Guía del usuario de Orchestrator

Integración de CyberArk® CCP​

Requisitos previos​

• Una red que permite la interconectividad entre el servicio Orchestrator y el servidor CyberArk.
• El proveedor central de credenciales de CyberArk® debe estar instalado en una máquina que permita conexiones HTTP.
• CyberArk® Enterprise Password Vault

Crear una aplicación de Orchestrator​

1. En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).
2. En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se muestra la ventana Agregar aplicación.

3. En la ventana Agregar aplicación, especifica la siguiente información:
   • Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
   • Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.
   • Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault. Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.
4. Selecciona Añadir. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.
5. Marca la casilla de verificación Permitir restricciones de autenticación extendidas.

• Certificados de cliente: el certificado de cliente utilizado para la autenticación de CyberArk debe tener al menos 2048 bits

6. Configura el método de autenticación. Por ejemplo, en la pestaña Autenticación, selecciona Añadir > Número de serie de certificado y añade el identificador único del certificado de cliente, utilizado para autenticar la aplicación solicitante contra CCP.

Crear una caja fuerte de Orchestrator​

1. En la pestaña Políticas, en la sección Control de acceso (cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.

2. Rellena los campos Nombre de de la caja fuerte y descripción.
3. Haz clic en Guardar. Se mostrará la ventana Guardar detalles.

4. En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.

5. Busca la aplicación creada anteriormente (pasos 2-6), y selecciona los siguientes permisos para ella:
   • Ver miembros de la caja fuerte
   • Recuperar cuentas
   • Listado de cuentas
   • Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.

6. Haz clic en Agregar. Tu integración se completa y puedes empezar a aprovisionar los almacenes de credenciales de CyberArk® en Orchestrator. Para obtener información sobre el almacenamiento de las credenciales de los Robots, visita esta sección.

CyberArk® Conjur (solo lectura)​

Requisitos previos​

• Una red que permite la interconectividad entre las máquinas de Orchestrator y el servidor CyberArk®.
• Un usuario de CyberArk® Privilege con acceso para crear usuarios y cajas fuertes.
• Un usuario de CyberArk® Privilege con permisos para las cajas fuertes necesarias y la capacidad de crear cargas de trabajo.

Crear una caja fuerte de Orchestrator para almacenar credenciales​

1. En CyberArk® Privilege Cloud, inicia sesión con una cuenta con permisos para gestionar aplicaciones (requiere la autorización de Gestionar usuarios).
2. Junto al Portal del usuario, selecciona Inicio.
3. En Privilege Cloud, selecciona Políticas, luego Seguros y luego Crear Seguro, y añade la siguiente información:
   1. En el paso Definir propiedades, añade un nombre personalizado para la caja fuerte y selecciona Siguiente.
   2. En el paso Seleccionar miembros, selecciona Usuarios de componentes del sistema para Origen, busca Conjur Sync, selecciona el usuario Conjur Cloud y, luego, selecciona Siguiente.
   3. En el paso Establecer permisos de caja fuerte, selecciona Completo para preajustes de permisos y luego selecciona Crear caja fuerte.
4. La nueva caja fuerte ahora es visible en Políticas, después de seleccionar Cajas fuertes.

Crear una cuenta y carga de trabajo para acceder a las credenciales​

1. En Privilege Cloud, selecciona Cuentas, luego Añadir cuenta y luego:
   1. En el paso Seleccionar tipo de sistema, selecciona Windows, luego Cuenta de dominio de Windows y luego selecciona una caja fuerte existente.
   2. En el paso Definir propiedades de la cuenta, rellena los campos Dirección, Nombre de usuario y Contraseña.
   3. Habilita la opción Personalizar nombre de cuenta, si deseas añadir un nombre personalizado para la cuenta.
      Nota:

      Cuando se crea un activo o robot en Orchestrator, se vincula a un secreto existente utilizando el Nombre externo. Asegúrate de que, en Orchestrator, el nombre de cuenta generado o personalizado se establece en el campo Nombre externo , para que se asigne con los detalles de la cuenta de CyberArk®. Por ejemplo, el formato data/vault/OrchestratorQA/companyname-john.doe/username representa un nombre de cuenta personalizado, mientras que el formato data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address representa un nombre de cuenta generado.

2. Cuando hayas creado una caja fuerte y una cuenta, ve al servicio Gestor de secretos, selecciona Cargas de trabajo y luego Crear carga de trabajo.
   1. En el paso de Tipo de carga de trabajo, selecciona Otros.
   2. En el paso Detalles de la carga de trabajo, introduce un nombre personalizado para la carga de trabajo en el campo Nombre y selecciona datos para el campo Rama.
   3. En Autenticación, selecciona Jwt en el menú desplegable de Tipo de autenticador.
   4. En el paso Acceso a las cajas fuertes, selecciona la caja fuerte creada anteriormente.
   5. Consulta el resumen de tu configuración y selecciona Listo.
   6. Puedes copiar la clave API y luego seleccionar Listo.

• Storing Robot credentials in CyberArk

CyberArk® Conjur Cloud (solo lectura)​

Requisitos previos​

• Una red que permite la interconectividad entre las máquinas de Orchestrator y el servidor CyberArk®.
• Un usuario de CyberArk® Privilege Cloud con acceso para crear usuarios y cajas fuertes.
• Un usuario de CyberArk® Privilege Cloud con permisos para las cajas fuertes necesarias y la capacidad de crear cargas de trabajo.

Crear una caja fuerte de Orchestrator para almacenar credenciales​

1. En CyberArk® Privilege Cloud, inicia sesión con una cuenta con permisos para gestionar aplicaciones (requiere la autorización de Gestionar usuarios).
2. Junto al Portal del usuario, selecciona Inicio.
3. En Privilege Cloud, selecciona Políticas, luego Seguros y luego Crear Seguro, y añade la siguiente información:
   1. En el paso Definir propiedades, añade un nombre personalizado para la caja fuerte y selecciona Siguiente.
   2. En el paso Seleccionar miembros, selecciona Usuarios de componentes del sistema para Origen, busca Conjur Sync, selecciona el usuario Conjur Cloud y, luego, selecciona Siguiente.
   3. En el paso Establecer permisos de caja fuerte, selecciona Completo para preajustes de permisos y luego selecciona Crear caja fuerte.
4. La nueva caja fuerte ahora es visible en Políticas, después de seleccionar Cajas fuertes.

Crear una cuenta y carga de trabajo para acceder a las credenciales​

1. En Privilege Cloud, selecciona Cuentas, luego Añadir cuenta y luego:
   1. En el paso Seleccionar tipo de sistema, selecciona Windows, luego Cuenta de dominio de Windows y luego selecciona una caja fuerte existente.
   2. En el paso Definir propiedades de la cuenta, rellena los campos Dirección, Nombre de usuario y Contraseña.
   3. Habilita la opción Personalizar nombre de cuenta, si deseas añadir un nombre personalizado para la cuenta.
      Nota:

      Cuando se crea un activo o robot en Orchestrator, se vincula a un secreto existente utilizando el Nombre externo. Asegúrate de que, en Orchestrator, el nombre de cuenta generado o personalizado se establece en el campo Nombre externo , para que se asigne con los detalles de la cuenta de CyberArk®. Por ejemplo, el formato data/vault/OrchestratorQA/companyname-john.doe/username representa un nombre de cuenta personalizado, mientras que el formato data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address representa un nombre de cuenta generado.

2. Cuando hayas creado una caja fuerte y una cuenta, ve al servicio Gestor de secretos, selecciona Cargas de trabajo y luego Crear carga de trabajo.
   1. En el paso de Tipo de carga de trabajo, selecciona Otros.
   2. En el paso Detalles de la carga de trabajo, introduce un nombre personalizado para la carga de trabajo en el campo Nombre y selecciona datos para el campo Ubicación.
   3. En Autenticación, selecciona Clave API.
   4. En el paso Acceso a las cajas fuertes, selecciona la caja fuerte creada anteriormente.
   5. Consulta el resumen de tu configuración y selecciona Listo.
   6. Puedes copiar la clave API y luego seleccionar Listo.

• Storing Robot credentials in CyberArk

Integración de Azure Key Vault​

• Azure Key Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
• Azure Key Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos directamente en Key Vault).

Requisitos previos​

• Los almacenes de credenciales de Azure Key Vault utilizan la autenticación de Azure de control de acceso basado en roles (RBAC). Asigna el rol adecuado al principal de servicio asociado con el registro de tu aplicación, dependiendo del tipo de almacén de credenciales.
  • Para los almacenes de credenciales de lectura y escritura, asigna el rol de Oficial de Secretos de Key Vault.
  • Para los almacenes de credenciales de solo lectura, asigna el rol de usuario de secretos de Key Vault.
• In Automation Cloud Public Sector and Test Cloud Public Sector, you can only use an Azure Key Vault that is hosted by Azure Government.

Configuración​

1. Crea un nuevo registro de aplicaciones.
2. Copia el ID de aplicación (cliente) para usarlo más tarde.
3. Ve a Gestionar > Certificados y secretos > Nuevo secreto de cliente, y añade un nuevo secreto de cliente. Anota la fecha de caducidad que has elegido y crea antes un nuevo secreto.
4. Copia el valor del secreto para su uso más adelante.

1. Accede a la página de descripción general de Key Vault y copia el URI de Key Vault e ID del directorio ID para su uso posterior.
2. Selecciona Control de acceso (IAM) en el menú de la izquierda.
3. Selecciona Añadir y luego selecciona Añadir asignación de rol.
4. Selecciona uno de los siguientes roles, dependiendo de tu tipo de almacén de credenciales:
   • Oficial de secretos de Key Vault para almacenes de credenciales de lectura y escritura.
   • Usuario de Secretos de Key Vault para almacenes de credenciales de solo lectura.
5. Asigna el rol al principal de servicio asociado con el registro de tu aplicación.
6. Selecciona Revisar + asignar para guardar la asignación de rol.

Uso de Azure Key Vault (solo lectura)​

• Almacenamiento de credenciales de unattended robot en Azure Key Vault (solo lectura)
• Almacenamiento de activos en Azure Key Vault (solo lectura)

Integración de HashiCorp Vault​

• HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
• HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).

Requisitos previos​

• Una red que permite interconectividad entre el servicio de Orchestrator y el servidor HashiCorp Vault:
  • El puerto de API usado por HashiCorp Vault para las solicitudes de API debe abrirse a través de cualquier cortafuegos y debe ser accesible desde Internet. Dicho puerto es 8200 en una instalación típica.
  • If the customer's firewall does not allow connectivity from any internet IP, Orchestrator's IP addresses must be whitelisted. You can find an up-to-date list of IPs on the Orchestrator outbound IP addresses page.
• Debes configurar uno de los métodos de autenticación admitidos:
  • AppRole (recomendado)
  • Contraseña de nombre de usuario
  • LDAP
  • TokenConsulta cómo configurar la autenticación.
• Debes configurar uno de los motores de secretos admitidos:
  • KeyValueV1 : disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
  • KeyValueV2 : disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
  • ActiveDirectory : disponible solo para HashiCorp Vault (solo lectura)
  • OpenLDAP : disponible solo para HashiCorp Vault (solo lectura)
• El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:
  • Para el complemento HashiCorp Vault (solo lectura): read
  • Para el complemento HashiCorp Vault: create, read, update, delete y de manera opcional delete en la ruta de metadatos, si se utiliza el motor de secretos KeyValueV2.

Configurar la Integración ​

Configurar autenticación​

1. Abre un shell del contenedor:

   assignment

   docker exec -it dev-vault sh
   docker exec -it dev-vault sh
   

2. Inicia sesión como raíz. Asegúrate de que tienes el token raíz que aparece en los registros para establecer una variable de entorno con él ejecutando el siguiente comando:

   assignment

   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   

3. Comprueba el estado de Vault ejecutando el siguiente comando:

   assignment

   vault status
   vault status
   

4. Añade un secreto ficticio para Orchestrator en el almacén KV:

   assignment

   vault kv put secret/applications/orchestrator/testSecret Value=123456
   vault kv put secret/applications/orchestrator/testSecret Value=123456
   

5. Concede a Orchestrator acceso a la ruta secret/applications/orchestrator recién creada. Para ello, primero debes crear una política para leer y escribir en esta ruta y en todas sus subrutas ejecutando el siguiente comando:

   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   

   Nota:

   When using a KeyValueV2 secrets engine, secrets are written and fetched at path <mount>/data/<secret-path>, as opposed to <mount>/<secret-path> in KeyValueV1. It does not change any of the CLI commands (i.e., you do not specify data in your path). However, it does change the policies, since capabilities are applied to the real path. In the previous example, the path is secret/data/applications/orchestrator/* since we are working with a KeyValueV2 secrets engine. If a KeyValueV1 were used, the path would have been secret/applications/orchestrator/*.

   La capacidad de eliminar en la ruta de metadatos solo es necesaria si deseas asegurarte de que Orchestrator no deja atrás claves de prueba al verificar la conectividad. Si no se concede esta capacidad, se creará una clave que se dejará al crear el almacén de credenciales en Orchestrator.

6. Habilita la autenticación utilizando el userpass método de autenticación, luego crea un usuario para Orchestrator y asigna la política previamente creada:

   assignment

   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   

   Nota:

   Orchestrator admite varios modos de autenticación. Consulta la documentación de HashiCorp Vault para saber cómo configurarlos.

7. Comprueba que has configurado todo correctamente iniciando sesión e intentando leer el secreto que creaste anteriormente:

   assignment

   vault login -method=userpass username=orchestrator password=123456
   vault login -method=userpass username=orchestrator password=123456
   

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator
WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

8. Selecciona este token y ponlo en lugar del token raíz, luego intenta leer el secreto de la prueba:
   assignment

   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id

Configurar el motor de secretos de Active Directory​

1. Habilita el motor de secretos de Active Directory ejecutando el siguiente comando:
   assignment

   vault secrets enable ad
   vault secrets enable ad
   

2. Configura las credenciales que HashiCorp Vault utiliza para comunicarse con Active Directory para generar contraseñas:
   assignment

   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   

3. Configura un rol que asigne un nombre en HashiCorp Vault a una cuenta en Active Directory. Cuando las aplicaciones solicitan contraseñas, este rol gestionará la configuración de la rotación de contraseñas.
   assignment

   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   

4. Concede a orchestrator acceso a sus credenciales en ad/creds/orchestrator utilizando un método de autenticación como AppRole.
   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   

Uso de HashiCorp Vault (solo lectura)​

Integración de BeyondTrust​

Requisitos previos​

• Una instancia de BeyondTrust Server Cloud o una instalación local similar
• Credenciales de Beyond Insight

Configurar la Integración ​

1. Inicia sesión en la instancia de BeyondTrust Server Cloud o en una instalación local similar utilizando tus credenciales de Beyond Insight.
2. Crea un registro de la API para las cuentas del grupo de servicios UiPath.

3. Crea una norma de autenticación que permita las conexiones entrantes de la API desde UiPath.

4. Crea un nuevo grupo para la(s) cuenta(s) de servicio de UiPath y añade las siguientes características:
   • Cuenta segura con contraseña
   • Rol seguro con contraseña

5. También es necesario asignar reglas inteligentes:
   • las cuentas gestionadas/de solo lectura/de solicitantes son suficientes para las solicitudes normales de los usuarios.
   • Para el acceso a ISA, se necesita el rol Activos/ISA.

6. Añade el registro de la API al grupo.

7. Crea un nuevo usuario y asigna el grupo UiPath.

8. Los siguientes pasos varían en función de si se utiliza BeyondTrust Password Safe - cuentas administradas o BeyondTrust Password Safe - contraseñas de equipos.

1. Añade las cuentas administradas en Sistemas de gestión.

2. Asegúrate de utilizar la API habilitada para las cuentas administradas.

1. Ve a la página Contraseñas de equipos.

2. También se puede crear una nueva carpeta.
3. Selecciona una carpeta.
4. Utiliza la opción Crear credencial.

Integración de Secret Server de Thycotic​

Requisitos previos​

• Instalación de una instancia de Thycotic Secret Server en la nube o local.

Configurar la Integración ​

1. Inicie sesión en su cuenta de Secret Server.
2. Ve a Administrador > Gestión de usuarios y haz clic en Crear usuario. Selecciona la casilla de verificación Cuenta de aplicación para generar una cuenta de aplicación.
3. Vaya a Administrador > Ver todos > Herramientas e integraciones > Gestión de cliente SDK y configure una nueva regla de incorporación en Incorporación de cliente. Anota el nombre de regla de incorporación y la clave.
4. Edita la regla de incorporación y asigna la cuenta de aplicación creada en el paso 2.
5. Asegúrate de que la cuenta de aplicación vinculada a la regla de incorporación tiene permisos para los secretos a los que accede Orchestrator. Puedes asignar la cuenta de aplicación a un grupo y otorgar a dicho grupo acceso a las carpetas requeridas, u otorgarle acceso explícito a los secretos.

Integración de AWS Secrets Manager​

Acerca de AWS Secrets Manager​

• AWS Secrets Manager
• AWS Secrets Manager (solo lectura)

Requisitos previos​

• Necesitas disponer de una suscripción de AWS.
• Debes crear una política de IAM específica para Secrets Manager, que asignarás al usuario o al rol de IAM de la cuenta.

Configuración​

• La ID de clave de acceso se puede encontrar en la pestaña Credenciales de seguridad de tu cuenta IAM de AWS.
• El ID de clave secreta solo se proporciona después de crear la cuenta. Por lo tanto, es importante copiarlo para su uso futuro. Si pierdes u olvidas tu ID de clave secreta, debes crear otra clave de acceso y luego reemplazar la información necesaria en Orchestrator.

Usar AWS Secrets Manager (solo lectura)​

• Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
• Almacenamiento de activos en AWS Secrets Manager (solo lectura)

Gestor de secretos de Google​

• Google Secret Gestor: un complemento de lectura-escritura que te permite crear y gestionar secretos directamente desde Orchestrator.
• Google Secret Manager (solo lectura) : un complemento de solo lectura que solo te permite consumir secretos existentes. Los secretos deben aprovisionarse directamente en Google Secret Manager.

Requisitos previos​

Configurar la integración​

1. Habilita la API de Secret Gestor.
2. Crea una cuenta de servicio y genera una clave de cuenta de servicio.
3. Añade un almacén de credenciales de Google Secret Gestor en Orchestrator.

Paso 1: habilita la API de Secret Gestor​

1. Selecciona Seleccionar un proyecto para ir a la lista de proyectos y elegir el proyecto deseado.
2. En la barra de búsqueda, busca Secret Gestor y abre Secret Manager en la lista de resultados.
3. Selecciona Habilitar en API de Secret Gestor.

Paso 2: crea una cuenta de servicio y genera una clave de cuenta de servicio.​

1. En la barra de búsqueda, busca Cuentas de servicio y abre Cuentas de servicio en la lista de resultados.
2. Selecciona Crear cuenta de servicio.
   1. Escribe un nombre para la nueva cuenta de servicio y selecciona Crear y continuar.
   2. En el paso Permisos (opcional), asigna el rol de Administrador de Secret Gestor a la nueva cuenta de servicio.
   3. Selecciona Continuar y luego Listo.
3. En la lista cuentas de servicio, selecciona la nueva cuenta.
4. Dirígete a la pestaña Claves.
5. Selecciona Añadir clave y elige Crear nueva clave.
   1. Elige JSON.
   2. Selecciona Crear. Al final de este paso, se descarga un archivo JSON. Guarda este archivo, ya que lo necesitarás al configurar el almacén de credenciales.

Paso 3: añade Google Secret Gestor a Orchestrator​

1. Dirígete a la página Tenant en Orchestrator.
2. Selecciona Credenciales y ve a la pestaña Almacenes.
3. Selecciona Añadir almacén de credenciales.
4. Elige Google Secret Gestor en el menú desplegable Tipo.
5. Escribe un nombre para tu Almacén de credenciales.
6. En el campo ID de proyecto de Google Cloud, escribe el ID del proyecto de tu proyecto de Google Cloud.
7. En el campo Clave de cuenta de servicio json, carga el JSON descargado en el paso anterior.
8. Selecciona Crear.
   Importante:

   • Al recuperar un activo de un almacén de credenciales de Google Secret Gestor (lectura-escritura o solo lectura), siempre se recuperará la última versión del secreto. Asegúrate de que la última versión sea la correcta.
   • Si la última versión del secreto está deshabilitada, la recuperación fallará. Asegúrate de que esté habilitada la última versión del secreto.

Uso de Google Secret Gestor​

Uso de Google Secret Gestor (solo lectura)​

Almacenamiento de activos en un almacén de credenciales de solo lectura​

• El nombre del activo del secreto debe coincidir exactamente con el nombre externo que está configurado en Google Secret Manager.
• Google Secret Gestor solo puede contener letras (A-Z, a-z), números (0-9), guiones (-) y guiones bajos (_).
• El valor del secreto debe guardarse como una Versión de secreto con la siguiente estructura JSON:
  assignment

  {"Username": "user", "Password": "pass"}
  {"Username": "user", "Password": "pass"}
  

Almacenamiento de contraseñas de robots desatendidos​

• El nombre del secreto debe coincidir con el Nombre externo para ese robot.
• Si no se configura ningún nombre externo, se utiliza el campo Nombre de usuario en su lugar, con los caracteres no válidos reemplazados por _.
• El valor del secreto debe contener solo la contraseña para el robot.