- Erste Schritte
- Best Practices
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Beispiele für die Einrichtung
- Speicherung von Roboterzugangsdaten in CyberArk
- Einrichten von Attended-Robotern
- Einrichten von Unattended-Robotern
- Speichern von Unattended-Roboterkennwörtern in Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- Audit
- Ressourcenkatalogdienst
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Hostverwaltung
- Identity Server
- Authentication
- Organisationsadministration
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Fehlersuche und ‑behebung
HashiCorp Vault-Integration
HashiCorp Vault ist ein Plugin, das Sie als Anmeldeinformationsspeicher mit dem Orchestrator verwenden können.
Es sind zwei Plugins enthalten:
- HashiCorp Vault – ein Lese-Schreib-Plugin (Geheimschlüssel werden über den Orchestrator erstellt)
- HashiCorp Vault (schreibgeschützt) – ein schreibgeschütztes Plugin (Sie müssen die Geheimschlüssel im Tresor direkt bereitstellen)
-
Sie müssen eine der unterstützten Authentifizierungsmethoden konfigurieren:
- AppRole (empfohlen)
- UsernamePassword
- LDAP (Lightweight Directory Access Protocol)
-
Token
Sehen Sie sich an, wie Sie die Authentifizierung konfigurieren.
-
Sie müssen eine der unterstützten Geheimnis-Engines konfigurieren:
- KeyValueV1 – sowohl für das HashiCorp Vault-Plugin als auch für das HashiCorp Vault-Plugin (schreibgeschützt) verfügbar
- KeyValueV2 – sowohl für das HashiCorp Vault-Plugin als auch für das HashiCorp Vault-Plugin (schreibgeschützt) verfügbar
- ActiveDirectory – nur für das HashiCorp Vault-Plugin (schreibgeschützt) verfügbar
-
Die gewählte Authentifizierungsmethode muss über eine Richtlinie verfügen, die die folgenden Fähigkeiten auf dem Pfad zulässt, auf dem Sie Ihre Geheimnisse speichern wollen:
- Für das HashiCorp Vault-Plugin (schreibgeschützt):
read
- Für HashiCorp Vault-Plugin:
create
,read
,update
,delete
und optionaldelete
im Metadatenpfad, wenn Sie die Geheimnis-EngineKeyValueV2
verwenden
- Für das HashiCorp Vault-Plugin (schreibgeschützt):
Im Folgenden wird anhand eines Beispiels gezeigt, wie eine Entwicklungsversion von HashiCorp Vault, die in einem Docker-Container läuft, so konfiguriert wird, dass sie als Anmeldeinformationsspeicher mit dem Orchestrator verwendet werden kann. Die Beispiele sollten an Ihre eigene Umgebung angepasst werden. Weitere Informationen finden Sie in der offiziellen Dokumentation von HashiCorp Vault.
Zum Erstellen und Lesen von Geheimnissen müssen Sie zunächst die Authentifizierungsmethode konfigurieren, indem Sie die folgenden Schritte ausführen:
Ausgabe dieses Befehls:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
Sie können auch den appRole-Orchestrator aktivieren, indem Sie den folgenden Befehl ausführen:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
Sie verfügen jetzt über eine Rollen-ID und eine Geheimnis-ID zum Konfigurieren im Orchestrator.
Führen Sie die folgenden Schritte aus, um die Active Directory Geheimnis-Engine zu konfigurieren:
Wenn Sie das HashiCorp Vault-Plugin (schreibgeschützt) verwenden, ist der Vault-Administrator für die korrekte Bereitstellung der Geheimnisse verantwortlich, die der Orchestrator verwenden wird. Das Format, in dem diese Geheimnisse bereitgestellt werden müssen, unterscheidet sich zwischen den verschiedenen Geheimnistypen (Asset- oder Roboterkennwort) und den verschiedenen Geheimnis-Engines.
Anweisungen zum Bereitstellen der Geheimnisse finden Sie unter: