orchestrator
latest
false
UiPath logo, featuring letters U and I in white

Guía del usuario de Orchestrator

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Última actualización 18 de dic. de 2024

Administrar almacenes de credenciales

Crear un Almacén de credenciales

  1. Haz clic en Añadir almacén de credenciales en la página Credenciales , en la sección Almacenes . Aparece el cuadro de diálogo Añadir almacén de credenciales .
  2. En el menú desplegable Proxy, selecciona el proxy deseado. Local contiene todos los almacenes integrados de Orchestrator. Cualquier otra opción disponible constituye los proxies que has creado en la página Agregar Credentials Proxy.Como tal, también puedes tener:
    • Un proxy conectado: esto es gestionado por Orchestrator, lo que significa que Orchestrator recupera las credenciales del proxy y las pasa al robot.

    • Un proxy desconectado: esto no lo gestiona Orchestrator, lo que significa que las credenciales se recuperan directamente del proxy antes de ser pasadas al robot.

  3. En el menú desplegable Tipo, selecciona el almacén seguro usado.
    Las opciones disponibles dependen del proxy seleccionado.
    Nota: si no se configuran complementos válidos, este campo está vacío.
  4. Los siguientes pasos variarán en función del almacén de credenciales que desees crear. Las opciones son:
    • Base de datos de Orchestrator
      Nota: Solo puedes disponer de un almacén de base de datos de Orchestrator.
    • CyberArk® Conjur Cloud
    • Azure Key Vault: elige entre Azure Key Vault y Azure Key Vault (solo lectura).
    • HashiCorp Vault: elige entre HashiCorp Vault y HashiCorp (solo lectura).
    • BeyondTrust: elige entre BeyondTrust Password Safe - cuentas administradas y BeyondTrust Password Safe - contraseñas de equipos.
    • Secret Server de Thycotic
    • AWS Secrets Manager: elige entre AWS Secrets Manager y AWS Secrets Manager (solo lectura)

Base de datos de Orchestrator

Haz clic en Crear: los almacenes de bases de datos de Orchestrator no tienen propiedades configurables.

CCP de CyberArk

Nota: Un almacén de CyberArk configurado en varios tenants utilizando el mismo ID de aplicación, Caja fuerte y Nombre de carpeta, permitirá el acceso a las credenciales almacenadas entre tenants. Para mantener la seguridad y el aislamiento en el nivel de tenant, asegúrate de que se usan diferentes configuraciones para el almacén CyberArk de cada tenant.
  1. En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
  2. En el campo ID de aplicación, escribe el ID de aplicación para tu instancia de Orchestrator desde la interfaz PVWA (Acceso web al almacén de contraseñas) de Cyberark®. Más detalles aquí.
  3. En el campo Caja fuerte CyberArk, introduce el nombre de la caja fuerte definido en CyberArk® PVWA. Más detalles aquí.
  4. En el campo Carpeta de CyberArk escribe la ubicación en la que CyberArk® almacena tus credenciales.
  5. En el campo URL del proveedor de credenciales central escribe la dirección del proveedor de credenciales central.
  6. En el campo Nombre del servicio web, introduce el nombre del servicio web del proveedor central de credenciales. Si dejas este campo vacío, se utilizará el nombre predeterminado: AIMWebService.
  7. El Certificado del cliente debe configurarse cuando la aplicación CyberArk utiliza el método de autenticación del certificado de cliente. La entrada esperada es un archivo .pfx que almacena las claves pública y privada del certificado. El certificado del cliente debe instalarse en la máquina donde está implementado CyberArk CCP AIMWebservice.
    Nota:

    El certificado del cliente lo utiliza la credencial de CyberArk proporcionada para autenticar la aplicación definida en el almacén de credenciales de Orchestrator. Consulta la documentación oficial de CyberArk para obtener detalles sobre los métodos de autenticación de aplicaciones.

    El certificado de cliente es un archivo de formato binario PKCS12 que almacena la(s) clave(s) pública(s) de la cadena de certificados y la clave privada.

    CyberArk CCP utiliza claves de certificado de 2048 bits.

    Si el certificado de cliente está codificado en base 64, ejecuta el siguiente comando certutil para decodificarlo en formato binario:

    certutil -decode client_certificate_encoded.pfx client_certificate.pfx

  8. En el campo Contraseña de certificado de cliente, escribe la contraseña del certificado de cliente.
  9. Debe configurarse el Certificado de raíz de servidor cuando AIMWebService de CCP de CyberArk utiliza un certificado de CA de raíz autofirmado para solicitudes HTTP entrantes. Se utiliza en la validación de la cadena de certificados del enlace TLS de https. La entrada prevista es un archivo .crt o .cer que almacena la clave pública del certificado de CA de raíz.
  10. La opción Permitir autenticación de usuario del sistema operativo solo se muestra cuando el valor del parámetro Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication se establece en true. La opción permite la autenticación utilizando las credenciales del usuario actualmente iniciado sesión en la máquina de Orchestrator.
    Nota: asegúrate de establecer la infraestructura adecuada realizando los cambios necesarios en IIS tanto para Orchestrator como para CyberArk.
  11. Selecciona Crear. Tu nuevo almacén de credenciales está listo para utilizarse.


CyberArk Conjur Cloud (solo lectura)

Nota:

Un almacén CyberArk Conjur Cloud configurado con el mismo ID de aplicación, caja fuerte y nombre de carpeta en todos los tenants permite el acceso a las credenciales entre tenants. Para mantener la seguridad y el aislamiento en el nivel de tenant, asegúrate de utilizar diferentes configuraciones para cada tenant del almacén CyberArk® Conjur Cloud.

  1. En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
  2. En el campo URL de CyberArk Conjur Cloud, añade tu URL privada de CyberArk (por ejemplo, https://[your-company-name].secretsmgr.cyberark.cloud).
  3. En el campo Nombre de inicio de sesión, copia el nombre completo de la carga de trabajo de CyberArk Conjur Cloud y pégalo en Orchestrator en el formato host/data/<Workload_name>.
  4. En el campo de la clave API, añade la clave API generada al crear la carga de trabajo. Si alguna vez olvidas la clave API, siempre puedes generar una nueva desde Conjur Cloud, pero asegúrate de cambiarla también en Orchestrator.
  5. En el campo opcional de Prefijo de ID variable, introduce un prefijo para añadir a una ruta de variable a la que deseas acceder. Por ejemplo, data/vault/<Safe_Name>.
    Nota: el prefijo se añade al campo Nombre externo del robot o activo cuando se utiliza un almacenamiento.
    Por ejemplo, si utilizamos el prefijo /data/vault/Safe_Name y el nombre externo Machine, las variables a leer son /data/vault/Safe_Name/Machine/username y /data/vault/Safe_Name/Machine/password.

Azure Key Vault

Los almacenes de credenciales Key Vault usan autenticación de tipo RBAC. Tras crear un principal de servicio, sigue estos pasos:

  1. En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
  2. En el campo Uri de Key Vault escribe la dirección de tu Key Vault de Azure.Es https://<vault_name>.vault.azure.net/.
  3. En el campo ID del directorio, introduce el ID de directorio que se encuentra en el portal de Azure.

  4. En el campo ID de cliente escribe la ID de aplicación de la sección Registros de aplicación de Azure AD en la que se registró la aplicación de Orchestrator.
  5. En el campo Secreto de cliente, introduce el secreto necesario para autenticar la cuenta del cliente introducida en el paso anterior.
  6. Selecciona Crear. Tu nuevo almacén de credenciales está listo para utilizarse.


Nota:
Cuando accedes a un almacén de claves de Azure desde una nube diferente a la pública, debes establecer la variable de entorno AZURE_AUTHORITY_HOST en el valor correspondiente (es decir, "AZURE_AUTHORITY_HOST": "https://login.microsoftonline.us/"). Para obtener más información sobre los valores, consulta la documentación de la autenticación de Microsoft Entra y las nubes nacionales: plataforma de identidad de Microsoft .

HashiCorp Vault

  1. En el campo Tipo, selecciona HashiCorp Vault o HashiCorp Vault (solo lectura) como almacén de credenciales.
  2. En el campo Nombre, especifica un nombre para el almacén de credenciales de HashiCorp Vault.
  3. En el campo Uri de Vault, indica el URI a la API HTTP de HashiCorp Vault.
  4. Indica tu método de autenticación preferido en el campo Tipo de autenticación. Dependiendo de la opción que elijas, debes configurar campos adicionales:

    • AppRole: es el método de autenticación recomendado. Si eliges esta opción, asegúrate de configurar también los siguientes campos:

      • ID de rol: indica el ID de rol que se utilizará con el método de autenticación de AppRole.
      • ID de secreto: introduce el ID de secreto que se utilizará con el tipo de autenticación de AppRole.
    • Nombre de usuario y contraseña: si seleccionas esta opción, asegúrate de configurar también los siguientes campos:

      • Nombre de usuario: introduce el nombre de usuario que se utilizará con Contraseña de nombre de usuario.
      • Contraseña: indica la contraseña que se utilizará con el tipo de autenticación Contraseña de nombre de usuario.
    • Ldap: si seleccionas esta opción, asegúrate de configurar también los siguientes campos:

      • Nombre de usuario: especifica el nombre de usuario que se va a utilizar con el tipo de autenticación LDAP.
      • Contraseña: indica la contraseña que se utilizará con el tipo de autenticación LDAP.
    • Token: si seleccionas esta opción, asegúrate de configurar también el siguiente campo:

      • Token: introduce el token que se va a utilizar con el tipo de autenticación Token.
    • En el campo Motor de secretos, selecciona el motor de secretos que se utilizará. Las opciones son:
      • KeyValueV1
      • KeyValueV2
      • Active Directory
      • OpenLDAP
      • LDAP
  5. En el campo opcional Ruta de montaje para autenticación, puedes especificar una ruta de montaje personalizada.Puedes montar el mismo método de autenticación con dos configuraciones diferentes, en dos rutas diferentes.

  6. En el campo Ruta de montaje del motor de secretos, proporciona la ruta del motor de secretos. Si no se proporciona, se utiliza kv de forma predeterminada para KeyValueV1, kv-v2, KeyValueV2 y ad ActiveDirectory.
  7. Introduce el prefijo de ruta que se utilizará para todos los secretos almacenados en el campo Ruta de datos.
  8. En el campo Espacio de nombres, especifica el espacio de nombres que se utilizará. Solo disponible en HashiCorp Vault Enterprise.
  9. Para la opción Usar credenciales dinámicas (Ldap), selecciona Verdadero (dinámico) o Falso (estático) para cambiar entre credenciales dinámicas y estáticas. La opción predeterminada es Falso.

  10. Selecciona Crear. Tu nuevo almacén de credenciales está listo para utilizarse.



BeyondTrust

  1. En el campo Tipo, selecciona una de las siguientes opciones:

    • BeyondTrust Password Safe - cuentas administradas
    • BeyondTrust Password Safe - contraseñas de equipos
  2. En el campo Nombre, especifica el nombre del almacén de credenciales de BeyondTrust.
  3. En el campo URL del host de BeyondTrust, especifica la URL de su instancia de servidor de secretos.
  4. En el campo Clave de registro de la API, indica el valor de la clave de registro de API de BeyondTrust.
  5. En el campo Ejecutar API como nombre de usuario, especifica el nombre de usuario de BeyondTrust con el que deseas ejecutar las llamadas.

BeyondTrust Password Safe - cuentas administradas

Si elegiste BeyondTrust Password Seguro: cuentas administradas, continúa con los siguientes pasos:

  1. Opcionalmente, en el campo Nombre del sistema administrado predeterminado, indica el nombre del sistema gestionado por la caja fuerte de contraseñas de BeyondTrust. Este campo sirve como Nombre del sistema alternativo si el campo Nombre externo de Orchestrator no contiene un prefijo de Nombre del sistema.
  2. En el campo Delimitador de cuenta del sistema, introduce el delimitador utilizado para dividir el nombre del sistema del nombre de la cuenta en el activo de Orchestrator.
  3. En el campo Tipo de cuenta administrada, selecciona el tipo de cuenta que se recuperará de BeyondTrust:
    • sistema: devuelve cuentas locales
    • domainlink: devuelve cuentas de dominio vinculadas a sistemas
  4. Selecciona Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
Nota: El Nombre del sistema debe especificarse en el almacén de credenciales en el formato SystemName o en el campo Nombre externo de Orchestrator en el formato SystemName/AccountName.

BeyondTrust Password Safe - contraseñas de equipos

Si elegiste BeyondTrust Password Seguro: contraseñas de equipo, continúa con los siguientes pasos:

  1. Opcionalmente, en el campo Prefijo de la ruta de la carpeta, indica un prefijo de ruta de la carpeta predeterminado. Se añadirá delante de todos los valores de los activos de Orchestrator.

  2. En el campo Delimitador de carpetas/cuenta, introduce el delimitador utilizado para dividir la ruta del título en los activos de Orchestrator.
  3. Selecciona Crear. Tu nuevo almacén de credenciales está listo para utilizarse.



Secret Server de Thycotic

  1. En el campo Tipo, selecciona Secret Server de Thycotic.
  2. En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
  3. En el campo URL de Secret Server, especifica la URL de tu instancia de Secret Server.
  4. En el campo Nombre de regla, proporciona el nombre de regla de incorporación del cliente.
  5. De forma opcional, en el campo Clave de regla, indica la clave de la regla de incorporación. Aunque este paso es opcional, recomendamos especificar la Clave de regla para mayor seguridad.
  6. En el campo Campo de nombre de usuario, especifique el nombre slug del campo Plantilla de Secret del que sacará Orchestrator el nombre de usuario al recuperar un activo de Secret Server de Thycotic.
  7. En el campo Campo de contraseña, indica el nombre slug del campo Plantilla de Secret del que sacará Orchestrator la contraseña al recuperar un activo de Secret Server de Thycotic.

    Nota: puedes encontrar el nombre del campo Plantilla secreta en Admin > Plantillas secretas > Platilla > Campos.


Cuando en Orchestrator se crea un activo o un robot, se vincula a un secreto preexistente usando el nombre externo. En este caso, se trata de la ID de Secret real del Secret Server de Thycotic.

La ID de Secret se puede encontrar en la ruta. En el siguiente ejemplo,, su valor es 5.




AWS Secrets Manager

  1. En el campo Tipo, selecciona AWS Secrets Manager o AWS Secrets Manager (solo lectura).

    La elección entre la versión de solo lectura y la de lectura y escritura depende de los permisos de su política de IAM.

  2. En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
  3. En el campo Clave de acceso, agrega la ID de clave de acceso disponible en la pestaña Credenciales de seguridad de tu página de usuario de IAM de AWS.
  4. En el campo Clave secreta, agrega la ID de clave secreta que se te proporcionó cuando creaste la cuenta de usuario de IAM de AWS.
  5. En el campo Región, agrega la región donde quieres que se almacenen tus secretos, tal como se muestra en tu cuenta de AWS.


    Si quieres usar AWS Secrets Manager (solo lectura), primero necesitas crear tu activo o credenciales de robot en AWS Secrets Manager.

Modificar un Almacén de credenciales

Dirígete a Tiendas (Tenant > Credenciales > Tiendas) y en el menú Más acciones de la tienda deseada, selecciona Editar. Se mostrará el cuadro de diálogo Editar almacén de credenciales.

Nota: El almacén de base de datos de Orchestrator no tiene ninguna propiedad editable.

Configuración de un Almacén de credenciales predeterminado

Al usar dos o más almacenes de credenciales, puedes seleccionar cuál es el almacén predeterminado que se usa para robots y activos. El mismo almacén puede utilizarse como predeterminado para ambos, o puedes seleccionar un almacén predeterminado diferente para cada uno de ellos.

Para seleccionar un almacén predeterminado. en el menú Más acciones, selecciona Establecer como almacén de robots predeterminado y/o Seleccionar como almacén de activos predeterminado.

Nota:

Al cambiar el almacén predeterminado no se modifica la configuración de un robot o activo existente, sino que solo se controla lo que aparece preseleccionado en el menú desplegable Almacenes de credenciales al crear nuevos robots o activos. Los robots y los activos siempre obtienen sus contraseñas del almacén que se utilizó al crearlos. Para cambiar el almacén de credenciales para un determinado robot o activo, debes cambiarlo a nivel de robot o activo.

Eliminar un Almacén de credenciales

Para eliminar un almacén de credenciales, selecciona Eliminar en el menú Más acciones del almacén deseado.

Si el almacén seleccionado está en uso, aparecerá un cuadro de diálogo de advertencia con el número de robots y activos que se verán afectados. Haz clic en Eliminar para confirmar la eliminación o en Cancelar para abortar el proceso. Ten en cuenta que debes tener al menos un almacén de credenciales activo en todo momento. Si solo hay uno, no aparecerá la opción de eliminarlo.

Nota: no se puede eliminar un almacén de credenciales designado como predeterminado. Primero debes asignar un almacén predeterminado diferente para el tipo de credenciales.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.