- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Ejemplos de configuración
- Almacenar credenciales de robots en CyberArk
- Configuración de los robots atendidos
- Configuración de los robots desatendidos
- Almacenamiento de contraseñas de robot desatendido en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Auditoría
- Administrar almacenes de credenciales
- Integración de CyberArk® CCP
- Integración de Azure Key Vault
- Integración de HashiCorp Vault
- Integración de BeyondTrust
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Integraciones
- Robots clásicos
- Solución de problemas
Administrar almacenes de credenciales
Base de datos de Orchestrator
- Haz clic en Crear, los almacenes de base de datos de Orchestrator no tienen propiedades configurables.
CyberArk
- En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
- En el campo ID de aplicación, escribe el ID de aplicación para tu instancia de Orchestrator desde la interfaz PVWA (Acceso web al almacén de contraseñas) de Cyberark®. Más detalles aquí.
- En el campo Caja fuerte de CyberArk escribe el nombre de la caja fuerte tal como se define en el PVWA de CyberArk®. Más detalles aquí.
- En el campo Carpeta de CyberArk escribe la ubicación en la que CyberArk® almacena tus credenciales.
-
Haz clic en Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
CCP de CyberArk
- En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
- En el campo ID de aplicación, escribe el ID de aplicación para tu instancia de Orchestrator desde la interfaz PVWA (Acceso web al almacén de contraseñas) de Cyberark®. Más detalles aquí.
- En el campo Caja fuerte CyberArk, introduce el nombre de la caja fuerte definido en CyberArk® PVWA. Más detalles aquí.
- En el campo Carpeta de CyberArk escribe la ubicación en la que CyberArk® almacena tus credenciales.
- En el campo URL del proveedor de credenciales central escribe la dirección del proveedor de credenciales central.
-
En el campo Nombre del servicio web, introduce el nombre del servicio web del proveedor central de credenciales. Si dejas este campo vacío, se utilizará el nombre predeterminado: AIMWebService.
10. Debe configurarse el certificado de cliente cuando la aplicación CyberArk utiliza el método de autenticación de certificado de cliente. La entrada prevista es un archivo.pfx
que almacena la clave privada y la pública del certificado. Es necesario instalar el certificado de cliente en la máquina donde se implementa CyberArk CCP AIMWebservice.Nota:El certificado del cliente lo utiliza la credencial de CyberArk proporcionada para autenticar la aplicación definida en el almacén de credenciales de Orchestrator. Consulta la documentación oficial de CyberArk para obtener detalles sobre los métodos de autenticación de aplicaciones.
El certificado de cliente es un archivo de formato binario PKCS12 que almacena la(s) clave(s) pública(s) de la cadena de certificados y la clave privada.
Si el certificado de cliente está codificado en base 64, ejecuta el siguiente comandocertutil
para decodificarlo en formato binario:certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- En el campo Contraseña de certificado de cliente, escribe la contraseña del certificado de cliente.
- Debe configurarse el Certificado de raíz de servidor cuando AIMWebService de CCP de CyberArk utiliza un certificado de CA de raíz autofirmado para solicitudes HTTP entrantes. Se utiliza en la validación de la cadena de certificados del enlace TLS de https. La entrada prevista es un
.crt
archivo que almacena la clave pública del certificado de CA de raíz. -
Haz clic en Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
Azure Key Vault
Los almacenes de credenciales Key Vault usan autenticación de tipo RBAC. Tras crear un principal de servicio, sigue estos pasos:
-
En el campo Nombre, escribe un nombre para el nuevo almacén de credenciales.
-
En el campo Uri de Key Vault escribe la dirección de tu Key Vault de Azure.Es
https://<vault_name>.vault.azure.net/
. -
En el campo ID del directorio, introduce el ID de directorio que se encuentra en el portal de Azure.
-
En el campo ID de cliente escribe la ID de aplicación de la sección Registros de aplicación de Azure AD en la que se registró la aplicación de Orchestrator.
-
En el campo Secreto de cliente, introduce el secreto necesario para autenticar la cuenta del cliente introducida en el paso anterior.
-
Haz clic en Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
HashiCorp Vault
- En el campo Tipo, selecciona HashiCorp Vault o HashiCorp Vault (solo lectura) como almacén de credenciales.
- En el campo Nombre, especifica un nombre para el almacén de credenciales de HashiCorp Vault.
- En el campo Uri de Vault, indica el URI a la API HTTP de HashiCorp Vault.
-
Indica tu método de autenticación preferido en el campo Tipo de autenticación. En función de la opción que elijas, deberás configurar campos adicionales:
-
AppRole: es el método de autenticación recomendado. Si eliges esta opción, asegúrate de configurar también los siguientes campos:
- ID de rol: indica el ID de rol que se utilizará con el método de autenticación de AppRole.
- ID de secreto: introduce el ID de secreto que se utilizará con el tipo de autenticación de AppRole.
-
Contraseña de nombre de usuario: si eliges esta opción, asegúrate de configurar también los campos que se indican a continuación.
- Nombre de usuario: introduce el nombre de usuario que se utilizará con Contraseña de nombre de usuario.
- Contraseña: indica la contraseña que se utilizará con el tipo de autenticación Contraseña de nombre de usuario.
-
Ldap: si eliges esta opción, asegúrate de configurar también los campos que se indican a continuación.
- Nombre de usuario: especifica el nombre de usuario que se va a utilizar con el tipo de autenticación LDAP.
- Contraseña: indica la contraseña que se utilizará con el tipo de autenticación LDAP.
-
Token: si eliges esta opción, asegúrate de configurar también el campo que se indica a continuación.
- Token: introduce el token que se va a utilizar con el tipo de autenticación Token.
-
- En el campo Motor de secretos, indica el motor de secretos que se utilizará. Las opciones son:
- KeyValueV1
- KeyValueV2
- Active Directory
- En el campo Ruta de montaje del motor de secretos, proporciona la ruta del motor de secretos. Si no se proporciona, se utiliza
kv
de forma predeterminada para KeyValueV1,kv-v2
, KeyValueV2 yad
ActiveDirectory. - Introduce el prefijo de ruta que se utilizará para todos los secretos almacenados en el campo Ruta de datos.
- En el campo Espacio de nombres, especifica el espacio de nombres que se utilizará. Solo disponible en HashiCorp Vault Enterprise.
-
Haz clic en Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
BeyondTrust
-
En el campo Tipo, selecciona una de las siguientes opciones:
- BeyondTrust Password Safe - cuentas administradas
- BeyondTrust Password Safe - contraseñas de equipos
- En el campo Nombre, especifica el nombre del almacén de credenciales de BeyondTrust.
- En el campo URL del host de BeyondTrust, especifica la URL de su instancia de servidor de secretos.
- En el campo Clave de registro de la API, indica el valor de la clave de registro de API de BeyondTrust.
-
En el campo Ejecutar API como nombre de usuario, especifica el nombre de usuario de BeyondTrust con el que deseas ejecutar las llamadas.
BeyondTrust Password Safe - cuentas administradas
Si elegiste BeyondTrust Password Seguro: cuentas administradas, continúa con los siguientes pasos:
-
Opcionalmente, en el campo Nombre del sistema administrado predeterminado, indica un sistema gestionado alternativo que se utilizará en caso de que no se haya proporcionado ningún otro sistema gestionado en el activo de Orchestrator.
- En el campo Delimitador de sistemas/cuentas, especifica el delimitador utilizado para dividir el nombre del sistema gestionado del nombre de la cuenta administrada en el activo de Orchestrator.
- En el campo Tipo de cuenta administrada, indica el tipo de cuenta administrada por BeyondTrust.
-
Haz clic en Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
BeyondTrust Password Safe - contraseñas de equipos
Si elegiste BeyondTrust Password Seguro: contraseñas de equipo, continúa con los siguientes pasos:
-
Opcionalmente, en el campo Prefijo de la ruta de la carpeta, indica un prefijo de ruta de la carpeta predeterminado. Se añadirá delante de todos los valores de los activos de Orchestrator.
- En el campo Delimitador de carpetas/cuenta, introduce el delimitador utilizado para dividir la ruta del título en los activos de Orchestrator.
-
Haz clic en Crear. Tu nuevo almacén de credenciales está listo para utilizarse.
Dirígete a Tiendas (Tenant > Credenciales > Tiendas) y en el menú Más acciones de la tienda deseada, selecciona Editar. Se mostrará el cuadro de diálogo Editar almacén de credenciales.
Al usar dos o más almacenes de credenciales, puedes seleccionar cuál es el almacén predeterminado que se usa para robots y activos. El mismo almacén puede utilizarse como predeterminado para ambos, o puedes seleccionar un almacén predeterminado diferente para cada uno de ellos.
Para seleccionar un almacén predeterminado, en el menú Más acciones, selecciona Establecer como almacén de robots predeterminado y/o Seleccionar como almacén de activos predeterminado.
Para eliminar un almacén de credenciales, selecciona Eliminar en el menú Más acciones del almacén deseado.
Si el almacén seleccionado está en uso, aparecerá un cuadro de diálogo de advertencia con el número de robots y activos que se verán afectados. Haz clic en Eliminar para confirmar la eliminación o en Cancelar para abortar el proceso. Ten en cuenta que debes tener al menos un almacén de credenciales activo en todo momento. Si solo hay uno, no aparecerá la opción de eliminarlo.