CyberArk®-Integration

Bevor Sie mit der Verwendung von CyberArk® Anmeldeinformationsspeichern im Orchestrator beginnen können, müssen Sie zunächst die entsprechende Anwendung und sichere Einstellungen in der CyberArk® PVWA-Schnittstelle (Password Vault Web Access) einrichten.

Voraussetzungen

Das CyberArk® Plugin wurde in Ihrer Orchestrator UiPath.Orchestrator.dll.config-Datei wie hier beschrieben konfiguriert.
CyberArk® Enterprise Password Vault muss auf jeder Maschine installiert werden, die mit derjenigen kommunizieren kann, auf der Orchestrator installiert ist.
CyberArk® AAM (Application Access Manager) muss auf derselben Maschine wie der Orchestrator installiert sein. Für Orchestrator-Konfigurationen mit mehreren Knoten muss auf jedem Orchestrator-Knoten eine AAM-Instanz installiert sein.

Hinweis: Wenn Sie eine Orchestrator-Instanz mit einer vorhandenen CyberArk®-Konfiguration in der UiPath.Orchestrator.dll.config-Datei aktualisieren, wird ein Anmeldeinformationsspeicher CyberArk Robot Credentials mit diesen Einstellungen automatisch bei allen Mandanten erstellt und als Standardspeicher für Roboter festgelegt. Ihre vorhandenen Roboter werden in diesen neuen Anmeldeinformationsspeicher migriert.

Weitere Informationen zur Installation und Konfiguration von CyberArk®-Anwendungen finden Sie auf der offiziellen Seite.

Konfigurieren der Integration

Über CyberArk® PVWA müssen Sie die folgenden Schritte ausführen:

Erstellen einer Orchestrator-Anwendung

Melden Sie sich bei CyberArk® PVWA als Benutzer an, der Berechtigungen zur Verwaltung von Anwendungen hat (erfordert die Berechtigung „Benutzer verwalten“).
Klicken Sie auf der Registerkarte Anwendungen (Applications) auf Anwendung hinzufügen (Add Application). Das Fenster Anwendung hinzufügen (Add Application) wird angezeigt.
Geben Sie die folgenden Informationen an:
- Name (Name)-Feld – ein benutzerdefinierter Name für die Anwendung, zum Beispiel Orchestrator.
- Beschreibung – eine kurze Beschreibung, um Ihnen dabei zu helfen, den Zweck der neuen Anwendung anzugeben.
- Betriebsbesitzer-Abschnitt – optional (optionally), fügen Sie Informationen über den Betriebsbesitzer der Anwendung hinzu.
- Ort – der Pfad der Anwendung innerhalb der Tresorhierarchie. Wenn kein Ort angegeben ist, wird die Anwendung am selben Ort wie der Benutzer, der diese Anwendung erstellt, hinzugefügt.
Klicken Sie auf Hinzufügen. Die Anwendung wird hinzugefügt und ihre Einzelheiten werden auf der Seite Anwendungsdetails angezeigt.
In der Registerkarte Authentifizierung (Authentication) kreuzen Sie das Kontrollkästchen Erweiterte Authentifizierungsbeschränkungen zulassen an.
Unterstützte Authentifizierungsmethoden
- Zulässige Maschinen
- Betriebssystem Benutzer
- Pfad
  
  Aktivieren Sie die App-Einstellung Plugins.SecureStores.CyberArk.UsePowerShellCLI, um Anmeldeinformationen von einem CyberArk Vault abzurufen, wenn Sie die Pfadauthentifizierung verwenden.
Konfigurieren Sie die Authentifizierungsmethode. Klicken Sie z. B. auf der Registerkarte Zulässige Maschinen auf Hinzufügen. Das Fenster Zulässige Maschine hinzufügen wird angezeigt. Hier sollten Sie Informationen zu der/den Maschine(n) hinzufügen, auf denen der Orchestrator installiert ist.
Im Feld Adresse geben Sie die Adresse einer Maschine mithilfe des Formats IP/hostname/DNS ein.
Klicken Sie auf Hinzufügen. Die IP-Adresse ist auf der Registerkarte Zulässige Maschinen gelistet. Diese Informationen ermöglichen dem Anmeldeinformationsanbieter, sicherzustellen, dass nur Anwendungen, die auf den angegebenen Maschinen ausgeführt werden, auf ihre Kennwörter zugreifen können.
Führen Sie die Schritte 6–8 so oft wie nötig aus, um sicherzustellen, dass bei den zulässigen Servern alle Mid-Tier-Server oder alle Endpunkte, bei denen die AAM Credential Providers installiert wurden, inbegriffen sind. Dies kann der Fall sein, wenn Sie Orchestrator auf mehreren Knoten installiert haben.

Erstellen eines Orchestrator-Safes

Safes sind erforderlich, damit Sie Ihre Konten besser verwalten können. Außerdem können Sie Safe-Mitglieder hinzufügen, um eine ordnungsgemäße Autorisierung sicherzustellen. CyberArk® empfiehlt das Hinzuziehen eines Anmeldeinformationsanbieters (ein Benutzer der die vollständigen Rechte über die Anmeldeinformationen besitzt, diese vergeben und verwalten kann) und der zuvor erstellten Anwendung als Safe-Mitglieder. Letzteres ermöglicht es dem Orchestrator, die im Safe gespeicherten Passwörter zu finden und abzurufen.

In der Registerkarte Richtlinien klicken Sie im Abschnitt Zugangskontrolle (Safe) auf Safe hinzufügen. Die Seite Safe hinzufügen wird angezeigt.
Füllen Sie die Felder Safename und Beschreibung aus.
Klicken Sie Speichern an. Das Fenster Safedetails wird angezeigt.
Klicken Sie im Abschnitt Mitglieder (Members) auf Mitglied hinzufügen (Add Member). Das Fenster Sicheres Mitglied hinzufügen (Add Safe Member) wird angezeigt.
Suchen Sie nach der zuvor erstellten Anwendung (Schritte 2 - 5), damit Sie sie hinzufügen können.
Fügen Sie einen Anmeldedatenanbieter hinzu und wählen Sie die folgenden Berechtigungen dazu aus:
- Sichere Mitglieder ansehen (View Safe Members)
- Konten abrufen
- Konten auflisten
- Zugriff auf Safe ohne Bestätigung – Nur wenn Sie eine Umgebung mit zweifacher Kontrolle und PIM-PSM v7.2 oder niedriger verwenden.
  
  Wenn Sie mehrere Anmeldeinformationsanbieter für diese Integration installieren, wird empfohlen, eine Gruppe für sie zu erstellen und die Gruppe einmal mit der obigen Autorisierung zum Safe hinzuzufügen.
Klicken Sie Hinzufügen an. Eine Bestätigungsmeldung wird im Fenster Safemitglied hinzufügen angezeigt.
Fügen Sie die zuvor erstellte Anwendung als sicheres Mitglied mit der Berechtigung Konten abrufen hinzu.
Klicken Sie Hinzufügen an. Eine Bestätigungsmeldung wird im Fenster Safemitglied hinzufügen angezeigt.

Ihre Integration ist abgeschlossen und Sie können mit der Bereitstellung von CyberArk®-Anmeldeinformationsspeichern im Orchestrator beginnen. Weitere Informationen zum Speichern von Robot-Anmeldeinformationen finden Sie hier.

Auf dieser Seite