orchestrator
2024.10
true
UiPath logo, featuring letters U and I in white
Guía del usuario de Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 13 de nov. de 2024

Integración de almacenes de credenciales

Integración de CyberArk®

Antes de empezar a utilizar los almacenes de credenciales CyberArk® en Orchestrator, debes configurar la aplicación correspondiente y la configuración segura en la interfaz CyberArk® PVWA (Acceso web al almacén mediante contraseña).

Requisitos previos

  • CyberArk® Enterprise Password Vault debe estar instalado en una máquina que pueda comunicarse directamente con el equipo en el que esté instalado Orchestrator.

  • CyberArk® AAM (Application Access Manager) debe estar instalado en la misma máquina que Orchestrator. Para las configuraciones multinodo de Orchestrator, debe instalarse una instancia AAM en cada nodo de Orchestrator.

Para obtener más información sobre la instalación y configuración de las aplicaciones de CyberArk®, visita su página oficial.

Crear una aplicación de Orchestrator

  1. En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).
  2. En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se mostrará la página Añadir aplicación.


  3. Especifica la siguiente información:
    • Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
    • Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.
    • Sección de Propietario: de forma opcional, añade información sobre el propietario de la aplicación.
    • Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault.Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.
  4. Haz clic en Agregar. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.
  5. En la pestaña Autenticación, marca la casilla de verificación de Permitir restricciones de autenticación extendida.

    Métodos de autenticación compatibles:

    • Máquinas permitidas
    • OS User

    • Ruta

  6. Configura el método de autenticación. Por ejemplo, en la pestaña Máquinas permitidas, haz clic en Añadir. Se mostrará la ventana Añadir máquina permitida. En ella deberás añadir información sobre la máquina o máquinas en la que está instalado Orchestrator.
  7. En el campo Dirección, especifica la dirección de una máquina utilizando el formato IP/hostname/DNS.
  8. Haz clic en Añadir. La dirección IP se muestra en la pestaña Máquinas permitidas. Esta información permite al proveedor de credenciales asegurarse de que solo las aplicaciones que se ejecutan en las máquinas especificadas puedan acceder a sus contraseñas.
  9. Realiza los pasos 6 a 8 tantas veces como sea necesario para asegurar que los servidores permitidos incluyen todos los servidores de nivel medio o todos los puntos finales en los que se instalaron los proveedores de credenciales AAM. Puede ser el caso si instalaste Orchestrator en varios nodos.

Crear una caja fuerte de Orchestrator

Se necesitan cajas de seguridad para ayudarte a gestionar mejor tus cuentas. Además, puedes agregar miembros seguros para garantizar la autorización adecuada. CyberArk® recomienda agregar un proveedor de credenciales (un usuario con total derecho sobre las credenciales puede agregarlas y administrarlas) y la aplicación previamente creada como miembros seguros. Esto permite que Orchestrator encuentre y recupere las contraseñas almacenadas en la caja de seguridad.

  1. En la pestaña Políticas, en la sección Control de acceso (Cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.


  2. Rellena los campos Nombre de de la caja fuerte y descripción.
  3. Haz clic en Guardar. Se mostrará la ventana Guardar detalles.


  4. En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.
  5. Busca la aplicación creada anteriormente (pasos 2-5) para poder añadirla.
  6. Añade un proveedor de credenciales y selecciona los siguientes permisos:
    • Ver miembros de la caja fuerte
    • Recuperar cuentas
    • Listado de cuentas

    • Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.

      Si instalas varios proveedores de credenciales para esta integración, te recomendamos crear un grupo para ellos y añadir el grupo a la caja fuerte una vez con la autorización anterior.

  7. Haz clic en Añadir. Se muestra un mensaje de confirmación en la ventana Añadir miembro seguro.
  8. Añade la aplicación creada anteriormente como miembro seguro, con el permiso Recuperar cuentas.
  9. Haz clic en Añadir. Se muestra un mensaje de confirmación en la ventana Añadir miembro seguro.

Tu integración se completa y puedes empezar a aprovisionar los almacenes de credenciales de CyberArk® en Orchestrator. Para obtener información sobre el almacenamiento de las credenciales de los Robots, consulta aquí.

Integración de CyberArk® CCP

El Proveedor central de credenciales (CCP) es el método AAM sin agente utilizado para integrarse con CyberArk, lo que permite a UiPath® recuperar de forma segura las credenciales de un almacén sin implementar un agente en el servidor. Es necesario un certificado de cliente para garantizar la recuperación segura de la credencial.

Antes de empezar a usar los almacenes de credenciales de CyberArk® CCP en Orchestrator, deberás configurar la aplicación correspondiente y la configuración de seguridad en la interfaz de CyberArk® PVWA (Acceso web al almacén mediante contraseña).

Requisitos previos

  • Una red que permite la interconectividad entre el servicio Orchestrator y el servidor CyberArk.
  • El proveedor central de credenciales de CyberArk® debe estar instalado en una máquina que permita conexiones HTTP.
  • CyberArk® Enterprise Password Vault

Para obtener más información sobre la instalación y configuración de las aplicaciones de CyberArk®, visita su página oficial.

Crear una aplicación de Orchestrator

  1. En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).
  2. En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se muestra la ventana Agregar aplicación.


  3. En la ventana Agregar aplicación, especifica la siguiente información:
    • Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
    • Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.

    • Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault.Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.



  4. Haz clic en Agregar. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.
  5. Marca la casilla de verificación Permitir restricciones de autenticación extendidas.

    Método de autenticación compatible:

    • Máquinas permitidas
    • OS User
    • Certificados de cliente: el certificado de cliente utilizado para la autenticación de CyberArk debe tener al menos 2048 bits
  6. Configura el método de autenticación. Por ejemplo, en la pestaña Autenticación, haz clic en Agregar > Número de serie del certificado, y agrega el identificador único del certificado del cliente, usado para autenticar la aplicación solicitante ante el CCP.


Crear una caja fuerte de Orchestrator

Se necesitan cajas de seguridad para ayudarte a gestionar mejor tus cuentas. Además, puedes agregar miembros seguros para garantizar la autorización adecuada. CyberArk® recomienda agregar un proveedor de credenciales (un usuario con total derecho sobre las credenciales puede agregarlas y administrarlas) y la aplicación previamente creada como miembros seguros. Esto permite que Orchestrator encuentre y recupere las contraseñas almacenadas en la caja de seguridad.

  1. En la pestaña Políticas, en la sección Control de acceso (cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.


  2. Rellena los campos Nombre de de la caja fuerte y descripción.
  3. Haz clic en Guardar. Se mostrará la ventana Guardar detalles.


  4. En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.


  5. Busca la aplicación creada anteriormente (pasos 2-6), y selecciona los siguientes permisos para ella:
    • Ver miembros de la caja fuerte
    • Recuperar cuentas
    • Listado de cuentas

    • Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.

      Si instalas varios proveedores de credenciales para esta integración, te recomendamos crear un grupo para ellos y añadir el grupo a la caja fuerte una vez con la autorización anterior.



  6. Haz clic en Agregar. Tu integración se completa y puedes empezar a aprovisionar los almacenes de credenciales de CyberArk® en Orchestrator. Para obtener información sobre el almacenamiento de las credenciales de los Robots, consulta aquí.

Alternativa de CyberArk® AAM

Important: We do not recommend this solution, and we advise that it only be used as a temporary workaround while migrating to CyberArk® CCP.

CyberArk® AAM no se admite como solución lista para usar, pero ofrecemos una alternativa: el proxy de credenciales de Orchestrator. Esta herramienta te permite conectar Orchestrator y el almacén de credenciales de tu elección a través del proxy, en lugar de directamente, añadiendo así una capa adicional de seguridad.

El proxy de credenciales de Orchestrator se creó para escenarios en la Cloud , donde es posible que necesites desarrollar e implementar tus propios complementos del almacén de credenciales. Sin embargo, también se puede usar en configuraciones locales, como Automation Suite . Esto es lo que debe hacer:

  1. Instala el proxy en la máquina de Windows donde está configurado tu cliente de CyberArk® AAM.Puede encontrar más detalles en la sección Credentials Proxy de Orchestrator .

  2. Agregue el parámetro Features.CredentialStoreHost.Enabled al mapa de configuración orchestrator-customconfig y establézcalo en true. Puede encontrar más detalles en la sección Preparar Orchestrator de la guía de Automation Suite.

  3. Configure el proxy siguiendo las instrucciones descritas en la sección Gestionar proxies de credenciales .

CyberArk® Conjur Cloud (solo lectura)

CyberArk® Conjur Cloud es una solución basada en SaaS y agnóstica en la nube para la gestión de secretos. Permite a las organizaciones garantizar el acceso no humano a los secretos y eliminar el problema de secreto cero. Para utilizar los almacenes de credenciales de CyberArk® Conjur Cloud en Orchestrator, debes configurar la configuración segura correspondiente en la interfaz de CyberArk® Privilege Cloud.

Requisitos previos

  • Una red que permite la interconectividad entre las máquinas de Orchestrator y el servidor CyberArk® Cloud.

  • Un usuario de CyberArk® Privilege Cloud con acceso para crear usuarios y cajas fuertes.

  • Un usuario de CyberArk® Privilege Cloud con permisos para las cajas fuertes necesarias y la capacidad de crear cargas de trabajo.

Para obtener más información sobre la configuración de las aplicaciones CyberArk® Cloud, consulta su documentación oficial.

Crear una caja fuerte de Orchestrator para almacenar credenciales

  1. En CyberArk® Privilege Cloud, inicia sesión con una cuenta con permisos para gestionar aplicaciones (requiere la autorización de Gestionar usuarios).
  2. Junto al Portal del usuario, selecciona Inicio.
  3. En Privilege Cloud, selecciona Políticas, luego Seguros y luego Crear Seguro, y añade la siguiente información:
    1. En el paso Definir propiedades de caja fuerte, añade un nombre personalizado para la caja fuerte y selecciona Siguiente.
    2. En el paso Seleccionar miembros de caja fuerte, selecciona Usuarios de componentes del sistema para el origen, busca Conjur Sync, selecciona el usuario de Conjur Cloud y luego selecciona Siguiente.
    3. En el paso Establecer permisos de caja fuerte, selecciona Completo para preajustes de permisos y luego selecciona Crear caja fuerte.
  4. La nueva caja fuerte ahora es visible en Políticas, después de seleccionar Cajas fuertes.

Crear una cuenta y carga de trabajo para acceder a las credenciales

Para acceder a las cajas fuertes que creaste en CyberArk®, también necesitas una cuenta en Privilege Cloud y una carga de trabajo en Conjur Cloud.

  1. En Privilege Cloud, selecciona Cuentas, luego Añadir cuenta y luego:
    1. En el paso Seleccionar tipo de sistema, selecciona Windows, luego Cuenta de dominio de Windows y luego selecciona una caja fuerte existente.
    2. En el paso Definir propiedades de la cuenta, rellena los campos Dirección, Nombre de usuario y Contraseña.
    3. Habilita la opción Personalizar nombre de cuenta, si deseas añadir un nombre personalizado para la cuenta.
    Nota: cuando se crea un activo o robot en Orchestrator, se vincula a un secreto existente utilizando el Nombre externo. Asegúrate de que, en Orchestrator, el nombre de cuenta generado o personalizado se establece en el campo Nombre externo, para ser asignado con los detalles de la cuenta CyberArk®.
    Por ejemplo, el formato data/vault/OrchestratorQA/companyname-john.doe/username representa un nombre de cuenta personalizado, mientras que el formato data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address representa un nombre de cuenta generado.
  2. Una vez que hayas creado una caja fuerte y una cuenta, ve al servicio Conjur Cloud, selecciona Recursos, luego Crear y luego Carga de trabajo.
    1. En el paso de Tipo de carga de trabajo, selecciona Otros.
    2. En el paso Detalles de la carga de trabajo, introduce un nombre personalizado para la carga de trabajo en el campo Nombre y selecciona datos para el campo Ubicación.
    3. En Autenticación, selecciona Clave API.
    4. En el paso Acceso a las cajas fuertes, selecciona la caja fuerte creada anteriormente.

    5. Consulta el resumen de tu configuración y selecciona Listo.

    6. Puedes copiar la clave API y luego seleccionar Listo.
    Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta la siguiente página:

Integración de Azure Key Vault

Azure Key Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.

Se incluyen dos complementos:

  • Azure Key Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
  • Azure Key Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos directamente en Key Vault).

Requisitos previos

  • Los almacenes de credenciales de Azure Key Vault utilizan la autenticación RBAC. Azure Key Vault requiere el rol de oficial de Key Vault Secrets y Azure Key Vault (solo lectura) requiere el rol de usuario de Key Vault Secrets.
  • El complemento Key Vault se establece en tu archivo UiPath.Orchestrator.dll.config de Orchestrator como se describe en la sección Almacén de contraseñas.
  • Crea la versión de Key Vault que se va a utilizar con Orchestrator en tu cuenta de Azure. Consulta la documentación oficial de Microsoft aquí para obtener más información.

Configuración

En el panel Registros de aplicaciones de Azure Portal, sigue estos pasos:

  1. Crea un nuevo registro de aplicaciones.
  2. Copia el ID de aplicación (cliente) para usarlo más tarde.
  3. Ve a Gestionar > Certificados y secretos > Nuevo secreto de cliente, y añade un nuevo secreto de cliente. Anota la fecha de caducidad que has elegido y crea antes un nuevo secreto.
  4. Copia el valor del secreto para su uso más adelante.

En Azure Key Vault, sigue estos pasos:

  1. Accede a la página de descripción general de Key Vault y copia el URI de Key Vault e ID del directorio ID para su uso posterior.
  2. Selecciona Configuración > Políticas de acceso del menú de la izquierda.
  3. Haz clic en Añadir política de acceso.
    Los permisos de política de acceso necesarios son Secret Get y Secret Set.
  4. En el menú desplegable Configurar desde plantilla (opcional), selecciona Gestión de secretos.
  5. Haz clic en Ninguna seleccionada en la sección Aplicación autorizada para habilitar el campo Seleccionar principal.
  6. Escribe el nombre del registro de la aplicación, confirma que el ID de la aplicación es correcto, y selecciona esta principal.
  7. Haz clic en Añadir.
  8. Haz clic en Guardar.

Ya estás listo para usar el URI de Vault, ID del directorio, ID de la aplicación (cliente) y el Valor del secreto para configurar un nuevo almacén de credenciales.

Uso de Azure Key Vault (solo lectura)

Al usar el complemento de Azure Key Vault (solo lectura) el administrador del vault es responsable de aprovisionar de forma correcta los secretos que usará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:

Integración de HashiCorp Vault

HashiCorp Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.

Se incluyen dos complementos:

  • HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
  • HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).

Requisitos previos

  • Una red que permite interconectividad entre el servicio de Orchestrator y el servidor HashiCorp Vault:

    • El puerto de API usado por HashiCorp Vault para las solicitudes de API debe abrirse a través de cualquier cortafuegos y debe ser accesible desde Internet. Dicho puerto es 8200 en una instalación típica.
    • Si el cortafuegos del cliente no permite conectividad desde ninguna IP de Internet, las direcciones de IP de Orchestrator deben anotarse en la lista blanca.

  • Debes configurar uno de los métodos de autenticación admitidos:

  • Debes configurar uno de los motores de secretos admitidos:

    • KeyValueV1: disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
    • KeyValueV2: disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
    • ActiveDirectory: disponible solo para HashiCorp Vault (solo lectura)

    • OpenLDAP: disponible solo para

  • El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:

    • Para el complemento HashiCorp Vault (solo lectura): read
    • Para el complemento HashiCorp Vault: create, read, update, delete y de manera opcional delete en la ruta de metadatos, si se utiliza el motor de secretos KeyValueV2.

Configurar la Integración

El siguiente es un ejemplo de cómo configurar una versión de desarrollo de HashiCorp Vault, que se ejecuta en un contenedor Docker, para utilizarse como almacén de credenciales con Orchestrator. Los ejemplos deben adaptarse a tu propio entorno. Consulta la documentación oficial de HashiCorp Vault para obtener más información.

Configurar autenticación

Para empezar a crear y leer secretos, primero hay que configurar el método de autenticación realizando los siguientes pasos:

  1. Abre un shell del contenedor:
    docker exec -it dev-vault shdocker exec -it dev-vault sh
  2. Inicia sesión como raíz. Asegúrate de que tienes el token raíz que aparece en los registros para establecer una variable de entorno con él ejecutando el siguiente comando:
    export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
  3. Comprueba el estado de Vault ejecutando el siguiente comando:
    vault statusvault status
  4. Añade un secreto ficticio para Orchestrator en el almacén KV:
    vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456
  5. Concede a Orchestrator acceso a la ruta secret/applications/orchestrator recién creada. Para ello, primero debes crear una política para leer y escribir en esta ruta y en todas sus subrutas ejecutando el siguiente comando:
    cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
    Nota:
    Cuando se utiliza un motor de secretos KeyValueV2, los secretos se escriben y se obtienen en la ruta <mount>/data/<secret-path>, a diferencia de <mount>/<secret-path> en KeyValueV1. No cambia ninguno de los comandos de CLI (es decir, no especifica datos en su ruta).
    Sin embargo, sí cambia las políticas, ya que las capacidades se aplican a la ruta real. En el ejemplo anterior, la ruta es secret/data/applications/orchestrator/* ya que se está utilizando un motor de secretos KeyValueV2. Si se utilizara un KeyValueV1, la ruta habría sido secret/applications/orchestrator/*.

    La capacidad de eliminar en la ruta de metadatos solo es necesaria si deseas asegurarte de que Orchestrator no deja atrás claves de prueba al verificar la conectividad. Si no se concede esta capacidad, se creará una clave que se dejará al crear el almacén de credenciales en Orchestrator.

  6. Habilita la autenticación utilizando el método de autenticación userpass, luego crea un usuario para Orchestrator y asigna la política previamente creada:
    vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
    Nota: Orchestrator admite varios modos de autenticación. Consulta la documentación de HashiCorp Vault para saber cómo configurarlos.
  7. Comprueba que has configurado todo correctamente iniciando sesión e intentando leer el secreto que creaste anteriormente:
    vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

    Salida de este comando:

    WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator
  8. Selecciona este token y ponlo en lugar del token raíz, luego intenta leer el secreto de la prueba:
    export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret

Salida de este comando:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
Nota:

También puedes habilitar appRole Orchestrator ejecutando el siguiente comando: 

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Ahora tendrás un ID de rol y un ID secreto para configurar en Orchestrator.

Configurar el motor de secretos de Active Directory

Para configurar el motor de secretos de Active Directory, realiza los pasos siguientes:

  1. Habilita el motor de secretos de Active Directory ejecutando el siguiente comando:
    vault secrets enable advault secrets enable ad
  2. Configura las credenciales que HashiCorp Vault utiliza para comunicarse con Active Directory para generar contraseñas:
    vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'
  3. Configura un rol que asigne un nombre en HashiCorp Vault a una cuenta en Active Directory. Cuando las aplicaciones solicitan contraseñas, este rol gestionará la configuración de la rotación de contraseñas.
    vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
  4. Concede a orchestrator acceso a sus credenciales en ad/creds/orchestrator utilizando un método de autenticación como AppRole.
    cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF

Usar HashiCorp Vault (solo lectura)

Cuando se utiliza el complemento HashiCorp Vault (solo lectura), el administrador de Vault es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:

Integración de BeyondTrust

La integración de BeyondTrust es de solo lectura y se presenta en forma de dos complementos entre los que se puede elegir: BeyondTrust Password Safe - cuentas administradas y BeyondTrust Password Safe - contraseñas de equipos.

Mientras que BeyondTrust Password Safe - cuentas administradas responde a las necesidades de las organizaciones con cuentas locales o de Active Directory, BeyondTrust Password Safe - contraseñas de equipos es idóneo en escenarios en los que las credenciales de pequeños grupos deben almacenarse en un entorno aislado.

La configuración de los dos complementos es prácticamente idéntica, aunque también existen algunas pequeñas diferencias. En esta página se tratan ambos complementos.

Requisitos previos

  • Una instancia de BeyondTrust Server Cloud o una instalación local similar
  • Credenciales de Beyond Insight

Configurar la Integración

  1. Inicia sesión en la instancia de BeyondTrust Server Cloud o en una instalación local similar utilizando tus credenciales de Beyond Insight.
  2. Crea un registro de la API para las cuentas del grupo de servicios UiPath.


  3. Crea una norma de autenticación que permita las conexiones entrantes de la API desde UiPath.


  4. Crea un nuevo grupo para la(s) cuenta(s) de servicio de UiPath y añade las siguientes características:
    • Cuenta segura con contraseña

    • Rol seguro con contraseña



  5. También es necesario asignar reglas inteligentes:
    • las cuentas gestionadas/de solo lectura/de solicitantes son suficientes para las solicitudes normales de los usuarios.

    • Para el acceso a ISA, se necesita el rol Activos/ISA.



  6. Añade el registro de la API al grupo.


  7. Crea un nuevo usuario y asigna el grupo UiPath.


  8. Los siguientes pasos varían en función de si se utiliza BeyondTrust Password Safe - cuentas administradas o BeyondTrust Password Safe - contraseñas de equipos.

BeyondTrust Password Safe - cuentas administradas

Si estás utilizando BeyondTrust Password Safe - cuentas administradas, realiza los pasos siguientes:

  1. Añade las cuentas administradas en Sistemas de gestión.

  2. Asegúrate de utilizar la API habilitada para las cuentas administradas.



BeyondTrust Password Safe - contraseñas de equipos

Si estás utilizando BeyondTrust Password Safe - contraseñas de equipos, realiza los pasos siguientes:

  1. Ve a la página Contraseñas de equipos.

  2. También se puede crear una nueva carpeta.

  3. Selecciona una carpeta.
  4. Utiliza la opción Crear credencial.

Integración de Secret Server de Thycotic

Nota: Thycotic se ha rebautizado como Delinea, tras una fusión. Ten esto en cuenta al configurar tus integraciones de almacén de credenciales.

Requisitos previos

  • Instalación de una instancia de Thycotic Secret Server en la nube o local.

Configurar la Integración

Importante:

Asegúrate de leer la documentación de Delinea para obtener información actualizada.

  1. Inicie sesión en su cuenta de Secret Server.
  2. Ve a Administrador > Gestión de usuarios y haz clic en Crear usuario. Selecciona la casilla de verificación Cuenta de aplicación para generar una cuenta de aplicación.
  3. Vaya a Administrador > Ver todos > Herramientas e integraciones > Gestión de cliente SDK y configure una nueva regla de incorporación en Incorporación de cliente. Anota el nombre de regla de incorporación y la clave.
  4. Edita la regla de incorporación y asigna la cuenta de aplicación creada en el paso 2.
  5. Asegúrate de que la cuenta de aplicación vinculada a la regla de incorporación tiene permisos para los secretos a los que accede Orchestrator. Puedes asignar la cuenta de aplicación a un grupo y otorgar a dicho grupo acceso a las carpetas requeridas, u otorgarle acceso explícito a los secretos.

Integración de AWS Secrets Manager

Acerca de AWS Secrets Manager

AWS Secrets Manager es una herramienta que se puede usar como almacén de credenciales en Orchestrator.

Cuenta con dos complementos:

  • AWS Secrets Manager
  • AWS Secrets Manager (solo lectura)

El complemento que puedes usar, a saber, solo lectura o lectura y escritura, viene dictado por tus permisos de política de Identidad y gestión de accesos (IAM) de AWS.

Si eliges usar el complemento de solo lectura, debes vincular un activo a un conjunto de credenciales que ya esté disponible en AWS Secrets Manger.

Requisitos previos

Para utilizar este servicio:

  • Necesitas disponer de una suscripción de AWS.
  • Debes crear una política de IAM específica para Secrets Manager, que asignarás al usuario o al rol de IAM de la cuenta.

Configuración

Para integrar AWS Secrets Manager con Orchestrator, necesitas la clave de acceso y la clave de secreto que se generan una vez creas una cuenta IAM de AWS.

  • La ID de clave de acceso se puede encontrar en la pestaña Credenciales de seguridad de tu cuenta IAM de AWS.

  • El ID de clave de secreto solo se te proporciona después de crear la cuenta. Por tanto, es importante copiarlo para uso futuro.

    Si pierdes u olvidas tu ID de clave de secreto, debes crear otra clave de acceso y luego reemplazar la información necesaria en Orchestrator.

Además de eso, debe verificar la región que estableció en su cuenta de AWS, ya que esto es lo que ingresará en el campo Región al configurar el nuevo almacén de credenciales.

Usar AWS Secrets Manager (solo lectura)

Al utilizar el complemento AWS Secrets Manager (solo lectura), el administrador es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente:

¿Te ha resultado útil esta página?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. Todos los derechos reservados.