Guide de l'utilisateur d'Orchestrator

CyberArk® CCP integration​

Prérequis​

• Un réseau permettant l’interconnectivité entre le service Orchestrator et le serveur CyberArk.
• Le fournisseur central d’informations d’identification CyberArk® doit être installé sur une machine qui autorise les connexions HTTP.
• CyberArk® Enterprise Password Vault

Création d'une application Orchestrator​

1. Dans l'interface PVWA de CyberArk®, connectez-vous avec un utilisateur qui dispose des autorisations de gestion des applications (l'autorisation de gestion des utilisateurs est requise).
2. Dans l'onglet Applications, cliquez sur Ajouter une application (Add Application). La fenêtre Ajouter un package (Add Package) s'affiche.

3. Dans la fenêtre Ajouter une application (Add Application), spécifiez les informations suivantes :
   • Champ Nom (Name) : un nom personnalisé pour l'application, tel qu'Orchestrator.
   • Description : une brève description pour vous aider à spécifier la fonction de la nouvelle application.
   • Emplacement (Location) : le chemin de l'application dans la hiérarchie du coffre. Si un emplacement n'est pas spécifié, l'application est ajoutée dans le même emplacement que le créateur de cette application.
4. Sélectionnez Ajouter (Add). L'application est ajoutée et ses détails s'affichent sur la page Détails de l'application (Application Details).
5. Cochez la case Autoriser les restrictions d’authentification étendues (Allow extended authentication restrictions).

• Certificats clients : le certificat client utilisé pour l'authentification CyberArk doit être supérieur ou égal à 2048 bits

6. Configure la méthode d’authentification. Par exemple, dans l'onglet Authentification, sélectionnez Ajouter > Numéro de série du certificat, puis ajoutez l'identifiant unique du certificat client, utilisé pour authentifier l'application effectuant la demande auprès de CCP.

Création d'un coffre-fort Orchestrator​

1. Dans l'onglet Stratégies (Policies), sous la section Contrôle d'accès (Coffre-fort) (Access Control (Safe)), cliquez sur Ajouter un coffre-fort (Add Safe). La page Ajouter un coffre-fort (Add Safe) s'affiche.

2. Remplissez les champs Nom du coffre-fort (Safe Name) et Description.
3. Cliquez sur Enregistrer (Save). La fenêtre Détails du coffre-fort (Safe Details) s'affiche.

4. Dans la section Membres (Members), cliquez sur Ajouter un membre (Add Member). La fenêtre Ajouter un membre de coffre-fort (Add Safe Member) s'affiche.

5. Recherchez l'application créée auparavant (étapes 2-6) et sélectionnez les autorisations suivantes correspondantes :
   • Afficher les membres du coffre-fort (View Safe Members)
   • Récupérer des comptes (Retrieve accounts)
   • Répertorier les comptes (List accounts)
   • Accéder au coffre-fort sans confirmation (Access Safe without Confirmation) : uniquement si vous utilisez un environnement à double contrôle et un PIM-PSM v7.2 ou antérieur.

6. Cliquez sur Ajouter. Votre intégration est terminée et vous pouvez commencer à enregistrer les magasins d'identifiants CyberArk® dans Orchestrator. Pour plus de détails sur le stockage des identifiants du Robot, reportez-vous ici.

CyberArk® Conjur (lecture seule)​

Prérequis​

• Un réseau qui permet l'interconnectivité entre les machines Orchestrator et le serveur CyberArk®.
• Un utilisateur CyberArk® Privilege avec accès à la création d'utilisateurs et de coffres.
• Un utilisateur CyberArk® Privilege disposant des autorisations d'accès aux coffres requis et de la capacité de créer des charges de travail.

Créer un coffre-fort Orchestrator pour le stockage des informations d'identification​

1. Dans l’interface CyberArk® Privilege Cloud, connectez-vous avec un compte disposant des autorisations de gestion des applications (l’autorisation de gestion des utilisateurs est requise).
2. À côté du Portail utilisateur, sélectionnez Accueil.
3. Dans Privilege Cloud, sélectionnez Politiques, puis Coffres-forts, puis Créer un coffre-fort. Ajoutez alors les informations suivantes :
   1. À l'étape Définir les propriétés, ajoutez un nom personnalisé pour le coffre et sélectionnez Suivant.
   2. À l'étape Sélectionner les membres, sélectionnez les utilisateurs des composants système pour Source, recherchez Conjur Sync, sélectionnez l'utilisateur Conjur Cloud, puis sélectionnez Suivant.
   3. À l’étape Définir les autorisations du coffre-fort, sélectionnez Complètes pour les Autorisations prédéfinies, puis sélectionnez Créer un coffre-fort.
4. Le nouveau coffre-fort s'affiche désormais dans les Politiques après avoir sélectionné Coffres-forts.

Créer un compte et une charge de travail pour accéder aux informations d'identification​

1. Dans Privilege Cloud, sélectionnez Comptes, puis Ajouter un compte. Ensuite :
   1. À l’étape Sélectionner le type de système, sélectionnez Windows, puis Compte de domaine Windows, et sélectionnez un coffre-fort existant.
   2. À l’étape Définir les propriétés du compte, renseignez les champs Adresse, Nom d’utilisateur et Mot de passe.
   3. Activez l’option Personnaliser le nom du compte, si vous souhaitez ajouter un nom personnalisé à ce compte.
      Remarque :

      Lorsqu’une ressource ou un robot est créé dans Orchestrator, il est lié à un secret existant à l’aide du nom externe. Veillez à ce que le nom de compte généré ou personnalisé dans Orchestrator soit défini dans le champ Nom externe, qui devra correspondre aux informations du compte CyberArk®. Par exemple, le format data/vault/OrchestratorQA/companyname-john.doe/username représente un nom de compte personnalisé tandis que le format data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address représente un nom de compte généré.

2. Une fois que vous avez créé un coffre et un compte, accédez au service Secrets Manager, sélectionnez Charges de travail, puis Créer une charge de travail.
   1. À l’étape Type de charge de travail, sélectionnez Autre.
   2. À l'étape Détails de la charge de travail, entrez un nom personnalisé pour la charge de travail dans le champ Nom et sélectionnez les données pour le champ Branch.
   3. Sous Authentification, sélectionnez Jwt dans le menu déroulant Type d'authentification.
   4. À l’étape Accès aux coffres-forts, sélectionnez le coffre-fort que vous avez créé.
   5. Vérifiez le résumé de votre configuration, puis sélectionnez Terminé.
   6. Vous pouvez copier la clé API, puis sélectionner Terminé.

• Storing Robot credentials in CyberArk

CyberArk® Conjur Cloud (lecture seule)​

Prérequis​

• Un réseau qui permet l'interconnectivité entre les machines Orchestrator et le serveur CyberArk®.
• Un utilisateur de CyberArk® Privilege Cloud disposant d’un accès à la création d’utilisateurs et de coffres-forts.
• Un utilisateur de CyberArk® Privilege Cloud avec les autorisations d’accès aux coffres-forts concernés et la possibilité de créer des charges de travail.

Créer un coffre-fort Orchestrator pour le stockage des informations d'identification​

1. Dans l’interface CyberArk® Privilege Cloud, connectez-vous avec un compte disposant des autorisations de gestion des applications (l’autorisation de gestion des utilisateurs est requise).
2. À côté du Portail utilisateur, sélectionnez Accueil.
3. Dans Privilege Cloud, sélectionnez Politiques, puis Coffres-forts, puis Créer un coffre-fort. Ajoutez alors les informations suivantes :
   1. À l'étape Définir les propriétés, ajoutez un nom personnalisé pour le coffre et sélectionnez Suivant.
   2. À l'étape Sélectionner les membres, sélectionnez les utilisateurs des composants système pour Source, recherchez Conjur Sync, sélectionnez l'utilisateur Conjur Cloud, puis sélectionnez Suivant.
   3. À l’étape Définir les autorisations du coffre-fort, sélectionnez Complètes pour les Autorisations prédéfinies, puis sélectionnez Créer un coffre-fort.
4. Le nouveau coffre-fort s'affiche désormais dans les Politiques après avoir sélectionné Coffres-forts.

Créer un compte et une charge de travail pour accéder aux informations d'identification​

1. Dans Privilege Cloud, sélectionnez Comptes, puis Ajouter un compte. Ensuite :
   1. À l’étape Sélectionner le type de système, sélectionnez Windows, puis Compte de domaine Windows, et sélectionnez un coffre-fort existant.
   2. À l’étape Définir les propriétés du compte, renseignez les champs Adresse, Nom d’utilisateur et Mot de passe.
   3. Activez l’option Personnaliser le nom du compte, si vous souhaitez ajouter un nom personnalisé à ce compte.
      Remarque :

      Lorsqu’une ressource ou un robot est créé dans Orchestrator, il est lié à un secret existant à l’aide du nom externe. Veillez à ce que le nom de compte généré ou personnalisé dans Orchestrator soit défini dans le champ Nom externe, qui devra correspondre aux informations du compte CyberArk®. Par exemple, le format data/vault/OrchestratorQA/companyname-john.doe/username représente un nom de compte personnalisé tandis que le format data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address représente un nom de compte généré.

2. Une fois que vous avez créé un coffre et un compte, accédez au service Secrets Manager, sélectionnez Charges de travail, puis Créer une charge de travail.
   1. À l’étape Type de charge de travail, sélectionnez Autre.
   2. À l’étape Détails de la charge de travail, saisissez un nom personnalisé pour la charge de travail dans le champ Nom, puis sélectionnez données pour le champ Emplacement.
   3. Sous Authentification, sélectionnez Clé API.
   4. À l’étape Accès aux coffres-forts, sélectionnez le coffre-fort que vous avez créé.
   5. Vérifiez le résumé de votre configuration, puis sélectionnez Terminé.
   6. Vous pouvez copier la clé API, puis sélectionner Terminé.

• Storing Robot credentials in CyberArk

Azure Key Vault integration​

• Azure Key Vault : plug-in de lecture-écriture (les clés secrètes sont créées via Orchestrator)
• Azure Key Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)

Prérequis​

• Les magasins d'identifiants Azure Key Vault utilisent l’authentification basée sur les rôles Azure (RBAC). Affectez le rôle approprié principal du service associé à l’enregistrement de votre application en fonction du type de magasin d'identifiants :
  • Pour les magasin d'identifiants en lecture-écriture, affectez le rôle Key Vault Secrets Officer.
  • Pour les magasins d'identifiants en lecture seule, affectez le rôle Key Vault Secrets User.
• In Automation Cloud Public Sector and Test Cloud Public Sector, you can only use an Azure Key Vault that is hosted by Azure Government.

Configuration​

1. Créez une nouvelle inscription d’application.
2. Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
3. Accédez à Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) > Nouvelle clé secrète du client (v) et ajoutez une nouvelle clé secrète du client. Notez l'expiration que vous avez choisie et créez une nouvelle clé secrète au préalable.
4. Copiez la valeur de la clé secrète pour une utilisation ultérieure.

1. Accédez à la page Présentation (Overview) de Key Vault et copiez l' URI du coffre (Vault URI) et l' ID d'annuaire (Directory ID) pour une utilisation ultérieure.
2. Sélectionnez Contrôle d’accès (IAM) dans le menu à gauche.
3. Sélectionnez Ajouter, puis sélectionnez Ajouter une affectation de rôle.
4. Sélectionnez l’un des rôles suivants en fonction de votre type de magasin d'identifiants :
   • Key Vault Secrets Officer pour les magasins d'identifiants en lecture-écriture.
   • Key Vault Secrets User pour les magasins d'identifiants en lecture seule.
5. Affectez le rôle au principal du service associé à l’enregistrement de votre application.
6. Sélectionnez Examiner + affecter pour enregistrer l’affectation de rôle.

Utiliser Azure Key Vault (lecture seule)​

• Stockage des informations d'identification de l'Unattended Robot dans HashiCorp Vault (lecture seule)
• Stockage des ressources dans Azure Key Vault (lecture seule)

Intégration de HashiCorp Vault​

• HashiCorp Vault : plug-in en lecture-écriture (les clés secrètes sont créées via Orchestrator)
• HashiCorp Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)

Prérequis​

• Un réseau qui permet l'interconnectivité entre le service Orchestrator et le serveur HashiCorp Vault :
  • Le port API utilisé par HashiCorp Vault pour les requêtes API doit être ouvert via n'importe quel pare-feu et accessible depuis Internet. Ce port est 8200 dans une installation standard.
  • If the customer's firewall does not allow connectivity from any internet IP, Orchestrator's IP addresses must be whitelisted. You can find an up-to-date list of IPs on the Orchestrator outbound IP addresses page.
• Vous devez configurer l'une des méthodes d'authentification prises en charge :
  • AppRole (recommandé)
  • UsernamePassword
  • LDAP
  • JetonDécouvrez comment configurer l'authentification.
• Vous devez configurer l'un des moteurs de secrets pris en charge :
  • KeyValueV1 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
  • KeyValueV2 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) HashiCorp Vault (read-only)
  • ActiveDirectory : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
  • OpenLDAP : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
• La méthode d'authentification choisie doit avoir une stratégie qui autorise les fonctionnalités suivantes sur le chemin d'accès où vous prévoyez de stocker vos clés secrètes :
  • Pour le plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) : read
  • Pour le plug-in HashiCorp Vault : create , read , update , delete et éventuellement delete sur le chemin des métadonnées, si vous utilisez le moteur de secrets KeyValueV2 .

Configuration de l'intégration​

Configuration de l'authentification​

1. Ouvrez un shell à l'intérieur du conteneur :

   assignment

   docker exec -it dev-vault sh
   docker exec -it dev-vault sh
   

2. Connectez-vous en tant que racine. Assurez-vous que le jeton racine est affiché dans les journaux pour définir une variable d'environnement en exécutant la commande suivante :

   assignment

   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   

3. Vérifiez l'état du coffre en exécutant la commande suivante :

   assignment

   vault status
   vault status
   

4. Ajoutez une clé secrète factice pour Orchestrator dans le magasin KV :

   assignment

   vault kv put secret/applications/orchestrator/testSecret Value=123456
   vault kv put secret/applications/orchestrator/testSecret Value=123456
   

5. Accordez à Orchestrator l'accès au chemin d'accès secret/applications/orchestrator créé. Pour cela, vous devez d'abord créer une stratégie de lecture et d'écriture pour ce chemin d'accès et tous ses sous-chemins d'accès en exécutant la commande suivante :

   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   

   Remarque :

   When using a KeyValueV2 secrets engine, secrets are written and fetched at path <mount>/data/<secret-path>, as opposed to <mount>/<secret-path> in KeyValueV1. It does not change any of the CLI commands (i.e., you do not specify data in your path). However, it does change the policies, since capabilities are applied to the real path. In the previous example, the path is secret/data/applications/orchestrator/* since we are working with a KeyValueV2 secrets engine. If a KeyValueV1 were used, the path would have been secret/applications/orchestrator/*.

   La capacité de suppression au niveau du chemin d'accès des métadonnées n'est nécessaire que si vous voulez vous assurer qu'Orchestrator n'oublie aucune clé de test lors de la vérification de la connectivité. Si cette capacité n'est pas accordée, une clé sera créée et oubliée lors de la création du magasin d'informations d'identification dans Orchestrator.

6. Activez l'authentification à l'aide de la méthode d'authentification userpass, puis créez un utilisateur pour Orchestrator et attribuez la stratégie créée précédemment :

   assignment

   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   

   Remarque :

   Orchestrator prend en charge plusieurs modes d'authentification. Consultez la documentation de HashiCorp Vault pour savoir comment les configurer.

7. Vérifiez que votre configuration est correcte en vous connectant et en essayant de lire la clé secrète créée précédemment :

   assignment

   vault login -method=userpass username=orchestrator password=123456
   vault login -method=userpass username=orchestrator password=123456
   

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator
WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

8. Prenez ce jeton et définissez-le à la place du jeton racine, puis essayez de lire la clé secrète de test :
   assignment

   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id

Configuration du moteur de secrets Active Directory​

1. Activez le moteur de secrets Active Directory en exécutant la commande suivante :
   assignment

   vault secrets enable ad
   vault secrets enable ad
   

2. Configurez les informations d'identification utilisées par HashiCorp Vault pour communiquer avec Active Directory afin de générer des mots de passe :
   assignment

   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   

3. Configurez un rôle qui mappe un nom dans HashiCorp Vault à un compte dans Active Directory. Lorsque les applications demanderont des mots de passe, les paramètres de rotation des mots de passe seront gérés par ce rôle.
   assignment

   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   

4. Accordez à orchestrator l'accès à ses informations d'identification sur ad/creds/orchestrator à l'aide d'une méthode d'authentification, telle que AppRole.
   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   

Utilisation de HashiCorp Vault (en lecture seule)​

Intégration BeyondTrust​

Prérequis​

• Une instance BeyondTrust Server Cloud ou une installation locale similaire
• Au-delà des informations d'identification Insight

Configuration de l'intégration​

1. Connectez-vous à l'instance BeyondTrust Server Cloud ou à une installation locale similaire à l'aide de vos informations d'identification Beyond Insight.
2. Créez un Enregistrement d'API (API Registration) pour le groupe UiPath de comptes de service.

3. Créez une Règle d'authentification (Authentication Rule) pour autoriser les connexions API entrantes depuis UiPath.

4. Créez un groupe pour le ou les comptes de service UiPath et ajoutez les fonctionnalités suivantes :
   • Compte sécurisé par mot de passe
   • Rôle sécurisé par mot de passe

5. Vous devez également attribuer des Règles intelligentes (Smart Rules) :
   • Les rôles Comptes gérés (Managed Accounts)/Lecture seule (Read-Only)/Demandeur (Requester) sont suffisants pour les demandes d'utilisateur standard
   • Pour l'accès ISA, le rôle Ressources /ISA (Assets/ISA) est nécessaire.

6. Ajoutez l'enregistrement d'API au groupe.

7. Créez un utilisateur et attribuez le groupe UiPath.

8. Les étapes suivantes varient selon que vous utilisez Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) ou Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords).

1. Ajoutez vos comptes gérés sous Systèmes gérés (Managed Systems).

2. Assurez-vous d'utiliser l'option API activée (API Enabled) pour vos comptes gérés.

1. Accédez à la page Mots de passe d'équipe (Team Passwords).

2. Vous pouvez également créer un dossier.
3. Sélectionnez un dossier.
4. Utilisez l'option Créer des informations d'identification (Create New Credential).

Thycotic Secret Server integration​

Prérequis​

• Une instance cloud de Thycotic Secret Server ou une installation locale.

Configuration de l'intégration​

1. Connectez-vous à votre compte Secret Server.
2. Accédez à Administrateur (Admin) > Gestion des utilisateurs (User Management) et cliquez sur Créer un utilisateur (Create User). Cochez la case Compte d’application (Application Account) pour générer un compte d’application.
3. Accédez à Admin > Tout afficher ( See All ) > Outils et intégrations (Tools and Integrations ) > Gestion des clients SDK (SDK) et configurez une nouvelle règle d’intégration dans Intégration du client (Client Onboarding) . Notez le nom et la clé de la règle d'intégration.
4. Modifiez la règle d’intégration et attribuez le compte d’application créé à l’étape 2.
5. Assurez-vous que le compte d’application lié à la règle d’intégration dispose d’autorisations sur les clés secrètes consultées par Orchestrator. Vous pouvez attribuer le compte d’application à un groupe et accorder à ce groupe l’accès aux dossiers requis, ou lui accorder un accès explicite aux clés secrètes.

Intégration d'AWS Secrets Manager​

À propos d'AWS Secrets Manager​

• AWS Secrets Manager
• AWS Secrets Manager (lecture seule)

Prérequis​

• Vous devez disposer d'un abonnement AWS.
• Vous devez créer une stratégie IAM spécifique à Secrets Manager, que vous attribuez au rôle ou à l'utilisateur IAM du compte.

Configuration​

• L' ID de clé d'accès se trouve dans l'onglet Identifiants de sécurité de votre compte AWS IAM.
• L’ID de la clé secrète n’est fourni qu’après la création du compte. Il est donc important de le copier pour une utilisation future. Si vous égarez ou oubliez l’ID de votre clé secrète, vous devez créer une autre clé d’accès, puis remplacer les informations nécessaires dans Orchestrator.

Utilisation d'AWS Secrets Manager (lecture seule)​

• Stockage des informations d'identification du robot Unattended dans AWS Secrets Manager (lecture seule)
• Stockage des ressources dans AWS Secrets Manager (lecture seule)

Google Secret Manager​

• Google Secret Manager : un plugin de lecture-écriture qui vous permet de créer et de gérer des secrets directement depuis Orchestrator.
• Google Secret Manager (en lecture seule) : un plug-in en lecture seule qui vous permet uniquement d'utiliser les clés secrètes existantes. Les clés secrètes doivent être enregistrées directement dans Google Secret Manager.

Prérequis​

Configurer l'intégration​

1. Activer l'API Secret Manager.
2. Créez un compte de service et générez une clé de compte de service.
3. Ajoutez un magasin d'informations d'identification Google Secret Manager dans Orchestrator.

Étape 1 : Activer l'API Secret Manager​

1. Sélectionnez Sélectionner un projet pour accéder à la liste des projets et choisir le projet souhaité.
2. Dans la barre de recherche, recherchez Secret Manager et ouvrez Secret Manager dans la liste des résultats.
3. Sélectionnez Activer sous l'API Secret Manager.

Étape 2 : créer un compte de service et générer une clé de compte de service​

1. Dans la barre de recherche, recherchez Comptes de service et ouvrez Comptes de service dans la liste des résultats.
2. Sélectionnez Créer un compte de service.
   1. Saisissez un nom pour le nouveau compte de service et sélectionnez Créer et continuer.
   2. Dans l'étape Autorisations (facultative), attribuez le rôle d'administrateur de secrets au nouveau compte de service.
   3. Sélectionnez Continuer, puis Terminé.
3. Dans la liste des comptes de service, sélectionnez le nouveau compte.
4. Accédez à l'onglet Clés.
5. Sélectionnez Ajouter une clé et Créer une nouvelle clé.
   1. Choisissez JSON.
   2. Sélectionnez Créer. À la fin de cette étape, un fichier JSON est téléchargé. Enregistrez ce fichier car vous en aurez besoin lors de la configuration du magasin d’informations d’identification.

Étape 3 : ajouter Google Secret Manager à Orchestrator​

1. Accédez à la page Locataire dans Orchestrator.
2. Sélectionnez Identifiants et accédez à l'onglet Magasins.
3. Sélectionnez Ajouter un magasin d'informations d'identification.
4. Choisissez Google Secret Manager dans le menu déroulant Type.
5. Saisissez un nom pour votre magasin d'informations d'identification.
6. Dans le champ ID de projet Google Cloud, saisissez l'ID de projet de votre projet Google Cloud.
7. Dans le champ Clé de compte de service json, téléchargez le fichier JSON téléchargé à l'étape précédente.
8. Sélectionnez Créer.
   Important :

   • Lors de la récupération d'une ressource à partir d'un magasin d'informations d'identification Google Secret Manager (lecture-écriture ou lecture seule), la dernière version secrète est toujours récupérée. Assurez-vous que la dernière version est correcte.
   • Si la dernière version secrète est désactivée, la récupération échouera.Assurez-vous que la dernière version secrète est activée.

Utiliser Google Secret Manager​

Utilisation de Google Secret Manager (lecture seule)​

Stockage des ressources dans un magasin d'informations d'identification en lecture seule​

• Le nom de la ressource de la clé secrète doit correspondre exactement au nom externe configuré dans Google Secret Manager.
• Google Secret Manager peut uniquement contenir des lettres (A-Z, a-z), des chiffres (0-9), des tirets (-) et des traits de soulignement (_).
• La valeur secrète doit être enregistrée en tant que Version secrète avec la structure JSON suivante :
  assignment

  {"Username": "user", "Password": "pass"}
  {"Username": "user", "Password": "pass"}
  

Enregistrement des mots de passe de l'Unattended Robot​

• Le nom du secret doit correspondre au Nom externe de ce robot.
• Si aucun nom externe n'est configuré, le champ Nom d'utilisateur est utilisé à la place, avec des caractères non valides remplacés par _.
• La valeur secrète doit contenir uniquement le mot de passe du robot.