Orchestrator

2023.10

False

Primeros pasos
- Introducción
- Opciones de usuario
- Iniciar sesión en Orchestrator
- Reestablecer tu contraseña
- Robots
  - Estados de los robots
  - Preferencias del robot
- Actualización automática de los componentes del cliente
- Lista de verificación de la configuración de Orchestrator
Mejores prácticas
- Modelado de la organización en Orchestrator
- Gestión de grandes implementaciones
- Mejores prácticas de automatización
- Optimizar la infraestructura desatendida mediante plantillas de máquinas
- Automatización desatendida
- Organizar recursos con etiquetas
- Réplica de solo lectura de Orchestrator
- Exportar cuadrícula en segundo plano
Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Robots
- Carpetas
- Supervisión
- Gestión de las capacidades de acceso y automatización
- Máquinas
- Paquetes
- Auditoría
- Almacenes de credenciales
  - Administrar almacenes de credenciales
  - Integración de almacenes de credenciales
- Webhooks
  - Tipos de eventos
  - Gestionar Webhooks
- Alertas
- Configuración: a nivel de tenant
Servicio de catálogo de recursos
- Acerca del servicio de catálogo de recursos
Automation Suite Robots
- Acerca de robots de Automation Suite
- Requisitos previos
- Ejecución de automatizaciones ilimitadas con robots de Automation Suite
- Regeneración de secretos de cliente
- Preguntas frecuentes
Contexto de carpetas
- Acerca del contexto de carpetas
- Inicio
Automatizaciones
- Acerca de automatizaciones
Procesos
- Sobre los procesos
- Gestionar los procesos
- Gestionar requisitos de paquetes
- Grabación
- Transmisión en vivo y control remoto
  - Solución de problemas de transmisión en vivo y control remoto
Trabajos
- Sobre trabajos
- Gestionar trabajos
- Estados del trabajo
- Trabajar con flujos de trabajo de larga duración
- Ejecución de automatizaciones personales a distancia
- Política de retención de datos de proceso
Apps
- Acerca de las aplicaciones
- Publicar una aplicación para un tenant
- Administrar aplicaciones
- Ejecutar una aplicación implementada desde una carpeta
Desencadenadores
- Sobre desencadenadores
  - Desencadenadores de tiempo
  - Desencadenadores de colas
- Administrar desencadenadores
  - Crear un desencadenador de tiempo
  - Crear un desencadenador de cola
- Administrar días no laborables
- Usar las expresiones Cron
  - Desencadenar trabajos el último día del mes
Registros
- Sobre los registros
- Gestión de Registros en Orchestrator
- Niveles de registro
Supervisión
- Sobre la supervisión
- Máquinas
- Procesos
- Colas
- Colas SLA
Colas
- Sobre las colas y las transacciones
- Carga masiva de elementos de cola utilizando un archivo CSV
- Gestión de Colas en Orchestrator
- Gestión de Colas en Studio
- Gestionar transacciones
  - Editar transacciones
  - Descripciones de los campos de las transacciones .csv Archivo
- Solicitudes de revisión
Activos
- Sobre los activos
- Gestión de Activos en Orchestrator
- Gestión de Activos en Studio
- Almacenamiento de activos en Azure Key Vault (solo lectura)
- Almacenar activos en HashiCorp Vault (solo lectura)
- Almacenamiento de activos en AWS Secrets Manager (solo lectura)
Depósitos de almacenamiento
- Acerca de Depósitos de almacenamiento
  - Configuración CORS/CSP
- Administrar depósitos de almacenamiento
- Mover Datos de depósitos entre proveedores de almacenamiento
Test Suite - Orchestrator
- Prueba de automatización
- Casos de prueba
  - Descripciones de campo para la Página Casos de prueba
- Conjuntos de prueba
  - Descripciones de campo para la Página Conjuntos de prueba
- Ejecución de prueba
  - Descripciones de campo para la Página Ejecuciones de prueba
- Programaciones de pruebas
  - Descripciones de campo para la página Programaciones de prueba
- Colas de datos de prueba
- Política de retención de datos de prueba
Servidor de identidad
- Acerca de UiPath Identity Server
Autenticación
- Autenticación por SmartCard
Integraciones
- Acerca de los argumentos de entrada y salida
  - Ejemplo de argumentos de entrada y salida
Solución de problemas
- Acerca de la resolución de problemas
- Errores frecuentes de Orchestrator

Guía del usuario de Orchestrator

Última actualización 19 de abr. de 2024

Integración de almacenes de credenciales

Integración de CyberArk®

Antes de empezar a utilizar los almacenes de credenciales CyberArk® en Orchestrator, debes configurar la aplicación correspondiente y la configuración segura en la interfaz CyberArk® PVWA (Acceso web al almacén mediante contraseña).

Requisitos previos

CyberArk® Enterprise Password Vault debe estar instalado en una máquina que pueda comunicarse directamente con el equipo en el que esté instalado Orchestrator.
CyberArk® AAM (Application Access Manager) debe estar instalado en la misma máquina que Orchestrator. Para las configuraciones multinodo de Orchestrator, debe instalarse una instancia AAM en cada nodo de Orchestrator.

Para obtener más información sobre la instalación y configuración de las aplicaciones de CyberArk®, visita su página oficial.

Configurar la Integración

En CyberArk® PVWA, deberás realizar los siguientes pasos:

Crear una aplicación de Orchestrator

En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).
En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se mostrará la página Añadir aplicación.
Especifica la siguiente información:
- Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
- Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.
- Sección de Propietario: de forma opcional, añade información sobre el propietario de la aplicación.
- Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault.Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.
Haz clic en Agregar. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.
En la pestaña Autenticación, marca la casilla de verificación de Permitir restricciones de autenticación extendida.
Métodos de autenticación compatibles:
- Máquinas permitidas
- OS User
- Ruta
Configura el método de autenticación. Por ejemplo, en la pestaña Máquinas permitidas, haz clic en Añadir. Se mostrará la ventana Añadir máquina permitida. En ella deberás añadir información sobre la máquina o máquinas en la que está instalado Orchestrator.
En el campo Dirección, especifica la dirección de una máquina utilizando el formato IP/hostname/DNS.
Haz clic en Añadir. La dirección IP se muestra en la pestaña Máquinas permitidas. Esta información permite al proveedor de credenciales asegurarse de que solo las aplicaciones que se ejecutan en las máquinas especificadas puedan acceder a sus contraseñas.
Realiza los pasos 6 a 8 tantas veces como sea necesario para asegurar que los servidores permitidos incluyen todos los servidores de nivel medio o todos los puntos finales en los que se instalaron los proveedores de credenciales AAM. Puede ser el caso si instalaste Orchestrator en varios nodos.

Crear una caja fuerte de Orchestrator

Se necesitan cajas de seguridad para ayudarte a gestionar mejor tus cuentas. Además, puedes agregar miembros seguros para garantizar la autorización adecuada. CyberArk® recomienda agregar un proveedor de credenciales (un usuario con total derecho sobre las credenciales puede agregarlas y administrarlas) y la aplicación previamente creada como miembros seguros. Esto permite que Orchestrator encuentre y recupere las contraseñas almacenadas en la caja de seguridad.

En la pestaña Políticas, en la sección Control de acceso (Cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.
Rellena los campos Nombre de de la caja fuerte y descripción.
Haz clic en Guardar. Se mostrará la ventana Guardar detalles.
En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.
Busca la aplicación creada anteriormente (pasos 2-5) para poder añadirla.
Añade un proveedor de credenciales y selecciona los siguientes permisos:
- Ver miembros de la caja fuerte
- Recuperar cuentas
- Listado de cuentas
- Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.
  
  Si instalas varios proveedores de credenciales para esta integración, te recomendamos crear un grupo para ellos y añadir el grupo a la caja fuerte una vez con la autorización anterior.
Haz clic en Añadir. Se muestra un mensaje de confirmación en la ventana Añadir miembro seguro.
Añade la aplicación creada anteriormente como miembro seguro, con el permiso Recuperar cuentas.
Haz clic en Añadir. Se muestra un mensaje de confirmación en la ventana Añadir miembro seguro.

Tu integración se completa y puedes empezar a aprovisionar los almacenes de credenciales de CyberArk® en Orchestrator. Para obtener información sobre el almacenamiento de las credenciales de los Robots, consulta aquí.

Integración de CyberArk® CCP

El proveedor de credenciales central (CCP) es el método de AAM sin agente que se utiliza para integraciones con CyberArk y que permite a UiPath recuperar de forma segura las credenciales de un almacén sin implementar un agente en el servidor. Es necesario un certificado de cliente para garantizar la recuperación segura de la credencial.

Antes de empezar a usar los almacenes de credenciales de CyberArk® CCP en Orchestrator, deberás configurar la aplicación correspondiente y la configuración de seguridad en la interfaz de CyberArk® PVWA (Acceso web al almacén mediante contraseña).

Requisitos previos

Una red que permite la interconectividad entre el servicio Orchestrator y el servidor CyberArk.
El proveedor central de credenciales de CyberArk® debe estar instalado en una máquina que permita conexiones HTTP.
CyberArk® Enterprise Password Vault

Para obtener más información sobre la instalación y configuración de las aplicaciones de CyberArk®, visita su página oficial.

Configurar la Integración

En CyberArk® PVWA, deberás realizar los siguientes pasos:

Crear una aplicación de Orchestrator

En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).
En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se muestra la ventana Agregar aplicación.
En la ventana Agregar aplicación, especifica la siguiente información:
- Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
- Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.
- Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault.Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.
Haz clic en Agregar. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.
Marca la casilla de verificación Permitir restricciones de autenticación extendidas.
Método de autenticación compatible:
- Máquinas permitidas
- OS User
- Certificados de cliente
Configura el método de autenticación. Por ejemplo, en la pestaña Autenticación, haz clic en Agregar > Número de serie del certificado, y agrega el identificador único del certificado del cliente, usado para autenticar la aplicación solicitante ante el CCP.

Crear una caja fuerte de Orchestrator

En la pestaña Políticas, en la sección Control de acceso (cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.
Rellena los campos Nombre de de la caja fuerte y descripción.
Haz clic en Guardar. Se mostrará la ventana Guardar detalles.
En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.
Busca la aplicación creada anteriormente (pasos 2-6), y selecciona los siguientes permisos para ella:
- Ver miembros de la caja fuerte
- Recuperar cuentas
- Listado de cuentas
- Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.
  
  Si instalas varios proveedores de credenciales para esta integración, te recomendamos crear un grupo para ellos y añadir el grupo a la caja fuerte una vez con la autorización anterior.
Haz clic en Agregar. Tu integración se completa y puedes empezar a aprovisionar los almacenes de credenciales de CyberArk® en Orchestrator. Para obtener información sobre el almacenamiento de las credenciales de los Robots, consulta aquí.

Alternativa de CyberArk® AAM

CyberArk® AAM no se admite como solución lista para usar, pero ofrecemos una alternativa: el proxy de credenciales de Orchestrator. Esta herramienta te permite conectar Orchestrator y el almacén de credenciales de tu elección a través del proxy, en lugar de directamente, añadiendo así una capa adicional de seguridad.

El proxy de credenciales de Orchestrator se creó para escenarios en la Cloud , donde es posible que necesites desarrollar e implementar tus propios complementos del almacén de credenciales. Sin embargo, también se puede usar en configuraciones locales, como Automation Suite . Esto es lo que debe hacer:

Install the proxy on the Windows machine where your CyberArk® AAM client is configured. You can find details in the Orchestrator Credentials Proxy section.
Add the Features.CredentialStoreHost.Enabled parameter to the orchestrator-customconfig config map and set it to true. You can find details in the Preparing Orchestrator section of the Automation Suite guide.
Set up the proxy by following the instructions outlined in the Managing credential proxies section.

Integración de Azure Key Vault

Azure Key Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.

Se incluyen dos complementos:

Azure Key Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
Azure Key Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos directamente en Key Vault).

Requisitos previos

Los almacenes de credenciales de Azure Key Vault utilizan la autenticación RBAC. Azure Key Vault requiere el rol de oficial de Key Vault Secrets y Azure Key Vault (solo lectura) requiere el rol de usuario de Key Vault Secrets.
El complemento Key Vault se establece en tu archivo UiPath.Orchestrator.dll.config de Orchestrator como se describe en la sección Almacén de contraseñas.
Activa el complemento de Key Vault tal y como se describe aquí.
Crea la versión de Key Vault que se va a utilizar con Orchestrator en tu cuenta de Azure. Consulta la documentación oficial de Microsoft aquí para obtener más información.

Configuración

En el panel Registros de aplicaciones de Azure Portal, sigue estos pasos:

Crea un nuevo registro de aplicaciones.
Copia el ID de aplicación (cliente) para usarlo más tarde.
Ve a Gestionar > Certificados y secretos > Nuevo secreto de cliente, y añade un nuevo secreto de cliente. Anota la fecha de caducidad que has elegido y crea antes un nuevo secreto.
Copia el valor del secreto para su uso más adelante.

En Azure Key Vault, sigue estos pasos:

Accede a la página de descripción general de Key Vault y copia el URI de Key Vault e ID del directorio ID para su uso posterior.
Selecciona Configuración > Políticas de acceso del menú de la izquierda.
Haz clic en Añadir política de acceso.
Los permisos de política de acceso necesarios son Secret Get y Secret Set.
En el menú desplegable Configurar desde plantilla (opcional), selecciona Gestión de secretos.
Haz clic en Ninguna seleccionada en la sección Aplicación autorizada para habilitar el campo Seleccionar principal.
Escribe el nombre del registro de la aplicación, confirma que el ID de la aplicación es correcto, y selecciona esta principal.
Haz clic en Añadir.
Haz clic en Guardar.

Ya estás listo para usar el URI de Vault, ID del directorio, ID de la aplicación (cliente) y el Valor del secreto para configurar un nuevo almacén de credenciales.

Uso de Azure Key Vault (solo lectura)

Al usar el complemento de Azure Key Vault (solo lectura) el administrador del vault es responsable de aprovisionar de forma correcta los secretos que usará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:

Integración de HashiCorp Vault

HashiCorp Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.

Se incluyen dos complementos:

HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).

Requisitos previos

Una red que permite interconectividad entre el servicio de Orchestrator y el servidor HashiCorp Vault:
- El puerto de API usado por HashiCorp Vault para las solicitudes de API debe abrirse a través de cualquier cortafuegos y debe ser accesible desde Internet. Dicho puerto es 8200 en una instalación típica.
- Si el cortafuegos del cliente no permite conectividad desde ninguna IP de Internet, las direcciones de IP de Orchestrator deben anotarse en la lista blanca.
Debes configurar uno de los métodos de autenticación admitidos:
- AppRole (recomendado)
- Contraseña de nombre de usuario
- LDAP
- Token
  Consulta cómo configurar la autenticación.
Debes configurar uno de los motores de secretos admitidos:
- KeyValueV1: disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
- KeyValueV2: disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
- ActiveDirectory: disponible solo para HashiCorp Vault (solo lectura)
- OpenLDAP: disponible solo para
El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:
- Para el complemento HashiCorp Vault (solo lectura): read
- Para el complemento HashiCorp Vault: create, read, update, delete y de manera opcional delete en la ruta de metadatos, si se utiliza el motor de secretos KeyValueV2.

Configurar la Integración

El siguiente es un ejemplo de cómo configurar una versión de desarrollo de HashiCorp Vault, que se ejecuta en un contenedor Docker, para utilizarse como almacén de credenciales con Orchestrator. Los ejemplos deben adaptarse a tu propio entorno. Consulta la documentación oficial de HashiCorp Vault para obtener más información.

Configurar autenticación

Para empezar a crear y leer secretos, primero hay que configurar el método de autenticación realizando los siguientes pasos:

Abre un shell del contenedor:
```
docker exec -it dev-vault shdocker exec -it dev-vault sh
```
Inicia sesión como raíz. Asegúrate de que tienes el token raíz que aparece en los registros para establecer una variable de entorno con él ejecutando el siguiente comando:
```
export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
```
Comprueba el estado de Vault ejecutando el siguiente comando:
```
vault statusvault status
```

Añade un secreto ficticio para Orchestrator en el almacén KV:

vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456

Concede a Orchestrator acceso a la ruta secret/applications/orchestrator recién creada. Para ello, primero debes crear una política para leer y escribir en esta ruta y en todas sus subrutas ejecutando el siguiente comando:
```
cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
```
Nota:
Cuando se utiliza un motor de secretos KeyValueV2, los secretos se escriben y se obtienen en la ruta <mount>/data/<secret-path>, a diferencia de <mount>/<secret-path> en KeyValueV1. No cambia ninguno de los comandos de CLI (es decir, no especifica datos en su ruta).

Sin embargo, sí cambia las políticas, ya que las capacidades se aplican a la ruta real. En el ejemplo anterior, la ruta es secret/data/applications/orchestrator/* ya que se está utilizando un motor de secretos KeyValueV2. Si se utilizara un KeyValueV1, la ruta habría sido secret/applications/orchestrator/*.

La capacidad de eliminar en la ruta de metadatos solo es necesaria si deseas asegurarte de que Orchestrator no deja atrás claves de prueba al verificar la conectividad. Si no se concede esta capacidad, se creará una clave que se dejará al crear el almacén de credenciales en Orchestrator.
Habilita la autenticación utilizando el método de autenticación userpass, luego crea un usuario para Orchestrator y asigna la política previamente creada:
```
vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
```
Nota: Orchestrator admite varios modos de autenticación. Consulta la documentación de HashiCorp Vault para saber cómo configurarlos.

Comprueba que has configurado todo correctamente iniciando sesión e intentando leer el secreto que creaste anteriormente:

vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

Salida de este comando:

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

Selecciona este token y ponlo en lugar del token raíz, luego intenta leer el secreto de la prueba:

export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret

Salida de este comando:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

Nota:

También puedes habilitar appRole Orchestrator ejecutando el siguiente comando:

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Ahora tendrás un ID de rol y un ID secreto para configurar en Orchestrator.

Configurar el motor de secretos de Active Directory

Para configurar el motor de secretos de Active Directory, realiza los pasos siguientes:

Habilita el motor de secretos de Active Directory ejecutando el siguiente comando:
```
vault secrets enable advault secrets enable ad
```

Configura las credenciales que HashiCorp Vault utiliza para comunicarse con Active Directory para generar contraseñas:

vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'

Configura un rol que asigne un nombre en HashiCorp Vault a una cuenta en Active Directory. Cuando las aplicaciones solicitan contraseñas, este rol gestionará la configuración de la rotación de contraseñas.
```
vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
```

Concede a orchestrator acceso a sus credenciales en ad/creds/orchestrator utilizando un método de autenticación como AppRole.

cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF

Usar HashiCorp Vault (solo lectura)

Cuando se utiliza el complemento HashiCorp Vault (solo lectura), el administrador de Vault es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:

Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)

Almacenar activos en HashiCorp Vault (solo lectura)

Integración de BeyondTrust

La integración de BeyondTrust es de solo lectura y se presenta en forma de dos complementos entre los que se puede elegir: BeyondTrust Password Safe - cuentas administradas y BeyondTrust Password Safe - contraseñas de equipos.

Mientras que BeyondTrust Password Safe - cuentas administradas responde a las necesidades de las organizaciones con cuentas locales o de Active Directory, BeyondTrust Password Safe - contraseñas de equipos es idóneo en escenarios en los que las credenciales de pequeños grupos deben almacenarse en un entorno aislado.

La configuración de los dos complementos es prácticamente idéntica, aunque también existen algunas pequeñas diferencias. En esta página se tratan ambos complementos.

Requisitos previos

Una instancia de BeyondTrust Server Cloud o una instalación local similar
Credenciales de Beyond Insight

Configurar la Integración

Inicia sesión en la instancia de BeyondTrust Server Cloud o en una instalación local similar utilizando tus credenciales de Beyond Insight.
Crea un registro de la API para las cuentas del grupo de servicios UiPath.
Crea una norma de autenticación que permita las conexiones entrantes de la API desde UiPath.
Crea un nuevo grupo para la(s) cuenta(s) de servicio de UiPath y añade las siguientes características:
- Cuenta segura con contraseña
- Rol seguro con contraseña
También es necesario asignar reglas inteligentes:
- las cuentas gestionadas/de solo lectura/de solicitantes son suficientes para las solicitudes normales de los usuarios.
- Para el acceso a ISA, se necesita el rol Activos/ISA.
Añade el registro de la API al grupo.
Crea un nuevo usuario y asigna el grupo UiPath.
Los siguientes pasos varían en función de si se utiliza BeyondTrust Password Safe - cuentas administradas o BeyondTrust Password Safe - contraseñas de equipos.

BeyondTrust Password Safe - cuentas administradas

Si estás utilizando BeyondTrust Password Safe - cuentas administradas, realiza los pasos siguientes:

Añade las cuentas administradas en Sistemas de gestión.
Asegúrate de utilizar la API habilitada para las cuentas administradas.

BeyondTrust Password Safe - contraseñas de equipos

Si estás utilizando BeyondTrust Password Safe - contraseñas de equipos, realiza los pasos siguientes:

Ve a la página Contraseñas de equipos.
También se puede crear una nueva carpeta.
Selecciona una carpeta.
Utiliza la opción Crear credencial.

Integración de Secret Server de Thycotic

Nota: Thycotic se ha rebautizado como Delinea, tras una fusión. Ten esto en cuenta al configurar tus integraciones de almacén de credenciales.

Requisitos previos

Instalación de una instancia de Thycotic Secret Server en la nube o local.

Configurar la Integración

Importante:

Asegúrate de leer la documentación de Delinea para obtener información actualizada.

Inicie sesión en su cuenta de Secret Server.
Ve a Administrador > Gestión de usuarios y haz clic en Crear usuario. Selecciona la casilla de verificación Cuenta de aplicación para generar una cuenta de aplicación.
Vaya a Administrador > Ver todos > Herramientas e integraciones > Gestión de cliente SDK y configure una nueva regla de incorporación en Incorporación de cliente. Anota el nombre de regla de incorporación y la clave.
Edita la regla de incorporación y asigna la cuenta de aplicación creada en el paso 2.
Asegúrate de que la cuenta de aplicación vinculada a la regla de incorporación tiene permisos para los secretos a los que accede Orchestrator. Puedes asignar la cuenta de aplicación a un grupo y otorgar a dicho grupo acceso a las carpetas requeridas, u otorgarle acceso explícito a los secretos.

Integración de AWS Secrets Manager

Acerca de AWS Secrets Manager

AWS Secrets Manager es una herramienta que se puede usar como almacén de credenciales en Orchestrator.

Cuenta con dos complementos:

AWS Secrets Manager
AWS Secrets Manager (solo lectura)

El complemento que puedes usar, a saber, solo lectura o lectura y escritura, viene dictado por tus permisos de política de Identidad y gestión de accesos (IAM) de AWS.

Si eliges usar el complemento de solo lectura, debes vincular un activo a un conjunto de credenciales que ya esté disponible en AWS Secrets Manger.

Requisitos previos

Para utilizar este servicio:

Necesitas disponer de una suscripción de AWS.
Debes crear una política de IAM específica para Secrets Manager, que asignarás al usuario o al rol de IAM de la cuenta.

Configuración

Para integrar AWS Secrets Manager con Orchestrator, necesitas la clave de acceso y la clave de secreto que se generan una vez creas una cuenta IAM de AWS.

La ID de clave de acceso se puede encontrar en la pestaña Credenciales de seguridad de tu cuenta IAM de AWS.
El ID de clave de secreto solo se te proporciona después de crear la cuenta. Por tanto, es importante copiarlo para uso futuro.

Si pierdes u olvidas tu ID de clave de secreto, debes crear otra clave de acceso y luego reemplazar la información necesaria en Orchestrator.

Además de eso, debe verificar la región que estableció en su cuenta de AWS, ya que esto es lo que ingresará en el campo Región al configurar el nuevo almacén de credenciales.

Usar AWS Secrets Manager (solo lectura)

Al utilizar el complemento AWS Secrets Manager (solo lectura), el administrador es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente: