- Démarrage
- Meilleures pratiques
- Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Gestion des Robots
- Connexion des Robots à Orchestrator
- Enregistrement des identifiants du Robot dans CyberArk
- Stockage des mots de passe de l’Unattended Robot dans Azure Key Vault (lecture seule)
- Stockage des informations d’identification de l’Unattended Robot dans HashiCorp Vault (lecture seule)
- Stockage des informations d'identification du robot Unattended dans AWS Secrets Manager (lecture seule)
- Suppression des sessions Unattended déconnectées et qui ne répondent pas
- Authentification du Robot
- Authentification du Robot avec les informations d'identification du client
- Configurer les capacités d’automatisation
- Audit
- Intégration des magasins d'identifiants
- Gestion des magasins d'identifiants
- Paramètres
- Cloud Robots
- Exécution d'automatisations Unattended à l'aide de Cloud Robots - VM
- Téléchargement de votre propre image
- Réutilisation des images de machines personnalisées (pour les pools manuels)
- Réinitialisation des informations d'identification d'une machine (pour les pools manuels)
- Surveillance
- Mises à jour de sécurité
- Questions fréquemment posées
- Configuration du VPN pour les robots du cloud
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Apps
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Service de catalogue de ressources
- Authentification
- Intégrations
- Robots classiques
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Intégration des magasins d'identifiants
Le fournisseur d’identifiants central (Central Credential Provide ou CCP) est la méthode sans agent utilisée pour l’intégration à CyberArk. Il permet à UiPath® de récupérer des informations sensibles telles que les informations d’identification du Robot depuis un coffre-fort sans déployer d’agent sur le serveur. Un certificat client est nécessaire pour garantir la récupération sécurisée des informations d’identification.
Avant de commencer à utiliser les magasins d'identifiants CyberArk® CCP dans Orchestrator, vous devez d'abord configurer l'application correspondante et les paramètres du coffre-fort dans l'interface PVWA (Password Vault Web Access) de CyberArk®.
- Un réseau permettant l’interconnectivité entre le service Orchestrator et le serveur CyberArk.
- Le fournisseur central d’informations d’identification CyberArk® doit être installé sur une machine qui autorise les connexions HTTP.
- CyberArk® Enterprise Password Vault
Pour plus d'informations sur l'installation et la configuration des applications CyberArk®, consultez leur page officielle.
Les coffres-forts sont nécessaires à une meilleure gestion de vos comptes. En outre, vous pouvez ajouter des membres du coffre-fort pour garantir une autorisation adéquate. CyberArk® recommande l'ajout d'un fournisseur d'identifiants (utilisateur qui dispose des droits d'accès complets aux identifiants, peut en ajouter et les gérer) et de l'application créée auparavant en tant que membres du coffre-fort. Ce dernier permet à Orchestrator de rechercher et de récupérer les mots de passe stockés dans le coffre-fort.
CyberArk® Conjur Cloud est une solution de gestion des clés secrètes basée sur SaaS et pouvant être hébergées sur n’importe quelle infrastructure cloud. Elle permet aux organisations de sécuriser l’accès non humain aux clés secrètes et d’éliminer le problème du « secret zéro ». Pour utiliser les magasins d’informations d’identification CyberArk® Conjur Cloud dans Orchestrator, vous devez configurer les paramètres du coffre-fort correspondants dans l’interface CyberArk® Privilege Cloud.
-
Un réseau qui permet l’interconnectivité entre les machines Orchestrator et le serveur CyberArk® Cloud.
-
Un utilisateur de CyberArk® Privilege Cloud disposant d’un accès à la création d’utilisateurs et de coffres-forts.
-
Un utilisateur de CyberArk® Privilege Cloud avec les autorisations d’accès aux coffres-forts concernés et la possibilité de créer des charges de travail.
Consultez la documentation officielle de CyberArk® Cloud pour plus d’informations sur la configuration de leurs applications.
Azure Key Vault est un plug-in que vous pouvez utiliser comme magasin d'informations d'identification avec Orchestrator.
Deux plug-ins sont inclus :
- Azure Key Vault : plug-in de lecture-écriture (les clés secrètes sont créées via Orchestrator)
- Azure Key Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)
- Les magasins d’informations d’identification Azure Key Vault utilisent l’authentification RBAC. Azure Key Vault requiert le rôle d’administrateur de clés secrètes de Key Vault, et Azure Key Vault (lecture seule) requiert le rôle d’utilisateur de clés secrètes.
Dans le volet Inscription d'applications (App Registrations) du portail Azure, suivez ces étapes :
- Créez une nouvelle inscription d’application.
- Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
- Accédez à Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) > Nouvelle clé secrète du client (v) et ajoutez une nouvelle clé secrète du client. Notez l'expiration que vous avez choisie et créez une nouvelle clé secrète au préalable.
- Copiez la valeur de la clé secrète pour une utilisation ultérieure.
Dans Azure Key Vault, suivez ces étapes :
- Accédez à la page Présentation (Overview) de Key Vault et copiez l' URI du coffre (Vault URI) et l' ID d'annuaire (Directory ID) pour une utilisation ultérieure.
- Sélectionnez Paramètres (Settings) > Politiques d'accès (Access Policies) dans le menu de gauche.
- Cliquez sur Ajouter la stratégie d’accès (Add access policy).
Les autorisations de stratégie d’accès requises sont
Secret Get
etSecret Set
. - À partir du menu déroulant Configurer depuis le modèle (facultatif) (Configure from template (optional)), sélectionnez Gestion des clés secrètes (Secret Management).
- Cliquez sur Aucun sélectionné (None selected) dans la section Application autorisée (Authorized application) pour activer le champ Sélectionner principal (Select principal).
- Entrez le nom d’inscription de l'application, confirmez que l’ID d’application est correct et sélectionnez ce principal.
- Cliquez sur Ajouter (Add).
- Cliquez sur Enregistrer (Save).
Vous êtes maintenant prêt à utiliser Vault URI, l'ID d'annuaire (Directory ID), l'ID d'application (client) (Application (Client) ID) et la Valeur (Value) de la clé secrète pour configurer un nouveau magasin d'informations d'identification.
Utiliser Azure Key Vault (lecture seule)
Lors de l'utilisation du plug-in Azure Key Vault (lecture seule), l'administrateur Vault est responsable de l'enregistrement correct des clés secrètes qu'Orchestrator utilisera. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.
Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :
HashiCorp Vault est un plug-in que vous pouvez utiliser comme magasin d'informations d'identification avec Orchestrator.
Deux plug-ins sont inclus :
- HashiCorp Vault : plug-in en lecture-écriture (les clés secrètes sont créées via Orchestrator)
- HashiCorp Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)
-
Un réseau qui permet l'interconnectivité entre le service Orchestrator et le serveur HashiCorp Vault :
- Le port API utilisé par HashiCorp Vault pour les requêtes API doit être ouvert via n'importe quel pare-feu et accessible depuis Internet. Ce port est
8200
dans une installation standard. - Si le pare-feu du client n'autorise pas la connectivité à partir d'une adresse IP Internet, les adresses IP d'Orchestrator doivent être ajoutées à la liste blanche. Vous pouvez trouver une liste à jour des adresses IP sur la page Adresses IP sortantes d'Orchestrator (Orchestrator outbound IP addresses).
- Le port API utilisé par HashiCorp Vault pour les requêtes API doit être ouvert via n'importe quel pare-feu et accessible depuis Internet. Ce port est
-
Vous devez configurer l'une des méthodes d'authentification prises en charge :
- AppRole (recommandé)
- UsernamePassword
- LDAP
- Jeton
Découvrez comment configurer l'authentification.
-
Vous devez configurer l'un des moteurs de secrets pris en charge :
- KeyValueV1 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
- KeyValueV2 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) HashiCorp Vault (read-only)
- ActiveDirectory : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
-
OpenLDAP : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
-
La méthode d'authentification choisie doit avoir une stratégie qui autorise les fonctionnalités suivantes sur le chemin d'accès où vous prévoyez de stocker vos clés secrètes :
- Pour le plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) :
read
- Pour le plug-in HashiCorp Vault :
create
,read
,update
,delete
et éventuellementdelete
sur le chemin des métadonnées, si vous utilisez le moteur de secretsKeyValueV2
.
- Pour le plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) :
Voici un exemple de configuration d'une version de développement de HashiCorp Vault, exécutée dans un conteneur Docker, à utiliser comme magasin d'informations d'identification avec Orchestrator. Les exemples doivent être adaptés à votre propre environnement. Veuillez consulter la documentation officielle de HashiCorp Vault pour plus de détails.
Configuration de l'authentification
Pour commencer à créer et à lire des clés secrètes, vous devez d'abord configurer la méthode d'authentification en suivant ces étapes :
Sortie de cette commande :
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
Vous pouvez également activer la méthode Orchestrator appRole en exécutant la commande suivante :
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
Vous disposerez alors d'un ID de rôle et d'un ID de secret à des fins de configuration dans Orchestrator.
Configuration du moteur de secrets Active Directory
Pour configurer le moteur de secrets Active Directory, suivez ces étapes :
Utilisation de HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
Lors de l'utilisation du plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)), l'administrateur Vault est responsable de l'enregistrement correct des clés secrètes utilisées par Orchestrator. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.
Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :
L'intégration BeyondTrust est en lecture seule et se présente sous la forme de deux plug-ins au choix u: Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) et Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords).
Si Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) répond aux besoins des organisations avec des comptes locaux ou Active Directory, Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords) convient dans les scénarios où les informations d'identification de petits groupes doivent être stockées dans un environnement isolé.
La configuration des deux plug-ins est globalement identique, mais il existe également de légères différences. Cette page couvre les deux plug-ins.
- Une instance BeyondTrust Server Cloud ou une installation locale similaire
- Au-delà des informations d'identification Insight
Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)
Si vous utilisez Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts), effectuez les étapes suivantes :
-
Ajoutez vos comptes gérés sous Systèmes gérés (Managed Systems).
-
Assurez-vous d'utiliser l'option API activée (API Enabled) pour vos comptes gérés.
Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)
Si vous utilisez Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords), effectuez les étapes suivantes :
-
Accédez à la page Mots de passe d'équipe (Team Passwords).
-
Vous pouvez également créer un dossier.
- Sélectionnez un dossier.
- Utilisez l'option Créer des informations d'identification (Create New Credential).
Assurez-vous de lire la documentation Delinea pour obtenir des informations à jour.
- Connectez-vous à votre compte Secret Server.
- Accédez à Administrateur (Admin) > Gestion des utilisateurs (User Management) et cliquez sur Créer un utilisateur (Create User). Cochez la case Compte d’application (Application Account) pour générer un compte d’application.
- Accédez à Admin > Tout afficher ( See All ) > Outils et intégrations (Tools and Integrations ) > Gestion des clients SDK (SDK) et configurez une nouvelle règle d’intégration dans Intégration du client (Client Onboarding). Notez le nom et la clé de la règle d'intégration.
- Modifiez la règle d’intégration et attribuez le compte d’application créé à l’étape 2.
- Assurez-vous que le compte d’application lié à la règle d’intégration dispose d’autorisations sur les clés secrètes consultées par Orchestrator. Vous pouvez attribuer le compte d’application à un groupe et accorder à ce groupe l’accès aux dossiers requis, ou lui accorder un accès explicite aux clés secrètes.
AWS Secrets Manager est un outil qui peut être utilisé comme magasin d'informations d'identification dans Orchestrator.
Il dispose de deux plugins :
- AWS Secrets Manager
- AWS Secrets Manager (lecture seule)
Le plug-in que vous pouvez utiliser, à savoir en lecture seule ou en lecture-écriture, est dicté par vos autorisations de stratégie AWS Identity and Access Management (IAM).
Si vous choisissez d'utiliser le plug-in en lecture seule, vous devez lier une ressource à un ensemble d'informations d'identification déjà disponibles dans AWS Secrets Manager.
Pour utiliser ce service :
- Vous devez disposer d'un abonnement AWS.
- Vous devez créer une stratégie IAM spécifique à Secrets Manager, que vous attribuez au rôle ou à l'utilisateur IAM du compte.
Pour intégrer AWS Secrets Manager à Orchestrator, vous avez besoin de la clé d'accès et de la clé secrète qui sont générées une fois que vous avez créé un compte AWS IAM.
- L'ID de clé d'accès se trouve dans l'onglet Informations d'identification de sécurité (Security credentials) de votre compte AWS IAM.
-
L'ID de clé secrète (Secret key ID) n'est fourni qu'après la création du compte. Il est donc important de le copier pour une utilisation future.
Si vous égarez ou oubliez votre ID de clé secrète, vous devez créer une autre clé d'accès, puis remplacer les informations nécessaires dans Orchestrator.
De plus, vous devez vérifier la région que vous avez définie dans votre compte AWS, car c'est ce que vous saisirez dans le champ Région (Region) lors de la configuration du nouveau magasin d'informations d'identification.
Lors de l'utilisation du plug-in AWS Secrets Manager (lecture seule) (AWS Secrets Manager (read only)), l'administrateur est responsable de l'enregistrement correct des clés secrètes utilisées par Orchestrator. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.
Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :
- CyberArk® CCP integration
- Prérequis
- Création d'une application Orchestrator
- Création d'un coffre-fort Orchestrator
- CyberArk® Conjur Cloud (lecture seule)
- Prérequis
- Créer un coffre-fort Orchestrator pour le stockage des informations d'identification
- Créer un compte et une charge de travail pour accéder aux informations d'identification
- Azure Key Vault integration
- Prérequis
- Configuration
- Intégration de HashiCorp Vault
- Prérequis
- Configuration de l'intégration
- Intégration BeyondTrust
- Prérequis
- Configuration de l'intégration
- Thycotic Secret Server integration
- Prérequis
- Configuration de l'intégration
- Intégration d'AWS Secrets Manager
- À propos d'AWS Secrets Manager
- Prérequis
- Configuration
- Utilisation d'AWS Secrets Manager (lecture seule)