- Erste Schritte
- Best Practices
- Organisationsmodellierung im Orchestrator
- Verwalten großer Bereitstellungen
- Beste Praktiken für die Automatisierung (Automation Best Practices)
- Optimieren von Unattended-Infrastruktur mithilfe von Maschinenvorlagen
- Organisieren von Ressourcen mit Tags
- Schreibgeschütztes Orchestrator-Replikat
- Exportieren von Rastern im Hintergrund
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Speicherung von Roboterzugangsdaten in CyberArk
- Speichern der Kennwörter von Unattended-Robotern im Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im AWS Secrets Manager (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- Konfigurieren von Automatisierungsfunktionen
- Audit
- Integrieren von Anmeldeinformationsspeichern
- Verwalten von Anmeldeinformationsspeichern
- Ressourcenkatalogdienst
- Automation Suite Robots
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Apps
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Integrationen
- Fehlersuche und ‑behebung
Orchestrator-Anleitung
Integrieren von Anmeldeinformationsspeichern
Bevor Sie mit der Verwendung von CyberArk® Anmeldeinformationsspeichern im Orchestrator beginnen können, müssen Sie zunächst die entsprechende Anwendung und sichere Einstellungen in der CyberArk® PVWA-Schnittstelle (Password Vault Web Access) einrichten.
- CyberArk® Enterprise Password Vault muss auf jeder Maschine installiert werden, die mit derjenigen kommunizieren kann, auf der Orchestrator installiert ist.
-
CyberArk® AAM (Application Access Manager) muss auf derselben Maschine wie der Orchestrator installiert sein. Für Orchestrator-Konfigurationen mit mehreren Knoten muss auf jedem Orchestrator-Knoten eine AAM-Instanz installiert sein.
Weitere Informationen zur Installation und Konfiguration von CyberArk®-Anwendungen finden Sie auf der offiziellen Seite.
Safes sind erforderlich, damit Sie Ihre Konten besser verwalten können. Außerdem können Sie Safe-Mitglieder hinzufügen, um eine ordnungsgemäße Autorisierung sicherzustellen. CyberArk® empfiehlt das Hinzuziehen eines Anmeldeinformationsanbieters (ein Benutzer der die vollständigen Rechte über die Anmeldeinformationen besitzt, diese vergeben und verwalten kann) und der zuvor erstellten Anwendung als Safe-Mitglieder. Letzteres ermöglicht es dem Orchestrator, die im Safe gespeicherten Passwörter zu finden und abzurufen.
Ihre Integration ist abgeschlossen und Sie können mit der Bereitstellung von CyberArk®-Anmeldeinformationsspeichern im Orchestrator beginnen. Weitere Informationen zum Speichern von Robot-Anmeldeinformationen finden Sie hier.
Der Central Credential Provider (CCP) ist die agentenlose Methode, die zur Integration in CyberArk verwendet wird, sodass UiPath® Anmeldeinformationen sicher aus einem Tresor abrufen kann, ohne einen Agenten auf dem Server bereitzustellen. Ein Clientzertifikat ist erforderlich, um den sicheren Abruf der Anmeldeinformationen sicherzustellen.
Bevor Sie mit der Verwendung von CyberArk® CCP-Anmeldeinformationsspeichern im Orchestrator beginnen können, müssen Sie zunächst die entsprechende Anwendung und Safe-Einstellungen in der CyberArk® PVWA-Schnittstelle (Password Vault Web Access) einrichten.
- Ein Netzwerk, das die Interkonnektivität zwischen dem Orchestrator-Dienst und dem CyberArk-Server ermöglicht.
- Der CyberArk® Central Credential Provider muss auf einer Maschine installiert sein, die HTTP-Verbindungen zulässt.
- CyberArk® Enterprise Password Vault
Weitere Informationen zur Installation und Konfiguration von CyberArk®-Anwendungen finden Sie auf der offiziellen Seite.
Safes sind erforderlich, damit Sie Ihre Konten besser verwalten können. Außerdem können Sie Safe-Mitglieder hinzufügen, um eine ordnungsgemäße Autorisierung sicherzustellen. CyberArk® empfiehlt das Hinzuziehen eines Anmeldeinformationsanbieters (ein Benutzer der die vollständigen Rechte über die Anmeldeinformationen besitzt, diese vergeben und verwalten kann) und der zuvor erstellten Anwendung als Safe-Mitglieder. Letzteres ermöglicht es dem Orchestrator, die im Safe gespeicherten Passwörter zu finden und abzurufen.
CyberArk® AAM wird nicht als out-of-the-box Lösung unterstützt, aber wir bieten eine Alternative an: den Orchestrator Credentials Proxy. Mit diesem Tool können Sie den Orchestrator und den Anmeldeinformationsspeicher Ihrer Wahl über den Proxy anstatt direkt verbinden, wodurch eine zusätzliche Sicherheitsebene hinzugefügt wird.
Der Orchestrator Credentials Proxy wurde für Cloud-Szenarien erstellt, in denen Sie möglicherweise Ihre eigenen Anmeldeinformationsspeicher-Plugins entwickeln und bereitstellen müssen. Er kann jedoch auch in lokalen Setups verwendet werden, z. B. in der Automation Suite . Dies müssen Sie tun:
-
Installieren Sie den Proxy auf der Windows-Maschine, auf der Ihr CyberArk® AAM-Client konfiguriert ist. Details finden Sie im Abschnitt Orchestrator Credentials Proxy .
-
Fügen Sie den Parameter
Features.CredentialStoreHost.Enabled
zurorchestrator-customconfig
-Konfigurationszuordnung hinzu und legen Sie ihn auftrue
fest. Details finden Sie im Abschnitt Vorbereiten des Orchestrators im Automation Suite-Handbuch. -
Richten Sie den Proxy ein, indem Sie die Anweisungen im Abschnitt Verwalten von Credential Proxies befolgen.
CyberArk® Concur Cloud ist eine SaaS-basierte, cloudagnostische Lösung für die Verwaltung von geheimen Schlüsseln. Sie ermöglicht es Organisationen, den nicht-menschlichen Zugriff auf geheime Schlüssel zu sichern und das Secret-Zero-Problem zu lösen. Um die Anmeldeinformationsspeicher von CyberArk® Concur Cloud im Orchestrator zu verwenden, müssen Sie die entsprechenden Safe-Einstellungen in der CyberArk® Privilege Cloud-Schnittstelle einrichten.
-
Ein Netzwerk, das die Interkonnektivität zwischen den Orchestrator-Maschinen und dem CyberArk® Cloud-Server ermöglicht.
-
Ein CyberArk® Privilege Cloud-Benutzer mit Zugriff zum Erstellen von Benutzern und Safes.
-
Ein CyberArk® Privilege Cloud-Benutzer mit Berechtigungen für die erforderlichen Safes und der Möglichkeit, Workloads zu erstellen.
Weitere Informationen zum Konfigurieren von CyberArk® Cloud-Anwendungen finden Sie in der offiziellen Dokumentation.
Azure Key Vault ist ein Plugin, das Sie als Anmeldeinformationsspeicher mit dem Orchestrator verwenden können.
Es sind zwei Plugins enthalten:
- Azure Key Vault – Ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
- Azure Key Vault (schreibgeschützt) – Ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)
- Azure Key Vault-Anmeldeinformationsspeicher verwenden RBAC-Authentifizierung. Azure Key Vault erfordert die Rolle „Key Vault-Geheimnisbeauftragter“, und Azure Key Vault (schreibgeschützt) erfordert die Rolle „Key Vault-Geheimnisbenutzer“.
- Das Key Vault-Plugin wird in Ihrer Orchestrator-Datei
UiPath.Orchestrator.dll.config
wie im Abschnitt Password Vault beschrieben festgelegt. - Erstellen Sie den Key Vault, der mit dem Orchestrator in Ihrem Azure-Konto verwendet werden soll. Weitere Informationen finden Sie hier in der offiziellen Dokumentation von Microsoft.
Führen Sie im Azure-Portal im Bereich App-Registrierungen die folgenden Schritte aus:
- Erstellen Sie eine neue App-Registrierung.
- Kopieren Sie die Anwendungs-ID (Client) für die spätere Verwendung.
- Wechseln Sie zu Verwalten > Zertifikate und Geheimschlüssel > Neuer geheimer Clientschlüssel und fügen Sie einen neuen geheimen Clientschlüssel hinzu. Notieren Sie sich die von Ihnen gewählte Gültigkeitsdauer und erstellen Sie vorher ein neues Geheimnis.
- Kopieren Sie den Wert des Geheimnisses für die spätere Verwendung.
Führen Sie im Azure Key Vault die folgenden Schritte aus:
- Greifen Sie auf die Seite Übersicht in Key Vault zu und kopieren Sie den Tresor-URI und die Verzeichnis-ID zur späteren Verwendung.
- Wählen Sie Einstellungen > Zugriffsrichtlinien im Menü auf der linken Seite aus.
- Klicken Sie auf Zugriffsrichtlinie hinzufügen.
Die erforderlichen Zugriffsrichtlinienberechtigungen sind
Secret Get
undSecret Set
. - Wählen Sie im Dropdown-Menü Aus Vorlage konfigurieren (optional) die Option Verwaltung von Geheimschlüsseln aus.
- Klicken Sie im Abschnitt Autorisierte Anwendung auf Keine ausgewählt, um das Feld Prinzipal auswählen zu aktivieren.
- Geben Sie den App-Registrierungsnamen ein, bestätigen Sie, dass die Anwendungs-ID korrekt ist, und wählen Sie diesen Prinzipal aus.
- Klicken Sie auf Hinzufügen.
- Klicken Sie auf Speichern.
Sie sind nun bereit, den Tresor-URI, die Verzeichnis-ID, die Anwendungs-(Client-)ID und den Wert des Geheimschlüssels zu verwenden, um einen neuen Anmeldeinformationsspeicher zu konfigurieren.
Verwenden von Azure Key Vault (schreibgeschützt)
Wenn Sie das Azure Key Vault-Plugin (schreibgeschützt) verwenden, ist der Vault-Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.
Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter:
HashiCorp Vault ist ein Plugin, das Sie als Anmeldeinformationsspeicher mit dem Orchestrator verwenden können.
Es sind zwei Plugins enthalten:
- HashiCorp Vault – ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
- HashiCorp Vault (schreibgeschützt) – ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)
-
Ein Netzwerk, das die Interkonnektivität zwischen dem Orchestrator-Dienst und dem HashiCorp Vault-Server ermöglicht:
- Der API-Port, der von HashiCorp Vault für API-Anforderungen verwendet wird, muss über eine Firewall hinweg geöffnet und über das Internet erreichbar sein. Dieser Port ist
8200
in einer typischen Installation. - Wenn die Firewall des Kunden keine Konnektivität von einer Internet-IP zulässt, müssen die IP-Adressen des Orchestrators auf die weiße Liste gesetzt werden.
- Der API-Port, der von HashiCorp Vault für API-Anforderungen verwendet wird, muss über eine Firewall hinweg geöffnet und über das Internet erreichbar sein. Dieser Port ist
-
Sie müssen eine der unterstützten Authentifizierungsmethoden konfigurieren:
- AppRole (empfohlen)
- UsernamePassword
- LDAP (Lightweight Directory Access Protocol)
- Token
Sehen Sie sich an, wie Sie die Authentifizierung konfigurieren.
-
Sie müssen eine der unterstützten Geheimnis-Engines konfigurieren:
- KeyValueV1 – Sowohl für HashiCorp Vault als auch für HashiCorp Vault (schreibgeschützt) verfügbar
- KeyValueV2 – Sowohl für HashiCorp Vault als auch für HashiCorp Vault (schreibgeschützt) verfügbar
- ActiveDirectory – Nur für HashiCorp Vault (schreibgeschützt) verfügbar
-
OpenLDAP – Nur für HashiCorp Vault (schreibgeschützt) verfügbar
-
Die gewählte Authentifizierungsmethode muss über eine Richtlinie verfügen, die die folgenden Fähigkeiten auf dem Pfad zulässt, auf dem Sie Ihre Geheimnisse speichern wollen:
- Für das HashiCorp Vault-Plugin (schreibgeschützt):
read
- Für das HashiCorp Vault-Plugin:
create
,read
,update
,delete
und optionaldelete
im Metadatenpfad, wenn die Secrets-EngineKeyValueV2
verwendet wird.
- Für das HashiCorp Vault-Plugin (schreibgeschützt):
Im Folgenden wird anhand eines Beispiels gezeigt, wie eine Entwicklungsversion von HashiCorp Vault, die in einem Docker-Container läuft, so konfiguriert wird, dass sie als Anmeldeinformationsspeicher mit dem Orchestrator verwendet werden kann. Die Beispiele sollten an Ihre eigene Umgebung angepasst werden. Weitere Informationen finden Sie in der offiziellen Dokumentation von HashiCorp Vault.
Konfigurieren der Authentifizierung
Zum Erstellen und Lesen von Geheimnissen müssen Sie zunächst die Authentifizierungsmethode konfigurieren, indem Sie die folgenden Schritte ausführen:
Ausgabe dieses Befehls:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
Sie können auch den appRole-Orchestrator aktivieren, indem Sie den folgenden Befehl ausführen:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
Sie verfügen jetzt über eine Rollen-ID und eine Geheimnis-ID zum Konfigurieren im Orchestrator.
Konfigurieren der Active Directory Geheimnis-Engine
Führen Sie die folgenden Schritte aus, um die Active Directory Geheimnis-Engine zu konfigurieren:
Verwenden von HashiCorp Vault (schreibgeschützt)
Wenn Sie das HashiCorp Vault-Plugin (schreibgeschützt) verwenden, ist der Vault-Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.
Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter:
Die BeyondTrust-Integration ist schreibgeschützt und erfolgt in Form von zwei Plugins, aus denen Sie wählen können: BeyondTrust Password Safe – Verwaltete Konten und BeyondTrust Password Safe – Team-Kennwörter.
Während BeyondTrust Password Safe – Verwaltete Konten die Anforderungen von Organisationen mit lokalen oder Active Directory-Konten erfüllt, eignet sich BeyondTrust Password Safe – Team-Kennwörter in Szenarien, in denen die Anmeldeinformationen kleiner Gruppen in einer isolierten Umgebung gespeichert werden müssen.
Die Konfiguration der beiden Plugins ist größtenteils identisch, aber es gibt auch einige geringfügige Unterschiede. Diese Seite deckt beide Plugins ab.
- Eine Cloud-Instanz des BeyondTrust-Servers oder eine ähnliche lokale Installation
- Anmeldeinformationen für Beyond Insight
BeyondTrust Password Safe – Verwaltete Konten
Wenn Sie BeyondTrust Password Safe – Verwaltete Konten verwenden, fahren Sie mit den folgenden Schritten fort:
-
Fügen Sie Ihre verwalteten Konten unter Verwaltete Systeme hinzu.
-
Stellen Sie sicher, dass Sie API Enabled für Ihre verwalteten Konten verwenden.
BeyondTrust Password Safe – Team-Kennwörter
Wenn Sie BeyondTrust Password Safe – Team-Kennwörter verwenden, fahren Sie mit den folgenden Schritten fort:
-
Gehen Sie zur Seite Team-Kennwörter.
-
Erstellen Sie optional einen neuen Ordner.
- Wählen Sie einen Ordner aus.
- Verwenden Sie die Option Neue Anmeldeinformationen erstellen.
Lesen Sie die Delinea-Dokumentation für aktuelle Informationen.
- Melden Sie sich bei Ihrem Secret Server-Konto an.
- Wechseln Sie zu Admin > Benutzerverwaltung und klicken Sie auf Benutzer erstellen. Aktivieren Sie das Kontrollkästchen Anwendungskonto, um ein Anwendungskonto zu generieren.
- Navigieren Sie zu Administrator > Alle anzeigen > Tools und Integrationen > SDK- Clientverwaltung und richten Sie eine neue Onboarding-Regel in Client-Onboarding ein. Notieren Sie sich den Namen und den Schlüssel der Onboarding-Regel.
- Bearbeiten Sie die Onboarding-Regel und weisen Sie das in Schritt 2 erstellte Anwendungskonto zu.
- Stellen Sie sicher, dass das Anwendungskonto, das mit der Onboarding-Regel verknüpft ist, über Berechtigungen für die Geheimnisse verfügt, auf die der Orchestrator zugreift. Sie können das Anwendungskonto einer Gruppe zuweisen und dieser Gruppe Zugriff auf die erforderlichen Ordner gewähren oder ihr expliziten Zugriff auf die Geheimnisse gewähren.
AWS Secrets Manager ist ein Tool, das als Anmeldeinformationsspeicher im Orchestrator verwendet werden kann.
Es verfügt über zwei Plugins:
- AWS Secrets Manager
- AWS Secrets Manager (schreibgeschützt)
Das Plugin, das Sie verwenden können, nämlich schreibgeschützt oder schreibgeschützt, wird durch Ihre AWS Identity and Access Management (IAM)-Richtlinienberechtigungen bestimmt.
Wenn Sie das schreibgeschützte Plugin verwenden möchten, müssen Sie ein Asset mit einem Satz von Anmeldeinformationen verknüpfen, die bereits im AWS Secrets Manager verfügbar sind.
So verwenden Sie diesen Dienst:
- Sie benötigen ein AWS-Abonnement.
- Sie müssen eine IAM-Richtlinie speziell für den Secrets Manager erstellen, die Sie der IAM-Rolle oder dem Benutzer des Kontos zuweisen.
Um AWS Secrets Manager mit Orchestrator zu integrieren, benötigen Sie den Zugriffsschlüssel und den geheimen Schlüssel, die generiert werden, sobald Sie ein AWS IAM-Konto erstellen.
- Die Zugriffsschlüssel-ID finden Sie auf der Registerkarte Sicherheitsanmeldeinformationen Ihres AWS IAM-Kontos.
-
Die ID des geheimen Schlüssels wird erst bereitgestellt, nachdem Sie das Konto erstellt haben. Es ist daher wichtig, sie für die zukünftige Verwendung zu kopieren.
Wenn Sie Ihre geheime Schlüssel-ID vergessen oder vergessen, müssen Sie einen anderen Zugriffsschlüssel erstellen und dann die erforderlichen Informationen im Orchestrator ersetzen.
Darüber hinaus müssen Sie die Region überprüfen, die Sie in Ihrem AWS-Konto festgelegt haben, da Sie diese beim Konfigurieren des neuen Anmeldeinformationsspeichers in das Feld Region eingeben.
Wenn Sie das AWS Secrets Manager-Plugin (schreibgeschützt) verwenden, ist der Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.
Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter:
- CyberArk®-Integration
- Voraussetzungen
- Erstellen einer Orchestrator-Anwendung
- Erstellen eines Orchestrator-Safes
- CyberArk® CCP integration
- Voraussetzungen
- Erstellen einer Orchestrator-Anwendung
- Erstellen eines Orchestrator-Safes
- CyberArk® AAM-Alternative
- CyberArk® Conjur Cloud (schreibgeschützt)
- Voraussetzungen
- Orchestrator-Safe zum Speichern von Anmeldeinformationen erstellen
- Konto und Workload erstellen, um auf die Anmeldeinformationen zuzugreifen
- Azure Key Vault integration
- Voraussetzungen
- Konfiguration
- HashiCorp Vault-Integration
- Voraussetzungen
- Konfigurieren der Integration
- BeyondTrust-Integration
- Voraussetzungen
- Konfigurieren der Integration
- Thycotic Secret Server integration
- Voraussetzungen
- Konfigurieren der Integration
- AWS Secrets Manager-Integration
- Über AWS Secrets Manager
- Voraussetzungen
- Konfiguration
- Verwenden von AWS Secrets Manager (schreibgeschützt)