- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Autenticación por SmartCard
- Auditoría
- Administrar almacenes de credenciales
- Integración de almacenes de credenciales
- Configuración: a nivel de tenant
- Servicio de catálogo de recursos
- Automation Suite Robots
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Integraciones
- Robots clásicos
- Solución de problemas
Integración de almacenes de credenciales
El Proveedor central de credenciales (CCP) es el método AAM sin agente utilizado para integrarse con CyberArk, lo que permite a UiPath® recuperar de forma segura las credenciales de un almacén sin implementar un agente en el servidor. Es necesario un certificado de cliente para garantizar la recuperación segura de la credencial.
Antes de empezar a usar los almacenes de credenciales de CyberArk® CCP en Orchestrator, deberás configurar la aplicación correspondiente y la configuración de seguridad en la interfaz de CyberArk® PVWA (Acceso web al almacén mediante contraseña).
- Una red que permite la interconectividad entre el servicio Orchestrator y el servidor CyberArk.
- El proveedor central de credenciales de CyberArk® debe estar instalado en una máquina que permita conexiones HTTP.
- CyberArk® Enterprise Password Vault
Para obtener más información sobre la instalación y configuración de las aplicaciones de CyberArk®, visita su página oficial.
En CyberArk® PVWA, deberás realizar los siguientes pasos:
Crear una aplicación de Orchestrator
Crear una caja fuerte de Orchestrator
Se necesitan cajas de seguridad para ayudarte a gestionar mejor tus cuentas. Además, puedes agregar miembros seguros para garantizar la autorización adecuada. CyberArk® recomienda agregar un proveedor de credenciales (un usuario con total derecho sobre las credenciales puede agregarlas y administrarlas) y la aplicación previamente creada como miembros seguros. Esto permite que Orchestrator encuentre y recupere las contraseñas almacenadas en la caja de seguridad.
CyberArk® AAM no se admite como solución lista para usar, pero ofrecemos una alternativa: el proxy de credenciales de Orchestrator. Esta herramienta te permite conectar Orchestrator y el almacén de credenciales de tu elección a través del proxy, en lugar de directamente, añadiendo así una capa adicional de seguridad.
El proxy de credenciales de Orchestrator se creó para escenarios en la Cloud , donde es posible que necesites desarrollar e implementar tus propios complementos del almacén de credenciales. Sin embargo, también se puede usar en configuraciones locales, como Automation Suite . Esto es lo que debe hacer:
-
Instala el proxy en la máquina de Windows donde está configurado tu cliente de CyberArk® AAM.Puede encontrar más detalles en la sección Credentials Proxy de Orchestrator .
-
Agregue el parámetro
Features.CredentialStoreHost.Enabled
al mapa de configuraciónorchestrator-customconfig
y establézcalo entrue
. Puede encontrar más detalles en la sección Preparar Orchestrator de la guía de Automation Suite. -
Configure el proxy siguiendo las instrucciones descritas en la sección Gestionar proxies de credenciales .
Azure Key Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.
Se incluyen dos complementos:
- Azure Key Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
- Azure Key Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos directamente en Key Vault).
- Los almacenes de credenciales de Azure Key Vault utilizan la autenticación RBAC. Azure Key Vault requiere el rol de oficial de Key Vault Secrets y Azure Key Vault (solo lectura) requiere el rol de usuario de Key Vault Secrets.
- El complemento Key Vault se establece en tu archivo
UiPath.Orchestrator.dll.config
de Orchestrator como se describe en la sección Almacén de contraseñas. - Crea la versión de Key Vault que se va a utilizar con Orchestrator en tu cuenta de Azure. Consulta la documentación oficial de Microsoft aquí para obtener más información.
En el panel Registros de aplicaciones de Azure Portal, sigue estos pasos:
- Crea un nuevo registro de aplicaciones.
- Copia el ID de aplicación (cliente) para usarlo más tarde.
- Ve a Gestionar > Certificados y secretos > Nuevo secreto de cliente, y añade un nuevo secreto de cliente. Anota la fecha de caducidad que has elegido y crea antes un nuevo secreto.
- Copia el valor del secreto para su uso más adelante.
En Azure Key Vault, sigue estos pasos:
- Accede a la página de descripción general de Key Vault y copia el URI de Key Vault e ID del directorio ID para su uso posterior.
- Selecciona Configuración > Políticas de acceso del menú de la izquierda.
- Haz clic en Añadir política de acceso.
Los permisos de política de acceso necesarios son
Secret Get
ySecret Set
. - En el menú desplegable Configurar desde plantilla (opcional), selecciona Gestión de secretos.
- Haz clic en Ninguna seleccionada en la sección Aplicación autorizada para habilitar el campo Seleccionar principal.
- Escribe el nombre del registro de la aplicación, confirma que el ID de la aplicación es correcto, y selecciona esta principal.
- Haz clic en Añadir.
- Haz clic en Guardar.
Ya estás listo para usar el URI de Vault, ID del directorio, ID de la aplicación (cliente) y el Valor del secreto para configurar un nuevo almacén de credenciales.
Uso de Azure Key Vault (solo lectura)
Al usar el complemento de Azure Key Vault (solo lectura) el administrador del vault es responsable de aprovisionar de forma correcta los secretos que usará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.
Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:
HashiCorp Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.
Se incluyen dos complementos:
- HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
- HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).
-
Una red que permite interconectividad entre el servicio de Orchestrator y el servidor HashiCorp Vault:
- El puerto de API usado por HashiCorp Vault para las solicitudes de API debe abrirse a través de cualquier cortafuegos y debe ser accesible desde Internet. Dicho puerto es
8200
en una instalación típica. - Si el cortafuegos del cliente no permite conectividad desde ninguna IP de Internet, las direcciones de IP de Orchestrator deben anotarse en la lista blanca.
- El puerto de API usado por HashiCorp Vault para las solicitudes de API debe abrirse a través de cualquier cortafuegos y debe ser accesible desde Internet. Dicho puerto es
-
Debes configurar uno de los métodos de autenticación admitidos:
- AppRole (recomendado)
- Contraseña de nombre de usuario
- LDAP
-
Token
Consulta cómo configurar la autenticación.
-
Debes configurar uno de los motores de secretos admitidos:
- KeyValueV1: disponible para los complementos HashiCorp Vault y HashiCorp Vault (solo lectura).
- KeyValueV2: disponible para los complementos HashiCorp Vault y HashiCorp Vault (solo lectura).
- ActiveDirectory: disponible solo para el complemento HashiCorp Vault (solo lectura).
-
El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:
- Para el complemento HashiCorp Vault (solo lectura):
read
- Para el complemento HashiCorp Vault:
create
,read
,update
,delete
y de manera opcionaldelete
en la ruta de metadatos, si se utiliza el motor de secretosKeyValueV2
.
- Para el complemento HashiCorp Vault (solo lectura):
El siguiente es un ejemplo de cómo configurar una versión de desarrollo de HashiCorp Vault, que se ejecuta en un contenedor Docker, para utilizarse como almacén de credenciales con Orchestrator. Los ejemplos deben adaptarse a tu propio entorno. Consulta la documentación oficial de HashiCorp Vault para obtener más información.
Configurar autenticación
Para empezar a crear y leer secretos, primero hay que configurar el método de autenticación realizando los siguientes pasos:
Salida de este comando:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
También puedes habilitar appRole Orchestrator ejecutando el siguiente comando:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
Ahora tendrás un ID de rol y un ID secreto para configurar en Orchestrator.
Configurar el motor de secretos de Active Directory
Para configurar el motor de secretos de Active Directory, realiza los pasos siguientes:
Usar HashiCorp Vault (solo lectura)
Cuando se utiliza el complemento HashiCorp Vault (solo lectura), el administrador de Vault es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.
Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:
La integración de BeyondTrust es de solo lectura y se presenta en forma de dos complementos entre los que se puede elegir: BeyondTrust Password Safe - cuentas administradas y BeyondTrust Password Safe - contraseñas de equipos.
Mientras que BeyondTrust Password Safe - cuentas administradas responde a las necesidades de las organizaciones con cuentas locales o de Active Directory, BeyondTrust Password Safe - contraseñas de equipos es idóneo en escenarios en los que las credenciales de pequeños grupos deben almacenarse en un entorno aislado.
La configuración de los dos complementos es prácticamente idéntica, aunque también existen algunas pequeñas diferencias. En esta página se tratan ambos complementos.
- Una instancia de BeyondTrust Server Cloud o una instalación local similar
- Credenciales de Beyond Insight
BeyondTrust Password Safe - cuentas administradas
Si estás utilizando BeyondTrust Password Safe - cuentas administradas, realiza los pasos siguientes:
-
Añade las cuentas administradas en Sistemas de gestión.
-
Asegúrate de utilizar la API habilitada para las cuentas administradas.
BeyondTrust Password Safe - contraseñas de equipos
Si estás utilizando BeyondTrust Password Safe - contraseñas de equipos, realiza los pasos siguientes:
-
Ve a la página Contraseñas de equipos.
-
También se puede crear una nueva carpeta.
- Selecciona una carpeta.
- Utiliza la opción Crear credencial.
Asegúrate de leer la documentación de Delinea para obtener información actualizada.
- Inicie sesión en su cuenta de Secret Server.
- Ve a Administrador > Gestión de usuarios y haz clic en Crear usuario. Selecciona la casilla de verificación Cuenta de aplicación para generar una cuenta de aplicación.
- Vaya a Administrador > Ver todos > Herramientas e integraciones > Gestión de cliente SDK y configure una nueva regla de incorporación en Incorporación de cliente. Anota el nombre de regla de incorporación y la clave.
- Edita la regla de incorporación y asigna la cuenta de aplicación creada en el paso 2.
- Asegúrate de que la cuenta de aplicación vinculada a la regla de incorporación tiene permisos para los secretos a los que accede Orchestrator. Puedes asignar la cuenta de aplicación a un grupo y otorgar a dicho grupo acceso a las carpetas requeridas, u otorgarle acceso explícito a los secretos.
AWS Secrets Manager es una herramienta que se puede usar como almacén de credenciales en Orchestrator.
Cuenta con dos complementos:
- AWS Secrets Manager
- AWS Secrets Manager (solo lectura)
El complemento que puedes usar, a saber, solo lectura o lectura y escritura, viene dictado por tus permisos de política de Identidad y gestión de accesos (IAM) de AWS.
Si eliges usar el complemento de solo lectura, debes vincular un activo a un conjunto de credenciales que ya esté disponible en AWS Secrets Manger.
Para utilizar este servicio:
- Necesitas disponer de una suscripción de AWS.
- Debes crear una política de IAM específica para Secrets Manager, que asignarás al usuario o al rol de IAM de la cuenta.
Para integrar AWS Secrets Manager con Orchestrator, necesitas la clave de acceso y la clave de secreto que se generan una vez creas una cuenta IAM de AWS.
- La ID de clave de acceso se puede encontrar en la pestaña Credenciales de seguridad de tu cuenta IAM de AWS.
-
El ID de clave de secreto solo se te proporciona después de crear la cuenta. Por tanto, es importante copiarlo para uso futuro.
Si pierdes u olvidas tu ID de clave de secreto, debes crear otra clave de acceso y luego reemplazar la información necesaria en Orchestrator.
Además de eso, debe verificar la región que estableció en su cuenta de AWS, ya que esto es lo que ingresará en el campo Región al configurar el nuevo almacén de credenciales.
Al utilizar el complemento AWS Secrets Manager (solo lectura), el administrador es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.
Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:
- Integración de CyberArk® CCP
- Requisitos previos
- Configurar la Integración
- Alternativa de CyberArk® AAM
- Integración de Azure Key Vault
- Requisitos previos
- Configuración
- Integración de HashiCorp Vault
- Requisitos previos
- Configurar la Integración
- Integración de BeyondTrust
- Requisitos previos
- Configurar la Integración
- Integración de Secret Server de Thycotic
- Requisitos previos
- Configurar la Integración
- Integración de AWS Secrets Manager
- Acerca de AWS Secrets Manager
- Requisitos previos
- Configuración
- Usar AWS Secrets Manager (solo lectura)