orchestrator
2024.10
true
UiPath logo, featuring letters U and I in white

Orchestrator-Anleitung

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Letzte Aktualisierung 22. Nov. 2024

Integrieren von Anmeldeinformationsspeichern

CyberArk®-Integration

Bevor Sie mit der Verwendung von CyberArk® Anmeldeinformationsspeichern im Orchestrator beginnen können, müssen Sie zunächst die entsprechende Anwendung und sichere Einstellungen in der CyberArk® PVWA-Schnittstelle (Password Vault Web Access) einrichten.

Voraussetzungen

  • CyberArk® Enterprise Password Vault muss auf jeder Maschine installiert werden, die mit derjenigen kommunizieren kann, auf der Orchestrator installiert ist.
  • CyberArk® AAM (Application Access Manager) muss auf derselben Maschine wie der Orchestrator installiert sein. Für Orchestrator-Konfigurationen mit mehreren Knoten muss auf jedem Orchestrator-Knoten eine AAM-Instanz installiert sein.

Weitere Informationen zur Installation und Konfiguration von CyberArk®-Anwendungen finden Sie auf der offiziellen Seite.

Erstellen einer Orchestrator-Anwendung

  1. Melden Sie sich bei CyberArk® PVWA als Benutzer an, der Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung „Benutzer verwalten“).
  2. Klicken Sie auf der Registerkarte Anwendungen (Applications) auf Anwendung hinzufügen (Add Application). Das Fenster Anwendung hinzufügen (Add Application) wird angezeigt.


  3. Geben Sie die folgenden Informationen an:
    • Name (Name)-Feld – ein benutzerdefinierter Name für die Anwendung, zum Beispiel Orchestrator.
    • Beschreibung – eine kurze Beschreibung, um Ihnen dabei zu helfen, den Zweck der neuen Anwendung anzugeben.
    • Betriebsbesitzer-Abschnitt – optional (optionally), fügen Sie Informationen über den Betriebsbesitzer der Anwendung hinzu.
    • Ort – der Pfad der Anwendung innerhalb der Tresorhierarchie. Wenn kein Ort angegeben ist, wird die Anwendung am selben Ort wie der Benutzer, der diese Anwendung erstellt, hinzugefügt.
  4. Klicken Sie auf Hinzufügen. Die Anwendung wird hinzugefügt und ihre Einzelheiten werden auf der Seite Anwendungsdetails angezeigt.
  5. In der Registerkarte Authentifizierung (Authentication) kreuzen Sie das Kontrollkästchen Erweiterte Authentifizierungsbeschränkungen zulassen an.

    Unterstützte Authentifizierungsmethoden

    • Zulässige Maschinen
    • Betriebssystem Benutzer
    • Pfad

  6. Konfigurieren Sie die Authentifizierungsmethode. Klicken Sie z. B. auf der Registerkarte Zulässige Maschinen auf Hinzufügen. Das Fenster Zulässige Maschine hinzufügen wird angezeigt. Hier sollten Sie Informationen zu der/den Maschine(n) hinzufügen, auf denen der Orchestrator installiert ist.
  7. Im Feld Adresse geben Sie die Adresse einer Maschine mithilfe des Formats IP/hostname/DNS ein.
  8. Klicken Sie auf Hinzufügen. Die IP-Adresse ist auf der Registerkarte Zulässige Maschinen gelistet. Diese Informationen ermöglichen dem Anmeldeinformationsanbieter, sicherzustellen, dass nur Anwendungen, die auf den angegebenen Maschinen ausgeführt werden, auf ihre Kennwörter zugreifen können.
  9. Führen Sie die Schritte 6–8 so oft wie nötig aus, um sicherzustellen, dass bei den zulässigen Servern alle Mid-Tier-Server oder alle Endpunkte, bei denen die AAM Credential Providers installiert wurden, inbegriffen sind. Dies kann der Fall sein, wenn Sie Orchestrator auf mehreren Knoten installiert haben.

Erstellen eines Orchestrator-Safes

Safes sind erforderlich, damit Sie Ihre Konten besser verwalten können. Außerdem können Sie Safe-Mitglieder hinzufügen, um eine ordnungsgemäße Autorisierung sicherzustellen. CyberArk® empfiehlt das Hinzuziehen eines Anmeldeinformationsanbieters (ein Benutzer der die vollständigen Rechte über die Anmeldeinformationen besitzt, diese vergeben und verwalten kann) und der zuvor erstellten Anwendung als Safe-Mitglieder. Letzteres ermöglicht es dem Orchestrator, die im Safe gespeicherten Passwörter zu finden und abzurufen.

  1. In der Registerkarte Richtlinien klicken Sie im Abschnitt Zugangskontrolle (Safe) auf Safe hinzufügen. Die Seite Safe hinzufügen wird angezeigt.


  2. Füllen Sie die Felder Safename und Beschreibung aus.
  3. Klicken Sie Speichern an. Das Fenster Safedetails wird angezeigt.


  4. Klicken Sie im Abschnitt Mitglieder (Members) auf Mitglied hinzufügen (Add Member). Das Fenster Sicheres Mitglied hinzufügen (Add Safe Member) wird angezeigt.
  5. Suchen Sie nach der zuvor erstellten Anwendung (Schritte 2 - 5), damit Sie sie hinzufügen können.
  6. Fügen Sie einen Anmeldedatenanbieter hinzu und wählen Sie die folgenden Berechtigungen dazu aus:
    • Sichere Mitglieder ansehen (View Safe Members)
    • Konten abrufen
    • Konten auflisten
    • Zugriff auf Safe ohne BestätigungNur wenn Sie eine Umgebung mit zweifacher Kontrolle und PIM-PSM v7.2 oder niedriger verwenden.

      Wenn Sie mehrere Anmeldeinformationsanbieter für diese Integration installieren, wird empfohlen, eine Gruppe für sie zu erstellen und die Gruppe einmal mit der obigen Autorisierung zum Safe hinzuzufügen.

  7. Klicken Sie Hinzufügen an. Eine Bestätigungsmeldung wird im Fenster Safemitglied hinzufügen angezeigt.
  8. Fügen Sie die zuvor erstellte Anwendung als sicheres Mitglied mit der Berechtigung Konten abrufen hinzu.
  9. Klicken Sie Hinzufügen an. Eine Bestätigungsmeldung wird im Fenster Safemitglied hinzufügen angezeigt.

Ihre Integration ist abgeschlossen und Sie können mit der Bereitstellung von CyberArk®-Anmeldeinformationsspeichern im Orchestrator beginnen. Weitere Informationen zum Speichern von Robot-Anmeldeinformationen finden Sie hier.

CyberArk® CCP integration

Der Central Credential Provider (CCP) ist die agentenlose Methode, die zur Integration in CyberArk verwendet wird, sodass UiPath® Anmeldeinformationen sicher aus einem Tresor abrufen kann, ohne einen Agenten auf dem Server bereitzustellen. Ein Clientzertifikat ist erforderlich, um den sicheren Abruf der Anmeldeinformationen sicherzustellen.

Bevor Sie mit der Verwendung von CyberArk® CCP-Anmeldeinformationsspeichern im Orchestrator beginnen können, müssen Sie zunächst die entsprechende Anwendung und Safe-Einstellungen in der CyberArk® PVWA-Schnittstelle (Password Vault Web Access) einrichten.

Voraussetzungen

  • Ein Netzwerk, das die Interkonnektivität zwischen dem Orchestrator-Dienst und dem CyberArk-Server ermöglicht.
  • Der CyberArk® Central Credential Provider muss auf einer Maschine installiert sein, die HTTP-Verbindungen zulässt.
  • CyberArk® Enterprise Password Vault

Weitere Informationen zur Installation und Konfiguration von CyberArk®-Anwendungen finden Sie auf der offiziellen Seite.

Erstellen einer Orchestrator-Anwendung

  1. Melden Sie sich bei CyberArk® PVWA als Benutzer an, der Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung „Benutzer verwalten“).
  2. Klicken Sie auf der Registerkarte Anwendungen auf Anwendung hinzufügen. Das Fenster Anwendung hinzufügen wird angezeigt.


  3. Geben Sie im Fenster Anwendung hinzufügen die folgenden Informationen an:
    • Name (Name)-Feld – ein benutzerdefinierter Name für die Anwendung, zum Beispiel Orchestrator.
    • Beschreibung – eine kurze Beschreibung, um Ihnen dabei zu helfen, den Zweck der neuen Anwendung anzugeben.
    • Ort – der Pfad der Anwendung innerhalb der Tresorhierarchie. Wenn kein Ort angegeben ist, wird die Anwendung am selben Ort wie der Benutzer, der diese Anwendung erstellt, hinzugefügt.



  4. Klicken Sie auf Hinzufügen. Die Anwendung wird hinzugefügt und ihre Einzelheiten werden auf der Seite Anwendungsdetails angezeigt.
  5. Aktivieren Sie das Kontrollkästchen Erweiterte Authentifizierungseinschränkungen zulassen.

    Unterstützte Authentifizierungsmethode:

    • Zulässige Maschinen
    • Betriebssystem Benutzer
    • Client-Zertifikate – Das Client-Zertifikat, das für die CyberArk-Authentifizierung verwendet wird, muss mindestens 2048 Bit haben
  6. Konfigurieren Sie die Authentifizierungsmethode. Klicken Sie beispielsweise auf der Registerkarte Authentifizierung auf Hinzufügen > Zertifikatsseriennummer, und fügen Sie die eindeutige Kennung des Clientzertifikats hinzu, das zum Authentifizieren der anfordernden Anwendung bei CCP verwendet wird.


Erstellen eines Orchestrator-Safes

Safes sind erforderlich, damit Sie Ihre Konten besser verwalten können. Außerdem können Sie Safe-Mitglieder hinzufügen, um eine ordnungsgemäße Autorisierung sicherzustellen. CyberArk® empfiehlt das Hinzuziehen eines Anmeldeinformationsanbieters (ein Benutzer der die vollständigen Rechte über die Anmeldeinformationen besitzt, diese vergeben und verwalten kann) und der zuvor erstellten Anwendung als Safe-Mitglieder. Letzteres ermöglicht es dem Orchestrator, die im Safe gespeicherten Passwörter zu finden und abzurufen.

  1. In der Registerkarte Richtlinien klicken Sie im Abschnitt Zugangskontrolle (Safes) auf Safe hinzufügen. Die Seite Safe hinzufügen wird angezeigt.


  2. Füllen Sie die Felder Safename und Beschreibung aus.
  3. Klicken Sie Speichern an. Das Fenster Safedetails wird angezeigt.


  4. Klicken Sie im Abschnitt Mitglieder (Members) auf Mitglied hinzufügen (Add Member). Das Fenster Sicheres Mitglied hinzufügen (Add Safe Member) wird angezeigt.


  5. Suchen Sie nach der zuvor erstellten Anwendung (Schritte 2–6), und wählen Sie die folgenden Berechtigungen dafür aus:
    • Sichere Mitglieder ansehen (View Safe Members)
    • Konten abrufen
    • Konten auflisten
    • Zugriff auf Safe ohne Bestätigung - Nur wenn Sie eine Umgebung mit zweifacher Kontrolle und PIM-PSM v7.2 oder niedriger verwenden.

      Wenn Sie mehrere Anmeldeinformationsanbieter für diese Integration installieren, wird empfohlen, eine Gruppe für sie zu erstellen und die Gruppe einmal mit der obigen Autorisierung zum Safe hinzuzufügen.



  6. Klicken Sie auf Hinzufügen. Ihre Integration ist abgeschlossen und Sie können mit der Bereitstellung von CyberArk®-Anmeldeinformationsspeichern im Orchestrator beginnen. Weitere Informationen zum Speichern von Robot-Anmeldeinformationen finden Sie hier.

CyberArk® AAM-Alternative

Wichtig: Wir empfehlen diese Lösung nicht und raten, sie nur als vorübergehende Problemumgehung während der Migration zu CyberArk® CCP zu verwenden.

CyberArk® AAM wird nicht als out-of-the-box Lösung unterstützt, aber wir bieten eine Alternative an: den Orchestrator Credentials Proxy. Mit diesem Tool können Sie den Orchestrator und den Anmeldeinformationsspeicher Ihrer Wahl über den Proxy anstatt direkt verbinden, wodurch eine zusätzliche Sicherheitsebene hinzugefügt wird.

Der Orchestrator Credentials Proxy wurde für Cloud-Szenarien erstellt, in denen Sie möglicherweise Ihre eigenen Anmeldeinformationsspeicher-Plugins entwickeln und bereitstellen müssen. Er kann jedoch auch in lokalen Setups verwendet werden, z. B. in der Automation Suite . Dies müssen Sie tun:

  1. Installieren Sie den Proxy auf der Windows-Maschine, auf der Ihr CyberArk® AAM-Client konfiguriert ist. Details finden Sie im Abschnitt Orchestrator Credentials Proxy .

  2. Fügen Sie den Parameter Features.CredentialStoreHost.Enabled zur orchestrator-customconfig-Konfigurationszuordnung hinzu und legen Sie ihn auf true fest. Details finden Sie im Abschnitt Vorbereiten des Orchestrators im Automation Suite-Handbuch.
  3. Richten Sie den Proxy ein, indem Sie die Anweisungen im Abschnitt Verwalten von Credential Proxies befolgen.

CyberArk® Conjur Cloud (schreibgeschützt)

CyberArk® Concur Cloud ist eine SaaS-basierte, cloudagnostische Lösung für die Verwaltung von geheimen Schlüsseln. Sie ermöglicht es Organisationen, den nicht-menschlichen Zugriff auf geheime Schlüssel zu sichern und das Secret-Zero-Problem zu lösen. Um die Anmeldeinformationsspeicher von CyberArk® Concur Cloud im Orchestrator zu verwenden, müssen Sie die entsprechenden Safe-Einstellungen in der CyberArk® Privilege Cloud-Schnittstelle einrichten.

Voraussetzungen

  • Ein Netzwerk, das die Interkonnektivität zwischen den Orchestrator-Maschinen und dem CyberArk® Cloud-Server ermöglicht.

  • Ein CyberArk® Privilege Cloud-Benutzer mit Zugriff zum Erstellen von Benutzern und Safes.

  • Ein CyberArk® Privilege Cloud-Benutzer mit Berechtigungen für die erforderlichen Safes und der Möglichkeit, Workloads zu erstellen.

Weitere Informationen zum Konfigurieren von CyberArk® Cloud-Anwendungen finden Sie in der offiziellen Dokumentation.

Orchestrator-Safe zum Speichern von Anmeldeinformationen erstellen

  1. Melden Sie sich bei CyberArk® Privilege Cloud mit einem Konto an, das Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung Benutzer verwalten).
  2. Wählen Sie neben dem Benutzerportal Start aus.
  3. Wählen Sie unter Privilege Cloud Richtlinien aus, dann Safes, dann Safe erstellen und fügen Sie die folgenden Informationen hinzu:
    1. Fügen Sie im Schritt Safe-Eigenschaften definieren einen benutzerdefinierten Namen für den Safe hinzu und klicken Sie auf Weiter.
    2. Wählen Sie im Schritt Safe-Mitglieder auswählen die Option Systemkomponentenbenutzer für Quelle aus, suchen Sie nach Conjur Sync, wählen Sie den Conjur Cloud-Benutzer aus und klicken Sie dann auf Weiter.
    3. Wählen Sie im Schritt Safe-Berechtigungen festlegen für Berechtigungsvoreinstellungen die Option Vollständig aus und dann Safe erstellen.
  4. Der neue Safe ist jetzt unter Richtlinien sichtbar, nachdem Sie Safes ausgewählt haben.

Konto und Workload erstellen, um auf die Anmeldeinformationen zuzugreifen

Um auf die Safes zuzugreifen, die Sie in CyberArk® erstellt haben, benötigen Sie auch ein Konto in Privilege Cloud und eine Workload in Concur Cloud.

  1. Wählen Sie unter Privilege Cloud die Option Konten aus, dann Konto hinzufügen und dann:
    1. Wählen Sie im Schritt Systemtyp auswählen die Option Windows aus, dann Windows-Domänenkonto und dann einen vorhandenen Safe.
    2. Füllen Sie im Schritt Kontoeigenschaften definieren die Felder Adresse, Benutzername und Kennwort aus.
    3. Aktivieren Sie die Option Kontonamen anpassen, wenn Sie dem Konto einen benutzerdefinierten Namen hinzufügen möchten.
    Hinweis: Wenn ein Asset oder ein Roboter im Orchestrator erstellt wird, wird es oder er über den externen Namen mit einem existierenden geheimen Schlüssel verknüpft. Stellen Sie sicher, dass im Orchestrator entweder der generierte oder der benutzerdefinierte Kontoname im Feld Externer Name festgelegt ist, um den CyberArk®-Kontodetails zugeordnet zu werden.
    Beispielsweise stellt das Format data/vault/OrchestratorQA/companyname-john.doe/username einen benutzerdefinierten Kontonamen dar, während das Format data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address einen generierten Kontonamen darstellt.
  2. Nachdem Sie einen Safe und ein Konto erstellt haben, wechseln Sie zum Conjur Cloud-Dienst, wählen Sie Ressourcen aus, dann Erstellen und dann Workload.
    1. Wählen Sie im Schritt Workload-Typ die Option Sonstige aus.
    2. Geben Sie im Schritt Workload-Details einen benutzerdefinierten Namen für die Workload in das Feld Name ein und wählen Sie Daten für das Feld Speicherort aus.
    3. Wählen Sie unter Authentifizierung die Option API-Schlüssel aus.
    4. Wählen Sie im Schritt Zugriff auf Safes den zuvor erstellten Safe aus.
    5. Überprüfen Sie die Zusammenfassung Ihrer Konfiguration und wählen Sie dann Fertig aus.

    6. Sie können den API-Schlüssel kopieren und dann Fertig auswählen.
    Anweisungen zum Bereitstellen der Geheimnisse finden Sie auf dieser Seite:

Azure Key Vault integration

Azure Key Vault ist ein Plugin, das Sie als Anmeldeinformationsspeicher mit dem Orchestrator verwenden können.

Es sind zwei Plugins enthalten:

  • Azure Key Vault – Ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
  • Azure Key Vault (schreibgeschützt) – Ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)

Voraussetzungen

  • Azure Key Vault-Anmeldeinformationsspeicher verwenden RBAC-Authentifizierung. Azure Key Vault erfordert die Rolle „Key Vault-Geheimnisbeauftragter“, und Azure Key Vault (schreibgeschützt) erfordert die Rolle „Key Vault-Geheimnisbenutzer“.
  • Das Key Vault-Plugin wird in Ihrer Orchestrator-Datei UiPath.Orchestrator.dll.config wie im Abschnitt Password Vault beschrieben festgelegt.
  • Erstellen Sie den Key Vault, der mit dem Orchestrator in Ihrem Azure-Konto verwendet werden soll. Weitere Informationen finden Sie hier in der offiziellen Dokumentation von Microsoft.

Konfiguration

Führen Sie im Azure-Portal im Bereich App-Registrierungen die folgenden Schritte aus:

  1. Erstellen Sie eine neue App-Registrierung.
  2. Kopieren Sie die Anwendungs-ID (Client) für die spätere Verwendung.
  3. Wechseln Sie zu Verwalten > Zertifikate und Geheimschlüssel > Neuer geheimer Clientschlüssel und fügen Sie einen neuen geheimen Clientschlüssel hinzu. Notieren Sie sich die von Ihnen gewählte Gültigkeitsdauer und erstellen Sie vorher ein neues Geheimnis.
  4. Kopieren Sie den Wert des Geheimnisses für die spätere Verwendung.

Führen Sie im Azure Key Vault die folgenden Schritte aus:

  1. Greifen Sie auf die Seite Übersicht in Key Vault zu und kopieren Sie den Tresor-URI und die Verzeichnis-ID zur späteren Verwendung.
  2. Wählen Sie Einstellungen > Zugriffsrichtlinien im Menü auf der linken Seite aus.
  3. Klicken Sie auf Zugriffsrichtlinie hinzufügen.
    Die erforderlichen Zugriffsrichtlinienberechtigungen sind Secret Get und Secret Set.
  4. Wählen Sie im Dropdown-Menü Aus Vorlage konfigurieren (optional) die Option Verwaltung von Geheimschlüsseln aus.
  5. Klicken Sie im Abschnitt Autorisierte Anwendung auf Keine ausgewählt, um das Feld Prinzipal auswählen zu aktivieren.
  6. Geben Sie den App-Registrierungsnamen ein, bestätigen Sie, dass die Anwendungs-ID korrekt ist, und wählen Sie diesen Prinzipal aus.
  7. Klicken Sie auf Hinzufügen.
  8. Klicken Sie auf Speichern.

Sie sind nun bereit, den Tresor-URI, die Verzeichnis-ID, die Anwendungs-(Client-)ID und den Wert des Geheimschlüssels zu verwenden, um einen neuen Anmeldeinformationsspeicher zu konfigurieren.

Verwenden von Azure Key Vault (schreibgeschützt)

Wenn Sie das Azure Key Vault-Plugin (schreibgeschützt) verwenden, ist der Vault-Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.

Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter:

HashiCorp Vault-Integration

HashiCorp Vault ist ein Plugin, das Sie als Anmeldeinformationsspeicher mit dem Orchestrator verwenden können.

Es sind zwei Plugins enthalten:

  • HashiCorp Vault – ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
  • HashiCorp Vault (schreibgeschützt) – ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)

Voraussetzungen

  • Ein Netzwerk, das die Interkonnektivität zwischen dem Orchestrator-Dienst und dem HashiCorp Vault-Server ermöglicht:

    • Der API-Port, der von HashiCorp Vault für API-Anforderungen verwendet wird, muss über eine Firewall hinweg geöffnet und über das Internet erreichbar sein. Dieser Port ist 8200 in einer typischen Installation.
    • Wenn die Firewall des Kunden keine Konnektivität von einer Internet-IP zulässt, müssen die IP-Adressen des Orchestrators auf die weiße Liste gesetzt werden.
  • Sie müssen eine der unterstützten Authentifizierungsmethoden konfigurieren:

  • Sie müssen eine der unterstützten Geheimnis-Engines konfigurieren:

    • KeyValueV1 – Sowohl für HashiCorp Vault als auch für HashiCorp Vault (schreibgeschützt) verfügbar
    • KeyValueV2 – Sowohl für HashiCorp Vault als auch für HashiCorp Vault (schreibgeschützt) verfügbar
    • ActiveDirectory – Nur für HashiCorp Vault (schreibgeschützt) verfügbar
    • OpenLDAP – Nur für HashiCorp Vault (schreibgeschützt) verfügbar

  • Die gewählte Authentifizierungsmethode muss über eine Richtlinie verfügen, die die folgenden Fähigkeiten auf dem Pfad zulässt, auf dem Sie Ihre Geheimnisse speichern wollen:

    • Für das HashiCorp Vault-Plugin (schreibgeschützt): read
    • Für das HashiCorp Vault-Plugin: create , read , update , delete und optional delete im Metadatenpfad, wenn die Secrets-Engine KeyValueV2 verwendet wird.

Konfigurieren der Integration

Im Folgenden wird anhand eines Beispiels gezeigt, wie eine Entwicklungsversion von HashiCorp Vault, die in einem Docker-Container läuft, so konfiguriert wird, dass sie als Anmeldeinformationsspeicher mit dem Orchestrator verwendet werden kann. Die Beispiele sollten an Ihre eigene Umgebung angepasst werden. Weitere Informationen finden Sie in der offiziellen Dokumentation von HashiCorp Vault.

Konfigurieren der Authentifizierung

Zum Erstellen und Lesen von Geheimnissen müssen Sie zunächst die Authentifizierungsmethode konfigurieren, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie eine Shell innerhalb des Containers:
    docker exec -it dev-vault shdocker exec -it dev-vault sh
  2. Melden Sie sich als Root an. Stellen Sie sicher, dass das Root-Token in den Protokollen angezeigt wird, um damit eine Umgebungsvariable zu setzen, indem Sie den folgenden Befehl ausführen:
    export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
  3. Überprüfen Sie den Vault-Status, indem Sie den folgenden Befehl ausführen:
    vault statusvault status
  4. Fügen Sie ein Dummy-Geheimnis für den Orchestrator in den KV-Speicher ein:
    vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456
  5. Gewähren Sie dem Orchestrator Zugriff auf den neu erstellten secret/applications/orchestrator-Pfad. Dazu müssen Sie zuerst eine Richtlinie zum Lesen und Schreiben in diesem Pfad und allen seinen Unterpfaden erstellen, indem Sie den folgenden Befehl ausführen:
    cat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOF
    Hinweis:
    Wenn Sie eine KeyValueV2-Geheimnis-Engine verwenden, werden die Geheimnisse am Pfad <mount>/data/<secret-path> geschrieben und abgerufen, im Gegensatz zu <mount>/<secret-path> in KeyValueV1. Die CLI-Befehle werden nicht geändert (d. h. Sie geben keine Daten in Ihrem Pfad an).
    Es ändert jedoch die Richtlinien, da Funktionen auf den realen Pfad angewendet werden. Im vorherigen Beispiel ist der Pfad secret/data/applications/orchestrator/* , da wir mit einer KeyValueV2-Secrets-Engine arbeiten. Bei Verwendung eines KeyValueV1 wäre der Pfad secret/applications/orchestrator/* gewesen.

    Die Funktion zum Löschen im Metadatenpfad ist nur erforderlich, wenn Sie sicherstellen möchten, dass der Orchestrator beim Überprüfen der Konnektivität keine Testschlüssel hinterlässt. Wenn diese Fähigkeit nicht gewährt wird, wird ein Schlüssel erstellt und bei der Erstellung des Anmeldeinformationsspeichers im Orchestrator zurückgelassen.

  6. Aktivieren Sie die Authentifizierung mit der userpass-Authentifizierungsmethode, erstellen Sie dann einen Benutzer für den Orchestrator und weisen Sie die zuvor erstellte Richtlinie zu:
    vault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
    Hinweis: Der Orchestrator unterstützt mehrere Authentifizierungsmodi. In der Dokumentation zu HashiCorp Vault finden Sie weitere Informationen zu deren Konfiguration.
  7. Überprüfen Sie, ob Sie alles richtig konfiguriert haben, indem Sie sich anmelden und versuchen, das zuvor erstellte Geheimnis zu lesen:
    vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

    Ausgabe dieses Befehls:

    WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestrator
  8. Nehmen Sie dieses Token und setzen Sie es anstelle des Stammtokens. Dann versuchen Sie, das Testgeheimnis zu lesen:
    export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecret

Ausgabe dieses Befehls:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
Hinweis:

Sie können auch den appRole-Orchestrator aktivieren, indem Sie den folgenden Befehl ausführen:

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Sie verfügen jetzt über eine Rollen-ID und eine Geheimnis-ID zum Konfigurieren im Orchestrator.

Konfigurieren der Active Directory Geheimnis-Engine

Führen Sie die folgenden Schritte aus, um die Active Directory Geheimnis-Engine zu konfigurieren:

  1. Aktivieren Sie die Active Directory Geheimnis-Engine, indem Sie den folgenden Befehl ausführen:
    vault secrets enable advault secrets enable ad
  2. Konfigurieren Sie die Anmeldeinformationen, die HashiCorp Vault für die Kommunikation mit Active Directory verwendet, um Kennwörter zu generieren:
    vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'
  3. Konfigurieren Sie eine Rolle, die einen Namen im HashiCorp Vault einem Konto in Active Directory zuweist. Wenn Anwendungen Kennwörter anfordern, werden die Einstellungen für die Kennwortrotation von dieser Rolle verwaltet.
    vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
  4. Gewähren Sie orchestrator Zugriff auf seine Anmeldeinformationen bei ad/creds/orchestrator mithilfe einer Authentifizierungsmethode, z. B. AppRole.
    cat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOF

Verwenden von HashiCorp Vault (schreibgeschützt)

Wenn Sie das HashiCorp Vault-Plugin (schreibgeschützt) verwenden, ist der Vault-Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.

Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter:

BeyondTrust-Integration

Die BeyondTrust-Integration ist schreibgeschützt und erfolgt in Form von zwei Plugins, aus denen Sie wählen können: BeyondTrust Password Safe – Verwaltete Konten und BeyondTrust Password Safe – Team-Kennwörter.

Während BeyondTrust Password Safe – Verwaltete Konten die Anforderungen von Organisationen mit lokalen oder Active Directory-Konten erfüllt, eignet sich BeyondTrust Password Safe – Team-Kennwörter in Szenarien, in denen die Anmeldeinformationen kleiner Gruppen in einer isolierten Umgebung gespeichert werden müssen.

Die Konfiguration der beiden Plugins ist größtenteils identisch, aber es gibt auch einige geringfügige Unterschiede. Diese Seite deckt beide Plugins ab.

Voraussetzungen

  • Eine Cloud-Instanz des BeyondTrust-Servers oder eine ähnliche lokale Installation
  • Anmeldeinformationen für Beyond Insight

Konfigurieren der Integration

  1. Melden Sie sich bei der Cloud-Instanz des BeyondTrust-Servers oder bei einer ähnlichen lokalen Installation mit Ihren Beyond Insight-Anmeldeinformationen an.
  2. Erstellen Sie eine API-Registrierung für eine UiPath Gruppe von Dienstkonten.


  3. Erstellen Sie eine Authentifizierungsregel, um eingehende API-Verbindungen von UiPath zuzulassen.


  4. Erstellen Sie eine neue Gruppe für UiPath Dienstkonten und fügen Sie die folgenden Funktionen hinzu:
    • Password Safe-Konto
    • Password Safe-Rolle



  5. Sie müssen auch intelligente Regeln zuweisen:
    • Verwaltete Konten/Schreibgeschützt/Anfordernde Person sind für reguläre Benutzeranforderungen ausreichend.
    • Für den ISA-Zugriff ist die Assets/ISA-Rolle erforderlich.



  6. Fügen Sie die API-Registrierung zur Gruppe hinzu.


  7. Erstellen Sie einen neuen Benutzer und weisen Sie die UiPath Gruppe zu.


  8. Die folgenden Schritte unterscheiden sich je nachdem, ob Sie BeyondTrust Password Safe – Verwaltete Konten oder BeyondTrust Password Safe – Team-Kennwörter verwenden.

BeyondTrust Password Safe – Verwaltete Konten

Wenn Sie BeyondTrust Password Safe – Verwaltete Konten verwenden, fahren Sie mit den folgenden Schritten fort:

  1. Fügen Sie Ihre verwalteten Konten unter Verwaltete Systeme hinzu.

  2. Stellen Sie sicher, dass Sie API Enabled für Ihre verwalteten Konten verwenden.



BeyondTrust Password Safe – Team-Kennwörter

Wenn Sie BeyondTrust Password Safe – Team-Kennwörter verwenden, fahren Sie mit den folgenden Schritten fort:

  1. Gehen Sie zur Seite Team-Kennwörter.

  2. Erstellen Sie optional einen neuen Ordner.

  3. Wählen Sie einen Ordner aus.
  4. Verwenden Sie die Option Neue Anmeldeinformationen erstellen.

Thycotic Secret Server integration

Hinweis: Thycotic wurde aufgrund einer Fusion in Delinea umbenannt . Bitte beachten Sie dies, wenn Sie Ihre Anmeldeinformationsspeicher-Integrationen konfigurieren.

Voraussetzungen

  • Eine Thycotic Secret Server-Cloudinstanz oder lokale Installation.

Konfigurieren der Integration

Wichtig:

Lesen Sie die Delinea-Dokumentation für aktuelle Informationen.

  1. Melden Sie sich bei Ihrem Secret Server-Konto an.
  2. Wechseln Sie zu Admin > Benutzerverwaltung und klicken Sie auf Benutzer erstellen. Aktivieren Sie das Kontrollkästchen Anwendungskonto, um ein Anwendungskonto zu generieren.
  3. Navigieren Sie zu Administrator > Alle anzeigen > Tools und Integrationen > SDK- Clientverwaltung und richten Sie eine neue Onboarding-Regel in Client-Onboarding ein. Notieren Sie sich den Namen und den Schlüssel der Onboarding-Regel.
  4. Bearbeiten Sie die Onboarding-Regel und weisen Sie das in Schritt 2 erstellte Anwendungskonto zu.
  5. Stellen Sie sicher, dass das Anwendungskonto, das mit der Onboarding-Regel verknüpft ist, über Berechtigungen für die Geheimnisse verfügt, auf die der Orchestrator zugreift. Sie können das Anwendungskonto einer Gruppe zuweisen und dieser Gruppe Zugriff auf die erforderlichen Ordner gewähren oder ihr expliziten Zugriff auf die Geheimnisse gewähren.

AWS Secrets Manager-Integration

Über AWS Secrets Manager

AWS Secrets Manager ist ein Tool, das als Anmeldeinformationsspeicher im Orchestrator verwendet werden kann.

Es verfügt über zwei Plugins:

  • AWS Secrets Manager
  • AWS Secrets Manager (schreibgeschützt)

Das Plugin, das Sie verwenden können, nämlich schreibgeschützt oder schreibgeschützt, wird durch Ihre AWS Identity and Access Management (IAM)-Richtlinienberechtigungen bestimmt.

Wenn Sie das schreibgeschützte Plugin verwenden möchten, müssen Sie ein Asset mit einem Satz von Anmeldeinformationen verknüpfen, die bereits im AWS Secrets Manager verfügbar sind.

Voraussetzungen

So verwenden Sie diesen Dienst:

  • Sie benötigen ein AWS-Abonnement.
  • Sie müssen eine IAM-Richtlinie speziell für den Secrets Manager erstellen, die Sie der IAM-Rolle oder dem Benutzer des Kontos zuweisen.

Konfiguration

Um AWS Secrets Manager mit Orchestrator zu integrieren, benötigen Sie den Zugriffsschlüssel und den geheimen Schlüssel, die generiert werden, sobald Sie ein AWS IAM-Konto erstellen.

  • Die Zugriffsschlüssel-ID finden Sie auf der Registerkarte Sicherheitsanmeldeinformationen Ihres AWS IAM-Kontos.
  • Die ID des geheimen Schlüssels wird erst bereitgestellt, nachdem Sie das Konto erstellt haben. Es ist daher wichtig, sie für die zukünftige Verwendung zu kopieren.

    Wenn Sie Ihre geheime Schlüssel-ID vergessen oder vergessen, müssen Sie einen anderen Zugriffsschlüssel erstellen und dann die erforderlichen Informationen im Orchestrator ersetzen.

Darüber hinaus müssen Sie die Region überprüfen, die Sie in Ihrem AWS-Konto festgelegt haben, da Sie diese beim Konfigurieren des neuen Anmeldeinformationsspeichers in das Feld Region eingeben.

Verwenden von AWS Secrets Manager (schreibgeschützt)

Wenn Sie das AWS Secrets Manager-Plugin (schreibgeschützt) verwenden, ist der Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.

Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter:

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten