- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Ejemplos de configuración
- Almacenar credenciales de robots en CyberArk
- Configuración de los robots atendidos
- Configuración de los robots desatendidos
- Almacenamiento de contraseñas de robot desatendido en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Auditoría
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Integraciones
- Robots clásicos
- Solución de problemas
Integración de HashiCorp Vault
HashiCorp Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.
Se incluyen dos complementos:
- HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
- HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).
-
Debes configurar uno de los métodos de autenticación admitidos:
- AppRole (recomendado)
- Contraseña de nombre de usuario
- LDAP
-
Token
Consulta cómo configurar la autenticación.
-
Debes configurar uno de los motores de secretos admitidos:
- KeyValueV1: disponible para los complementos HashiCorp Vault y HashiCorp Vault (solo lectura).
- KeyValueV2: disponible para los complementos HashiCorp Vault y HashiCorp Vault (solo lectura).
- ActiveDirectory: disponible solo para el complemento HashiCorp Vault (solo lectura).
-
El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:
- Para el complemento HashiCorp Vault (solo lectura):
read
- Para el complemento HashiCorp Vault:
create
,read
,update
,delete
y de manera opcionaldelete
en la ruta de metadatos, si se utiliza el motor de secretosKeyValueV2
- Para el complemento HashiCorp Vault (solo lectura):
El siguiente es un ejemplo de cómo configurar una versión de desarrollo de HashiCorp Vault, que se ejecuta en un contenedor Docker, para utilizarse como almacén de credenciales con Orchestrator. Los ejemplos deben adaptarse a tu propio entorno. Consulta la documentación oficial de HashiCorp Vault para obtener más información.
Para empezar a crear y leer secretos, primero hay que configurar el método de autenticación realizando los siguientes pasos:
Salida de este comando:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
También puedes habilitar appRole Orchestrator ejecutando el siguiente comando:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
Ahora tendrás un ID de rol y un ID secreto para configurar en Orchestrator.
Para configurar el motor de secretos de Active Directory, realiza los pasos siguientes:
Cuando se utiliza el complemento HashiCorp Vault (solo lectura), el administrador de Vault es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.
Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente: