orchestrator
latest
false
UiPath logo, featuring letters U and I in white

Guide de l'utilisateur d'Orchestrator

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Dernière mise à jour 9 déc. 2024

Gestion des magasins d'identifiants

Création d'un magasin d'identifiants

  1. Cliquez sur Ajouter un magasin d'informations d'identification (Add credential store) sur la page Informations d'identification (Credentials), dans la section Magasins (Stores). La boîte de dialogue Ajouter un magasin d'informations d'identification (Add credential store) s'affiche.
  2. Dans le menu déroulant Proxy, sélectionnez le proxy souhaité. L’option Local contient tous les magasins intégrés à Orchestrator. Toutes les autres options disponibles constituent des proxys que vous créez sur la page Ajouter des informations d’identification (Add Credentials Proxy) En tant que tel, vous pouvez également avoir :
    • Un proxy connecté : ceci est géré par Orchestrator, ce qui signifie qu’Orchestrator récupère les informations d’identification du proxy et les transmet au robot.

    • Un proxy déconnecté : ceci n’est pas géré par Orchestrator, ce qui signifie que les informations d’identification sont récupérées directement à partir du proxy avant d’être transmises au robot.

  3. Dans la liste déroulante Type, sélectionnez le magasin sécurisé qui est utilisé.
    Les options disponibles dépendent des proxys sélectionnés.
    Remarque : si aucun plug-in valide n’a été configuré, ce champ restera vide.
  4. Les étapes suivantes varient en fonction du magasin d'informations d'identification que vous souhaitez créer. Vos options sont les suivantes :
    • Base de données Orchestrator
      Remarque : Vous ne pouvez disposez que d'un seul magasin de base de données Orchestrator.
    • CyberArk® Conjur Cloud
    • Azure Key Vault : choisissez entre Azure Key Vault et Azure Key Vault (lecture seule) (Azure Key Vault (read-only))
    • HashiCorp Vault : choisissez entre HashiCorp Vault et HashiCorp (lecture seule) (HashiCorp (read-only))
    • BeyondTrust : choisissez entre Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) et Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)
    • Thycotic Secret Server
    • AWS Secrets Manager : choisissez entre AWS Secrets Manager et AWS Secrets Manager (lecture seule) (AWS Secrets Manager (read only)).

Base de données Orchestrator

Cliquez sur Créer (Create) : les magasins de base de données Orchestrator ne disposent d'aucune propriété configurable.

CyberArk CCP

Remarque : un magasin CyberArk configuré dans plusieurs locataires en utilisant le même ID d'application, le même coffre-fort et le même nom de dossier permettra l'accès aux informations d'identification stockées entre les locataires. Pour maintenir la sécurité et l'isolement au niveau du locataire, assurez-vous que différentes configurations sont utilisées pour le magasin CyberArk de chaque locataire.
  1. Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
  2. Dans le champ ID d'application (App ID), entrez l'ID d'application de l'instance d'Orchestrator à partir de l'interface PVWA (Password Vault Web Access) de CyberArk®. Pour plus d'informations, reportez-vous ici. Cliquez ici pour plus de détails.
  3. Dans le champ CyberArk Safe, entrez le nom du coffre défini dans l'interface PVWA de CyberArk®. Pour plus d'informations, reportez-vous ici. Cliquez ici pour plus de détails.
  4. Dans le champ Dossier CyberArk (CyberArk Folder), entrez l’emplacement auquel CyberArk® conserve vos informations d’identification.
  5. Dans le champ URL du fournisseur central d’informations d’identification (Central Credential Provider URL), entrez l’adresse du fournisseur central d’informations d’identification.
  6. Dans le champ Nom du service Web (Web Service Name), saisissez le nom du service Web du fournisseur central d'informations d'identification. Si vous laissez ce champ vide, le nom par défaut est utilisé : AIMWebService .
  7. Le certificat client doit être configuré lorsque l' application CyberArk utilise la méthode d' authentification du certificat client. L'entrée attendue est un fichier .pfx qui stocke la clé privée et la clé publique du certificat. Le certificat client doit être installé sur la machine sur laquelle CyberArk CCP AIMWebservice est déployé.
    Remarque :

    Le certificat client est utilisé par les informations d'identification CyberArk fournies pour authentifier l'application définie dans le magasin d'informations d'identification Orchestrator. Consultez la documentation officielle de CyberArk pour plus de détails sur les méthodes d'authentification des applications.

    Le certificat client est un fichier au format binaire PKCS12 qui stocke la ou les clés publiques de la chaîne de certificats et la clé privée.

    CyberArk CCP utilise des clés de certificat 2048-bits.

    Si le certificat client dispose d'un encodage Base 64, exécutez la commande certutil suivante pour le décoder au format binaire :

    certutil -decode client_certificate_encoded.pfx client_certificate.pfx

  8. Dans le champ Mot de passe du certificat client (Client Certificate Password), entrez le mot de passe du certificat client.
  9. Le Certificat de racine de serveur (Server Root Certificate) doit être configuré lorsqu'un certificat CA racine auto-signé est utilisé par CyberArk CCP AIMWebService pour les requêtes HTTP entrantes. Il est utilisé dans la validation de la chaîne de certificats d'établissement de liaison HTTPS TLS. L'entrée attendue est un fichier .crt ou .cer qui stocke la clé publique du certificat CA racine.
  10. L’option Autoriser l’authentification de l’utilisateur du SE s’affiche uniquement lorsque la valeur du paramètre Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication est définie sur true. L’option permet de s’authentifier en utilisant les informations d’identification de l’utilisateur actuellement connecté à la machine Orchestrator.
    Remarque : veillez à établir une infrastructure adéquate en procédant aux modifications nécessaires dans IIS pour Orchestrator et CyberArk.
  11. Sélectionnez Créer. Votre nouveau magasin d'identifiants est prêt à l'emploi.


CyberArk Conjur Cloud (lecture seule)

Remarque :

Un magasin CyberArk Conjur Cloud, s’il est configuré avec le même ID d’application, le même coffre-fort et le même nom de dossier pour tous les locataires, permettra d’accéder aux informations d’identification entre les locataires. Pour maintenir la sécurité et l’isolement au niveau du locataire, veillez à utiliser des configurations différentes pour chaque locataire du magasin CyberArk® Conjur Cloud.

  1. Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
  2. Dans le champ URL de CyberArk Conjur Cloud, ajoutez votre URL CyberArk privée (ex. : https://[your-company-name].secretsmgr.cyberark.cloud).
  3. Dans le champ Nom de connexion, copiez le nom complet de la charge de travail de CyberArk Conjur Cloud et collez-le dans Orchestrator au format host/data/<Workload_name>.
  4. Dans le champ Clé API, ajoutez la clé API générée lors de la création de la charge de travail. Si vous avez oublié votre clé API, vous pouvez toujours en générer une nouvelle à partir de Conjur Cloud ; veillez à la modifier également dans Orchestrator.
  5. Dans le champ facultatif Préfixe de l'ID de variable, saisissez un préfixe à ajouter au chemin de variable auquel vous souhaitez accéder. Par exemple, data/vault/<Safe_Name>.
    Remarque : le préfixe est ajouté au champ Nom externe du Robot ou de la ressource lors de l'utilisation d'un dispositif de stockage.
    Par exemple, si vous utilisez le préfixe /data/vault/Safe_Name et le nom externe Machine, les variables lues seront /data/vault/Safe_Name/Machine/username et /data/vault/Safe_Name/Machine/password.

Azure Key Vault

Les magasins d'informations d'identification Key Vault utilisent l'authentification de type RBAC. Après avoir créé un principal de service, procédez comme suit :

  1. Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
  2. Dans le champ URI de Key Vault (Key Vault Uri), entrez l'adresse d'Azure Key Vault. Ici https://<vault_name>.vault.azure.net/.
  3. Dans le champ ID de répertoire (Directory ID), entrez l’ID de répertoire indiqué dans le portail Azure.

  4. Dans le champ ID de client (Client Id), saisissez l’ID d’application à partir de la section Enregistrement d'applications Azure AD (Azure AD App Registrations) dans laquelle l’application Orchestrator a été enregistrée.
  5. Dans le champ Clé secrète du client (Client Secret), saisissez la clé secrète nécessaire à l'authentification du compte client renseigné à l'étape précédente.
  6. Sélectionnez Créer. Votre nouveau magasin d'identifiants est prêt à l'emploi.


Remarque :
When you access an Azure Key Vault from a different cloud than the public one, you must set the environment variable AZURE_AUTHORITY_HOST to the corresponding value (i.e. "AZURE_AUTHORITY_HOST": "https://login.microsoftonline.us/"). For more details on the values, check the Microsoft Entra authentication & national clouds - Microsoft identity platform documentation.

HashiCorp Vault

  1. Dans le champ Type, sélectionnez HashiCorp Vault ou HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) comme magasin d'informations d'identification.
  2. Dans le champ Nom (Name), spécifiez un nom pour le magasin d'informations d'identification HashiCorp Vault.
  3. Dans le champ URI du coffre (Vault Uri), indiquez l'URI vers l'API HTTP de HashiCorp Vault.
  4. Dans le champ Type d’authentification (Authentication Type), indiquez votre méthode d’authentification préférée. Selon l’option que vous choisissez, vous devez configurer des champs supplémentaires :

    • AppRole : il s'agit de la méthode d'authentification recommandée. Si vous choisissez cette option, assurez-vous de configurer également les champs suivants :

      • ID de rôle (Role Id) : indiquez l'ID de rôle à utiliser avec la méthode d'authentification AppRole.
      • ID du secret (Secret Id) : entrez l'ID du secret à utiliser avec le type d'authentification AppRole.
    • NomUtilisateurMotDePasse (UsernamePassword) : si vous sélectionnez cette option, assurez-vous de configurer également les champs suivants :

      • Nom d'utilisateur (Username) : entrez le nom d'utilisateur à utiliser avec UsernamePassword.
      • Mot de passe (Password) : indiquez le mot de passe à utiliser avec le type d'authentification UsernamePassword.
    • LDAP : si vous sélectionnez cette option, assurez-vous de configurer également les champs suivants :

      • Nom d'utilisateur : spécifiez le nom d'utilisateur à utiliser avec le type d'authentification LDAP.
      • Mot de passe (Password) : indiquez le mot de passe à utiliser avec le type d'authentification LDAP.
    • Jeton (Token) : si vous sélectionnez cette option, assurez-vous de configurer également le champ suivant :

      • Jeton (Token) : entrez le jeton à utiliser avec le type d'authentification Jeton (Token).
    • Dans le champ Moteur des secrets (Secrets Engine), sélectionnez le moteur des secrets à utiliser. Vos options sont les suivantes : Vos options sont les suivantes :
      • KeyValueV1
      • KeyValueV2
      • Active Directory
      • OpenLDAP
      • LDAP
  5. Dans le champ facultatif Point de montage de l’authentification (Authentication Mount Path), vous pouvez spécifier un point de montage personnalisé. Vous pouvez monter la même méthode d’authentification avec deux configurations différentes, au niveau de deux points différents.

  6. Dans le champ Point de montage du moteur des clés secrètes (Secrets Engine Mount Path), indiquez le chemin d'accès du moteur de secrets. S'il n'est pas fourni, la valeur par défaut est kv pour KeyValueV1, kv-v2 pour KeyValueV2 et ad pour ActiveDirectory.
  7. Dans le champ Chemin de données (Data Path), entrez le préfixe du chemin à utiliser pour toutes les clés secrètes stockées.
  8. Dans le champ Namespace, spécifiez l'espace de noms à utiliser. Uniquement disponible dans HashiCorp Vault Enterprise.
  9. Pour l’option (Ldap) Utiliser les informations d’identification dynamiques ((Ldap) Use Dynamic Credentials), sélectionnez Vrai (True) (dynamique) ou Faux (False) (statique) pour basculer entre les informations d’identification dynamiques et statiques. L’option par défaut est Faux (False).

  10. Sélectionnez Créer. Votre nouveau magasin d'identifiants est prêt à l'emploi.



BeyondTrust

  1. Dans le champ Type, sélectionnez l'une des options suivantes :

    • Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)
    • Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)
  2. Dans le champ Nom (Name), spécifiez le nom du magasin d'informations d'identification BeyondTrust.
  3. Dans le champ URL de l'hôte BeyondTrust (BeyondTrust Host URL), indiquez l'URL de votre instance de Secret Server.
  4. Dans le champ Clé d'enregistrement API (API Registration Key), indiquez la valeur de la clé d'enregistrement API de BeyondTrust.
  5. Dans le champ Exécution d'API en tant que nom d'utilisateur (API Run As Username), spécifiez le nom d'utilisateur BeyondTrust sous lequel vous souhaitez exécuter les appels.

Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)

Si vous avez choisi Comptes gérés, sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts), effectuez les étapes suivantes :

  1. Dans le champ Nom du système géré par défaut, vous pouvez également indiquer le nom du système géré par la solution de mots de passe sécurisés BeyondTrust Password Safe. Ce champ servira de Nom de système de secours dans l’éventualité où le champ Nom externe de la ressource Orchestrator ne contient pas de préfixe de Nom de système.
  2. Dans le champ Délimiteur système/compte (System-Account Delimiter), entrez le délimiteur utilisé pour séparer le nom du système et le nom du compte dans la ressource Orchestrator.
  3. Dans le champ Type de compte géré, sélectionnez le type de compte à récupérer à partir de BeyondTrust :
    • système : renvoie les comptes locaux
    • lié à un domaine (domainlinked) : renvoie les comptes des domaines liés au système
  4. Sélectionnez Créer. Votre nouveau magasin d'identifiants est prêt à l'emploi.
Remarque : le nom du système doit être spécifié dans le magasin d’informations d’identification au format SystemName ou dans le champ Nom externe de la ressource Orchestrator au format SystemName/AccountName.

Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)

Si vous avez choisi Mots de passe d’équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords), effectuez les étapes suivantes :

  1. Dans le champ Préfixe du chemin d'accès au dossier (Folder Path Prefix), indiquez un préfixe du chemin d'accès au dossier par défaut. Il sera ajouté devant toutes les valeurs de ressources Orchestrator.

  2. Dans le champ Délimiteur de dossier/compte (Folder / Account Delimiter), entrez le délimiteur utilisé pour séparer le chemin d'accès du titre dans les ressources Orchestrator.
  3. Sélectionnez Créer. Votre nouveau magasin d'identifiants est prêt à l'emploi.



Thycotic Secret Server

  1. Dans le champ Type, sélectionnez Thycotic Secret Server.
  2. Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
  3. Dans le champ URL de Secret Server (Secret Server URL), indiquez l'URL de votre instance Secret Server.
  4. Dans le champ Nom de la règle (Rule Name), indiquez le nom de la règle d'intégration du client.
  5. Dans le champ Clé de la règle (Rule Key), vous pouvez également indiquer la clé de la règle d'intégration. Bien que cette étape soit facultative, nous vous recommandons d'indiquer la Clé de la règle (Rule Key) pour une sécurité améliorée.
  6. Dans le champ Champ du nom d'utilisateur (Username Field), indiquez le nom du champ de données dynamique du champ Modèle Secret (Secret Template) à partir duquel Orchestrator extraira le nom d'utilisateur lors de la récupération d'une ressource à partir du Thycotic Secret Server.
  7. Dans le champ Champ du mot de passe (Password Field), indiquez le nom du slug du champ Modèle Secret (Secret Template) à partir duquel Orchestrator extraira le mot de passe lors de la récupération d'une ressource à partir du Thycotic Secret Server.

    Remarque : Vous pouvez trouver le nom du champ de données dynamique du champ Modèle Secret dans Admin > Modèle Secret (Secret Template) > Modèle (Template) > Champs (Fields).


Lorsqu'une ressource ou un robot est créé dans Orchestrator, il est lié à une clé secrète préexistante à l'aide du nom externe. Dans ce cas, il s’agit de l’ID secret réel du Thycotic Secret Server.

Vous pouvez trouver l'ID secret dans l'itinéraire. Dans l'exemple suivant, sa valeur est 5.




AWS Secrets Manager

  1. Dans le champ Type, sélectionnez AWS Secrets Manager ou AWS Secrets Manager (lecture seule) (AWS Secrets Manager (read only)).

    Le choix entre la version en lecture seule et la version en lecture-écriture dépend de vos autorisations de stratégie IAM.

  2. Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
  3. Dans le champ Clé d'accès (Access Key), ajoutez l'ID de clé d'accès disponible dans l'onglet Informations d'identification de sécurité (Security credentials) de votre page d'utilisateur AWS IAM.
  4. Dans le champ Clé secrète (Secret Key), ajoutez l'ID de clé secrète qui vous a été fourni lorsque vous avez créé le compte d'utilisateur AWS IAM.
  5. Dans le champ Région (Region), ajoutez la région dans laquelle vous souhaitez que vos clés secrètes soient stockées, tel qu'affiché dans votre compte AWS.


    Si vous souhaitez utiliser AWS Secrets Manager (lecture seule), vous devez d'abord créer vos informations d'identification de ressource ou de Robot dans AWS Secrets Manager.

Modification d'un magasin d'identifiants

Accédez à Magasins (Locataire (Tenant) > Informations d’identification > Magasins), et à partir du menu Autres actions (More Actions) du magasin désiré, sélectionnez Modifier (Edit) La fenêtre Modifier le magasin d'informations d’identification (Edit Credential Store) s’affiche.

Remarque : Le magasin Base de données (Orchestrator Database) ne dispose pas de propriétés modifiables.

Définition d'un magasin d'identifiants par défaut

Lorsque vous utilisez au moins 2 magasins d'identifiants, vous avez la possibilité de sélectionner le magasin par défaut utilisé pour les Robots et les actifs. Le même magasin peut être utilisé par défaut pour les deux, ou vous pouvez sélectionner un autre magasin par défaut pour chacun.

Pour sélectionner un magasin par défaut, dans le menu Autres actions (More Actions), sélectionnez Définir comme magasin par défaut des robots (Set as robots default store) et/ou Définir comme magasin par défaut des actifs (Set as assets default store).

Remarque :

La modification du magasin par défaut ne modifie pas la configuration d'un Robot ou d'une ressource existante. Elle contrôle uniquement ce qui apparaît présélectionné dans la liste déroulante Magasins d'informations d'identification (Credential Stores) lors de la création de Robots ou de ressources. Les Robots et les ressources obtiennent toujours leurs mots de passe du magasin qui a été utilisé lors de leur création. Pour modifier le magasin d'informations d'identification d'un Robot ou d'une ressource donné(e), vous devez le modifier au niveau du Robot ou de la ressource.

Suppression d'un magasin d'identifiants

Pour supprimer un magasin d'identifiants, sélectionnez Supprimer (Remove) dans le menu Autres actions (More Actions) du magasin souhaité.

Si le magasin sélectionné est en cours d'utilisation, une boîte de dialogue d'avertissement s'affiche et répertorie le nombre de robots et d'actifs qui seront affectés. Cliquez sur Supprimer (Delete) pour confirmer la suppression ou sur Annuler (Cancel) pour abandonner. Notez qu'au moins un magasin d'identifiants doit être en permanence actif. Si un seul est présent, l'option de suppression ne s'affiche pas.

Remarque : Un magasin d'identifiants désigné par défaut ne peut pas être supprimé. Vous devez d'abord sélectionner un autre magasin par défaut pour le type d'identifiants.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.