orchestrator

2022.4

false

Primeros pasos
- Introducción
- Opciones de usuario
- Iniciar sesión en Orchestrator
- Reestablecer tu contraseña
- Mi perfil
- Robots
  - Estados de los robots
  - Preferencias del robot
- Actualización automática de los componentes del cliente
- Lista de verificación de la configuración de Orchestrator
Mejores prácticas
- Modelado de la organización en Orchestrator
- Gestión de grandes implementaciones
- Mejores prácticas de automatización
- Optimizar la infraestructura desatendida mediante plantillas de máquinas
- Organizar recursos con etiquetas
Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Robots
- Carpetas
- Supervisión
- Gestión de las capacidades de acceso y automatización
- Máquinas
- Paquetes
- Auditoría
- Almacenes de credenciales
  - Administrar almacenes de credenciales
  - Integración de CyberArk®
  - Integración de CyberArk® CCP
  - Integración de Azure Key Vault
  - Integración de HashiCorp Vault
  - Integración de BeyondTrust
- Webhooks
  - Tipos de eventos
  - Gestionar Webhooks
- Licencia
  - Gestionar tus licencias
- Alertas
  - Configuración de correos electrónicos de alerta
- Configuración
Servicio de catálogo de recursos
- Acerca del servicio de catálogo de recursos
Contexto de carpetas
- Acerca del contexto de carpetas
- Inicio
Automatizaciones
- Acerca de automatizaciones
Procesos
- Sobre los procesos
- Gestionar los procesos
- Gestionar requisitos de paquetes
- Información sobre la función de grabar
Trabajos
- Sobre trabajos
- Gestionar trabajos
- Estados del trabajo
- Trabajar con flujos de trabajo de larga duración
Desencadenadores
- Sobre desencadenadores
- Administrar desencadenadores
- Usar las expresiones Cron
Registros
- Sobre los registros
- Gestión de Registros en Orchestrator
- Niveles de registro
- Registros de Orchestrator
Supervisión
- Sobre la supervisión
- Máquinas
- Procesos
- Colas
- Colas SLA
- Exportar datos de uso
Colas
- Sobre las colas y las transacciones
- Carga masiva de elementos de cola utilizando un archivo CSV
- Gestión de Colas en Orchestrator
- Gestión de Colas en Studio
- Gestionar transacciones
  - Editar transacciones
  - Descripciones de los campos de las transacciones .csv Archivo
- Solicitudes de revisión
Activos
- Sobre los activos
- Gestión de Activos en Orchestrator
- Gestión de Activos en Studio
- Almacenamiento de activos en Azure Key Vault (solo lectura)
- Almacenar activos en HashiCorp Vault (solo lectura)
Depósitos de almacenamiento
- Acerca de Depósitos de almacenamiento
  - Configuración CORS/CSP
- Administrar depósitos de almacenamiento
- Mover Datos de depósitos entre proveedores de almacenamiento
Pruebas de Orchestrator
- Prueba de automatización
- Casos de prueba
  - Descripciones de campo para la Página Casos de prueba
- Conjuntos de prueba
  - Descripciones de campo para la Página Conjuntos de prueba
- Ejecución de prueba
  - Descripciones de campo para la Página Ejecuciones de prueba
- Programaciones de pruebas
  - Descripciones de campo para la página Programaciones de prueba
- Colas de datos de prueba
Otras configuraciones
- Aumentar el límite de tamaño de los archivos de paquete
- Configuración de clave de cifrado por inquilino
- Compresión en GZIP
Integraciones
- Acerca de los argumentos de entrada y salida
  - Ejemplo de argumentos de entrada y salida
Robots clásicos
- Robots
- Entornos
  - Gestionar entornos
- Trabajos
- Desencadenadores
- Supervisión
  - Robots
- Recursos
Administración de host
- Acerca del nivel del host
- Gestionar los administradores del sistema
- Gestión de tenants
- Configuración de los ajustes de autenticación del host
- Eliminar su licencia de host
  - Asignar licencias a los tenants
- Configuración de las notificaciones por correo electrónico del sistema
- Configurar otros ajustes del host
- Registros de auditoría para el portal del host
- Modo de mantenimiento
Administración de la organización
- Acerca de las organizaciones
- Gestionar administradores de la organización
- Configurar la autenticación de la organización
- Configurar opciones de seguridad
- Licencia
  - Activar tu licencia
- Cuentas y grupos
- Registrar aplicaciones externas
  - Administrar aplicaciones externas
- Anular configuración de correo electrónico del sistema
- Registros de auditoría
Solución de problemas
- Acerca de la resolución de problemas
- Errores frecuentes de Orchestrator
- Expresiones cron
- Solución de problemas de actualización

Importante :

Este contenido se ha localizado parcialmente a partir de un sistema de traducción automática. La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.

Guía del usuario de Orchestrator

ENTREGA:

Última actualización 22 de abr. de 2025

Integración de HashiCorp Vault

HashiCorp Vault es un complemento que puedes utilizar como almacén de credenciales con Orchestrator.

Se incluyen dos complementos:

HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).

Requisitos previos

Debes configurar uno de los métodos de autenticación admitidos:
- AppRole (recomendado)
- Contraseña de nombre de usuario
- LDAP
- Token
  
  Consulta cómo configurar la autenticación.
Debes configurar uno de los motores de secretos admitidos:
- KeyValueV1: disponible para los complementos HashiCorp Vault y HashiCorp Vault (solo lectura).
- KeyValueV2: disponible para los complementos HashiCorp Vault y HashiCorp Vault (solo lectura).
- ActiveDirectory: disponible solo para el complemento HashiCorp Vault (solo lectura).
El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:
- Para el complemento HashiCorp Vault (solo lectura): read
- Para el complemento HashiCorp Vault: create, read, update, delete y de manera opcional delete en la ruta de metadatos, si se utiliza el motor de secretos KeyValueV2

Configurar la Integración

El siguiente es un ejemplo de cómo configurar una versión de desarrollo de HashiCorp Vault, que se ejecuta en un contenedor Docker, para utilizarse como almacén de credenciales con Orchestrator. Los ejemplos deben adaptarse a tu propio entorno. Consulta la documentación oficial de HashiCorp Vault para obtener más información.

Configurar autenticación

Para empezar a crear y leer secretos, primero hay que configurar el método de autenticación realizando los siguientes pasos:

Abre un shell del contenedor:
```
docker exec -it dev-vault shdocker exec -it dev-vault sh
```
Inicia sesión como raíz. Asegúrate de que tienes el token raíz que aparece en los registros para establecer una variable de entorno con él ejecutando el siguiente comando:
```
export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
```
Comprueba el estado de Vault ejecutando el siguiente comando:
```
vault statusvault status
```

Añade un secreto ficticio para Orchestrator en el almacén KV:

vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456

Concede a Orchestrator acceso a la ruta secret/applications/orchestrator recién creada. Para ello, primero debes crear una política para leer y escribir en esta ruta y en todas sus subrutas ejecutando el siguiente comando:
```
cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
```
Nota:
Cuando se utiliza un motor de secretos KeyValueV2, los secretos se escriben y se obtienen en la ruta <mount>/data/<secret-path>, a diferencia de <mount>/<secret-path> en KeyValueV1. No cambia ninguno de los comandos de CLI (es decir, no especifica datos en su ruta).

Sin embargo, sí cambia las políticas, ya que las capacidades se aplican a la ruta real. En el ejemplo anterior, la ruta es secret/data/applications/orchestrator/* ya que se está utilizando un motor de secretos KeyValueV2. Si se utilizara un KeyValueV2, la ruta habría sido secret/applications/orchestrator/*.

La capacidad de eliminar en la ruta de metadatos solo es necesaria si deseas asegurarte de que Orchestrator no deja atrás claves de prueba al verificar la conectividad. Si no se concede esta capacidad, se creará una clave que se dejará al crear el almacén de credenciales en Orchestrator.
Habilita la autenticación utilizando el método de autenticación userpass, luego crea un usuario para Orchestrator y asigna la política previamente creada:
```
vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
```
Nota: Orchestrator admite varios modos de autenticación. Consulta la documentación de HashiCorp Vault para saber cómo configurarlos.

Comprueba que has configurado todo correctamente iniciando sesión e intentando leer el secreto que creaste anteriormente:

vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

Salida de este comando:

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

Selecciona este token y ponlo en lugar del token raíz, luego intenta leer el secreto de la prueba:

export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret

Salida de este comando:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

Nota:

También puedes habilitar appRole Orchestrator ejecutando el siguiente comando:

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Ahora tendrás un ID de rol y un ID secreto para configurar en Orchestrator.

Configurar el motor de secretos de Active Directory

Para configurar el motor de secretos de Active Directory, realiza los pasos siguientes:

Habilita el motor de secretos de Active Directory ejecutando el siguiente comando:
```
vault secrets enable advault secrets enable ad
```

Configura las credenciales que HashiCorp Vault utiliza para comunicarse con Active Directory para generar contraseñas:

vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'

Configura un rol que asigne un nombre en HashiCorp Vault a una cuenta en Active Directory. Cuando las aplicaciones solicitan contraseñas, este rol gestionará la configuración de la rotación de contraseñas.
```
vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
```

Concede a orchestrator acceso a sus credenciales en ad/creds/orchestrator utilizando un método de autenticación como AppRole.

cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF

Usar HashiCorp Vault (solo lectura)

Cuando se utiliza el complemento HashiCorp Vault (solo lectura), el administrador de Vault es responsable de aprovisionar correctamente los secretos que utilizará Orchestrator. El formato en el que estos secretos deben aprovisionarse difiere entre los tipos de secreto (activo frente a contraseña de robot) y entre los motores de secretos.

Para obtener instrucciones sobre cómo aprovisionar los secretos, consulta lo siguiente: