speichern von Anmeldeinformationen von Unattended-Robotern in Azure Key Vault (schreibgeschützt)
• Speichern von Assets in Azure Key Vault (schreibgeschützt)

HashiCorp Vault-Integration​

• HashiCorp Vault – ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
• HashiCorp Vault (schreibgeschützt) – ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)

Voraussetzungen​

• Ein Netzwerk, das die Interkonnektivität zwischen dem Orchestrator-Dienst und dem HashiCorp Vault-Server ermöglicht:
  • Der API-Port, der von HashiCorp Vault für API-Anforderungen verwendet wird, muss über eine Firewall hinweg geöffnet und über das Internet erreichbar sein. Dieser Port ist 8200 in einer typischen Installation.
  • If the customer's firewall does not allow connectivity from any internet IP, Orchestrator's IP addresses must be whitelisted. You can find an up-to-date list of IPs on the Orchestrator outbound IP addresses page.
• Sie müssen eine der unterstützten Authentifizierungsmethoden konfigurieren:
  • AppRole (empfohlen)
  • UsernamePassword
  • LDAP (Lightweight Directory Access Protocol)
  • TokenSehen Sie, wie Sie die Authentifizierung konfigurieren.
• Sie müssen eine der unterstützten Geheimnis-Engines konfigurieren:
  • KeyValueV1 – Sowohl für HashiCorp Vault als auch für HashiCorp Vault (schreibgeschützt) verfügbar
  • KeyValueV2 – Sowohl für HashiCorp Vault als auch für HashiCorp Vault (schreibgeschützt) verfügbar
  • ActiveDirectory – Nur für HashiCorp Vault (schreibgeschützt) verfügbar
  • OpenLDAP – Nur für HashiCorp Vault (schreibgeschützt) verfügbar
• Die gewählte Authentifizierungsmethode muss über eine Richtlinie verfügen, die die folgenden Fähigkeiten auf dem Pfad zulässt, auf dem Sie Ihre Geheimnisse speichern wollen:
  • Für das HashiCorp Vault-Plugin (schreibgeschützt): read
  • Für das HashiCorp Vault-Plugin: create , read , update , delete und optional delete im Metadatenpfad, wenn die Secrets-Engine KeyValueV2 verwendet wird.

Konfigurieren der Integration​

Konfigurieren der Authentifizierung​

1. Öffnen Sie eine Shell innerhalb des Containers:

   assignment

   docker exec -it dev-vault sh
   docker exec -it dev-vault sh
   

2. Melden Sie sich als Root an. Stellen Sie sicher, dass das Root-Token in den Protokollen angezeigt wird, um damit eine Umgebungsvariable zu setzen, indem Sie den folgenden Befehl ausführen:

   assignment

   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   

3. Überprüfen Sie den Vault-Status, indem Sie den folgenden Befehl ausführen:

   assignment

   vault status
   vault status
   

4. Fügen Sie ein Dummy-Geheimnis für den Orchestrator in den KV-Speicher ein:

   assignment

   vault kv put secret/applications/orchestrator/testSecret Value=123456
   vault kv put secret/applications/orchestrator/testSecret Value=123456
   

5. Gewähren Sie dem Orchestrator Zugriff auf den neu erstellten secret/applications/orchestrator-Pfad. Dazu müssen Sie zuerst eine Richtlinie zum Lesen und Schreiben in diesem Pfad und allen seinen Unterpfaden erstellen, indem Sie den folgenden Befehl ausführen:

   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   

   Hinweis:

   When using a KeyValueV2 secrets engine, secrets are written and fetched at path <mount>/data/<secret-path>, as opposed to <mount>/<secret-path> in KeyValueV1. It does not change any of the CLI commands (i.e., you do not specify data in your path). However, it does change the policies, since capabilities are applied to the real path. In the previous example, the path is secret/data/applications/orchestrator/* since we are working with a KeyValueV2 secrets engine. If a KeyValueV1 were used, the path would have been secret/applications/orchestrator/*.

   Die Funktion zum Löschen im Metadatenpfad ist nur erforderlich, wenn Sie sicherstellen möchten, dass der Orchestrator beim Überprüfen der Konnektivität keine Testschlüssel hinterlässt. Wenn diese Fähigkeit nicht gewährt wird, wird ein Schlüssel erstellt und bei der Erstellung des Anmeldeinformationsspeichers im Orchestrator zurückgelassen.

6. Aktivieren Sie die Authentifizierung mit der userpass-Authentifizierungsmethode, erstellen Sie dann einen Benutzer für den Orchestrator und weisen Sie die zuvor erstellte Richtlinie zu:

   assignment

   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   

   Hinweis:

   Der Orchestrator unterstützt mehrere Authentifizierungsmodi. In der Dokumentation zu HashiCorp Vault finden Sie weitere Informationen zu deren Konfiguration.

7. Überprüfen Sie, ob Sie alles richtig konfiguriert haben, indem Sie sich anmelden und versuchen, das zuvor erstellte Geheimnis zu lesen:

   assignment

   vault login -method=userpass username=orchestrator password=123456
   vault login -method=userpass username=orchestrator password=123456
   

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator
WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

8. Nehmen Sie dieses Token und setzen Sie es anstelle des Stammtokens. Dann versuchen Sie, das Testgeheimnis zu lesen:
   assignment

   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id

Konfigurieren der Active Directory Geheimnis-Engine​

1. Aktivieren Sie die Active Directory Geheimnis-Engine, indem Sie den folgenden Befehl ausführen:
   assignment

   vault secrets enable ad
   vault secrets enable ad
   

2. Konfigurieren Sie die Anmeldeinformationen, die HashiCorp Vault für die Kommunikation mit Active Directory verwendet, um Kennwörter zu generieren:
   assignment

   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   

3. Konfigurieren Sie eine Rolle, die einen Namen im HashiCorp Vault einem Konto in Active Directory zuweist. Wenn Anwendungen Kennwörter anfordern, werden die Einstellungen für die Kennwortrotation von dieser Rolle verwaltet.
   assignment

   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   

4. Gewähren Sie orchestrator Zugriff auf seine Anmeldeinformationen bei ad/creds/orchestrator mithilfe einer Authentifizierungsmethode, z. B. AppRole.
   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   

Verwenden von HashiCorp Vault (schreibgeschützt)​

BeyondTrust-Integration​

Voraussetzungen​

• Eine Cloud-Instanz des BeyondTrust-Servers oder eine ähnliche lokale Installation
• Anmeldeinformationen für Beyond Insight

Konfigurieren der Integration​

1. Melden Sie sich bei der Cloud-Instanz des BeyondTrust-Servers oder bei einer ähnlichen lokalen Installation mit Ihren Beyond Insight-Anmeldeinformationen an.
2. Erstellen Sie eine API-Registrierung für eine UiPath Gruppe von Dienstkonten.

3. Erstellen Sie eine Authentifizierungsregel, um eingehende API-Verbindungen von UiPath zuzulassen.

4. Erstellen Sie eine neue Gruppe für UiPath Dienstkonten und fügen Sie die folgenden Funktionen hinzu:
   • Password Safe-Konto
   • Password Safe-Rolle

5. Sie müssen auch intelligente Regeln zuweisen:
   • Verwaltete Konten/Schreibgeschützt/Anfordernde Person sind für reguläre Benutzeranforderungen ausreichend.
   • Für den ISA-Zugriff ist die Assets/ISA-Rolle erforderlich.

6. Fügen Sie die API-Registrierung zur Gruppe hinzu.

7. Erstellen Sie einen neuen Benutzer und weisen Sie die UiPath Gruppe zu.

8. Die folgenden Schritte unterscheiden sich je nachdem, ob Sie BeyondTrust Password Safe – Verwaltete Konten oder BeyondTrust Password Safe – Team-Kennwörter verwenden.

1. Fügen Sie Ihre verwalteten Konten unter Verwaltete Systeme hinzu.

2. Stellen Sie sicher, dass Sie API Enabled für Ihre verwalteten Konten verwenden.

1. Gehen Sie zur Seite Team-Kennwörter.

2. Erstellen Sie optional einen neuen Ordner.
3. Wählen Sie einen Ordner aus.
4. Verwenden Sie die Option Neue Anmeldeinformationen erstellen.

Thycotic Secret Server integration​

Voraussetzungen​

• Eine Thycotic Secret Server-Cloudinstanz oder lokale Installation.

Konfigurieren der Integration​

1. Melden Sie sich bei Ihrem Secret Server-Konto an.
2. Wechseln Sie zu Admin > Benutzerverwaltung und klicken Sie auf Benutzer erstellen. Aktivieren Sie das Kontrollkästchen Anwendungskonto, um ein Anwendungskonto zu generieren.
3. Navigieren Sie zu Administrator > Alle anzeigen > Tools und Integrationen > SDK- Clientverwaltung und richten Sie eine neue Onboarding-Regel in Client-Onboarding ein . Notieren Sie sich den Namen und den Schlüssel der Onboarding-Regel.
4. Bearbeiten Sie die Onboarding-Regel und weisen Sie das in Schritt 2 erstellte Anwendungskonto zu.
5. Stellen Sie sicher, dass das Anwendungskonto, das mit der Onboarding-Regel verknüpft ist, über Berechtigungen für die Geheimnisse verfügt, auf die der Orchestrator zugreift. Sie können das Anwendungskonto einer Gruppe zuweisen und dieser Gruppe Zugriff auf die erforderlichen Ordner gewähren oder ihr expliziten Zugriff auf die Geheimnisse gewähren.

AWS Secrets Manager-Integration​

Über AWS Secrets Manager​

• AWS Secrets Manager
• AWS Secrets Manager (schreibgeschützt)

Voraussetzungen​

• Sie benötigen ein AWS-Abonnement.
• Sie müssen eine IAM-Richtlinie speziell für den Secrets Manager erstellen, die Sie der IAM-Rolle oder dem Benutzer des Kontos zuweisen.

Konfiguration​

• Die Zugriffsschlüssel-ID finden Sie auf der Registerkarte Sicherheitsanmeldeinformationen Ihres AWS IAM-Kontos.
• Die ID des geheimen Schlüssels wird erst bereitgestellt, nachdem Sie das Konto erstellt haben. Es ist daher wichtig, sie für die zukünftige Verwendung zu kopieren. Wenn Sie Ihre ID des geheimen Schlüssels versehentlich vergessen haben, müssen Sie einen weiteren Zugriffsschlüssel erstellen und dann die erforderlichen Informationen in Orchestrator ersetzen.

Verwenden von AWS Secrets Manager (schreibgeschützt)​

• Speichern der Anmeldeinformationen von Unattended-Robotern im AWS Secrets Manager (schreibgeschützt)
• Speichern von Assets im AWS Secrets Manager (schreibgeschützt)

Google Secret Manager​

• Google Secret Manager – ein Lese-Schreib-Plugin, mit dem Sie Geheimnisse direkt in Orchestrator erstellen und verwalten können.
• Google Secret Manager (schreibgeschützt) – ein schreibgeschütztes Plugin, mit dem Sie nur vorhandene Geheimnisse nutzen können. Geheime Schlüssel müssen direkt im Google Secret Manager bereitgestellt werden.

Voraussetzungen​

Konfigurieren der Integration​

1. Aktivieren Sie die Secret Manager-API.
2. Erstellen Sie ein Dienstkonto und generieren Sie einen Dienstkontoschlüssel.
3. Fügen Sie in Orchestrator einen Speicher für Zugangsdaten von Google Secret Manager hinzu.

Schritt 1: Aktivieren der Secret Manager-API​

1. Wählen Sie Ein Projekt wählen, um zur Liste der Projekte zu gelangen und das gewünschte Projekt zu wählen.
2. Suchen Sie in der Suchleiste nach Secret Manager und öffnen Sie Secret Manager in der Ergebnisliste.
3. Wählen Sie unter Secret Manager API die Option Aktivieren.

Schritt 2: Erstellen eines Dienstkontos und Generieren eines Dienstkontoschlüssels​

1. Suchen Sie in der Suchleiste nach Dienstkonten und öffnen Sie in der Ergebnisliste Dienstkonten.
2. Wählen Sie Dienstkonto erstellen.
   1. Geben Sie einen Namen für das neue Dienstkonto ein und wählen SieErstellen und fortfahren.
   2. Weisen Sie im Schritt Berechtigungen (optional) dem neuen Dienstkonto die Rolle Secret Manager Admin zu.
   3. Wählen Sie Weiter und dann Fertig.
3. Wählen Sie in der Liste der Dienstkonten das neue Konto.
4. Gehen Sie zur Registerkarte Schlüssel.
5. Wählen Sie Schlüssel hinzufügen und dann Neuen Schlüssel erstellen.
   1. Wählen Sie JSON.
   2. Wählen Sie Erstellen. Am Ende dieses Schritts wird eine JSON-Datei heruntergeladen. Speichern Sie diese Datei, da Sie sie beim Konfigurieren des Anmeldeinformationsspeichers benötigen.

Schritt 3: Hinzufügen von Google Secret Manager zu Orchestrator​

1. Gehen Sie zur Mandantenseite in Orchestrator.
2. Wählen Sie Zugangsdaten und gehen Sie zur Registerkarte Speicher.
3. Wählen Sie Speicher für Zugangsdaten hinzufügen.
4. Wählen Sie im Auswahlmenü Typ die Option Google Secret Manager.
5. Geben Sie einen Namen für Ihren Speicher für Zugangsdaten ein.
6. Geben Sie im Feld Google Cloud-Projekt-ID die Projekt-ID Ihres Google Cloud-Projekts ein.
7. Laden Sie im Feld Service Account Key json die im vorherigen Schritt heruntergeladene JSON hoch.
8. Wählen Sie Erstellen.
   Wichtig:

   • Wenn Sie ein Asset aus einem Speicher für Zugangsdaten in Google Secret Manager abrufen (Lesen-Schreiben oder Nur-Lesen), wird immer die aktuelle Version des geheimen Assets abgerufen. Stellen Sie sicher, dass die aktuelle Version die richtige ist.
   • Wenn die neueste geheime Version deaktiviert ist, schlägt der Abruf fehl. Stellen Sie sicher, dass die neueste geheime Version aktiviert ist.

Verwendung von Google Secret Manager​

Verwendung von Google Secret Manager (schreibgeschützt)​

Speichern von Assets in einem schreibgeschützten Speicher für Zugangsdaten​

• Der Asset-Name des Geheimnisses muss exakt mit dem im Google Secret Manager konfigurierten externen Namen übereinstimmen.
• Google Secret Manager darf nur Buchstaben (A-Z, a-z), Ziffern (0-9), Bindestriche (-) und Unterstriche (_) enthalten.
• Der geheime Wert muss als geheime Version mit folgender JSON-Struktur gespeichert werden:
  assignment

  {"Username": "user", "Password": "pass"}
  {"Username": "user", "Password": "pass"}
  

Speichern der Kennwörter von Unattended-Robotern​

• Der geheime Name muss mit dem externen Namen für diesen Roboter übereinstimmen.
• Wenn kein externer Name konfiguriert ist, wird stattdessen das Feld Benutzername verwendet, wobei ungültige Zeichen durch _ ersetzt werden.
• Der geheime Wert darf nur das Kennwort für den Roboter enthalten.