- Démarrage
- Meilleures pratiques
- Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Gestion des Robots
- Connexion des Robots à Orchestrator
- Exemples de configurations
- Enregistrement des identifiants du Robot dans CyberArk
- Configuration des Robots Attended
- Configurer des robots Unattended
- Stockage des mots de passe d'Unattended Robot dans Azure Key Vault (lecture seule)
- Stockage des informations d'identification de l'Unattended Robot dans HashiCorp Vault (lecture seule)
- Suppression des sessions Unattended déconnectées et qui ne répondent pas
- Authentification du Robot
- Authentification du Robot avec les informations d'identification du client
- Authentification par carte à puce
- Audit
- Gestion des magasins d'identifiants
- Intégration CyberArk® CCP
- Intégration Azure Key Vault
- Intégration de HashiCorp Vault
- Intégration BeyondTrust
- Service de catalogue de ressources
- Contexte des dossiers
- Automatisations
- Processus (Processes)
- Tâches (Jobs)
- Déclencheurs (Triggers)
- Journaux (Logs)
- Surveillance
- Files d'attente (Queues)
- Actifs
- Compartiments de stockage
- Test Suite - Orchestrator
- Intégrations
- Robots classiques
- Résolution des problèmes
Guide de l'utilisateur d'Orchestrator
Gestion des magasins d'identifiants
Base de données Orchestrator
- Cliquez sur Créer (Create), les magasins de base de données Orchestrator ne disposent d'aucune propriété configurable.
CyberArk
- Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
- Dans le champ ID d'application (App ID), entrez l'ID d'application de l'instance d'Orchestrator à partir de l'interface PVWA (Password Vault Web Access) de CyberArk®. Pour plus d'informations, reportez-vous ici. Cliquez ici pour plus de détails.
- Dans le champ CyberArk Safe, entrez le nom du coffre tel que défini dans l'interface PVWA de CyberArk®. Pour plus d'informations, reportez-vous ici. Cliquez ici pour plus de détails.
- Dans le champ Dossier CyberArk (CyberArk Folder), entrez l’emplacement auquel CyberArk® conserve vos informations d’identification.
-
Cliquez sur Créer (Create). Votre nouveau magasin d'identifiants est prêt à l'emploi.
CyberArk CCP
- Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
- Dans le champ ID d'application (App ID), entrez l'ID d'application de l'instance d'Orchestrator à partir de l'interface PVWA (Password Vault Web Access) de CyberArk®. Pour plus d'informations, reportez-vous ici. Cliquez ici pour plus de détails.
- Dans le champ CyberArk Safe, entrez le nom du coffre défini dans l'interface PVWA de CyberArk®. Pour plus d'informations, reportez-vous ici. Cliquez ici pour plus de détails.
- Dans le champ Dossier CyberArk (CyberArk Folder), entrez l’emplacement auquel CyberArk® conserve vos informations d’identification.
- Dans le champ URL du fournisseur central d’informations d’identification (Central Credential Provider URL), entrez l’adresse du fournisseur central d’informations d’identification.
-
Dans le champ Nom du service Web (Web Service Name), saisissez le nom du service Web du fournisseur central d'informations d'identification. Si vous laissez ce champ vide, le nom par défaut est utilisé : AIMWebService .
10.Le certificat client doit être configuré lorsque l'application CyberArk utilise la méthode d'authentification du certificat client. L'entrée attendue est un fichier.pfx
qui stocke la clé privée et la clé publique du certificat. Le certificat client doit être installé sur la machine sur laquelle CyberArk CCP AIMWebservice est déployé.Remarque :Le certificat client est utilisé par les informations d'identification CyberArk fournies pour authentifier l'application définie dans le magasin d'informations d'identification Orchestrator. Consultez la documentation officielle de CyberArk pour plus de détails sur les méthodes d'authentification des applications.
Le certificat client est un fichier au format binaire PKCS12 qui stocke la ou les clés publiques de la chaîne de certificats et la clé privée.
Si le certificat client dispose d'un encodage Base 64, exécutez la commandecertutil
suivante pour le décoder au format binaire :certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- Dans le champ Mot de passe du certificat client (Client Certificate Password), entrez le mot de passe du certificat client.
- Le Certificat de racine de serveur (Server Root Certificate) doit être configuré lorsqu'un certificat CA racine auto-signé est utilisé par CyberArk CCP AIMWebService pour les requêtes HTTP entrantes. Il est utilisé dans la validation de la chaîne de certificats d'établissement de liaison HTTPS TLS. L'entrée attendue est un fichier
.crt
qui stocke la clé publique du certificat CA racine. -
Cliquez sur Créer (Create). Votre nouveau magasin d'identifiants est prêt à l'emploi.
Azure Key Vault
Les magasins d'informations d'identification Key Vault utilisent l'authentification de type RBAC. Après avoir créé un principal de service, procédez comme suit :
-
Dans le champ Nom (Name), entrez un nom pour le nouveau magasin d'identifiants.
-
Dans le champ URI de Key Vault (Key Vault Uri), entrez l'adresse d'Azure Key Vault. Ici
https://<vault_name>.vault.azure.net/
. -
Dans le champ ID de répertoire (Directory ID), entrez l’ID de répertoire indiqué dans le portail Azure.
-
Dans le champ ID de client (Client Id), saisissez l’ID d’application à partir de la section Enregistrement d'applications Azure AD (Azure AD App Registrations) dans laquelle l’application Orchestrator a été enregistrée.
-
Dans le champ Clé secrète du client (Client Secret), saisissez la clé secrète nécessaire à l'authentification du compte client renseigné à l'étape précédente.
-
Cliquez sur Créer (Create). Votre nouveau magasin d'identifiants est prêt à l'emploi.
HashiCorp Vault
- Dans le champ Type, sélectionnez HashiCorp Vault ou HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) comme magasin d'informations d'identification.
- Dans le champ Nom (Name), spécifiez un nom pour le magasin d'informations d'identification HashiCorp Vault.
- Dans le champ URI du coffre (Vault Uri), indiquez l'URI vers l'API HTTP de HashiCorp Vault.
-
Dans le champ Type d'authentification (Authentication Type), indiquez votre méthode d'authentification préférée. Selon l'option que vous choisissez, vous devez configurer des champs supplémentaires :
-
AppRole : il s'agit de la méthode d'authentification recommandée. Si vous choisissez cette option, assurez-vous de configurer également les champs suivants :
- ID de rôle (Role Id) : indiquez l'ID de rôle à utiliser avec la méthode d'authentification AppRole.
- ID du secret (Secret Id) : entrez l'ID du secret à utiliser avec le type d'authentification AppRole.
-
UsernamePassword : si vous choisissez cette option, assurez-vous de configurer également les champs suivants :
- Nom d'utilisateur (Username) : entrez le nom d'utilisateur à utiliser avec UsernamePassword.
- Mot de passe (Password) : indiquez le mot de passe à utiliser avec le type d'authentification UsernamePassword.
-
LDAP : si vous choisissez cette option, assurez-vous de configurer également les champs suivants :
- Nom d'utilisateur : spécifiez le nom d'utilisateur à utiliser avec le type d'authentification LDAP.
- Mot de passe (Password) : indiquez le mot de passe à utiliser avec le type d'authentification LDAP.
-
Jeton (Token) : si vous choisissez cette option, assurez-vous de configurer également le champ suivant :
- Jeton (Token) : entrez le jeton à utiliser avec le type d'authentification Jeton (Token).
-
- Dans le champ Moteur des secrets (Secrets Engine), indiquez le moteur de secrets à utiliser. Vos options sont les suivantes :
- KeyValueV1
- KeyValueV2
- Active Directory
- Dans le champ Point de montage du moteur des clés secrètes (Secrets Engine Mount Path), indiquez le chemin d'accès du moteur de secrets. S'il n'est pas fourni, la valeur par défaut est
kv
pour KeyValueV1,kv-v2
pour KeyValueV2 etad
pour ActiveDirectory. - Dans le champ Chemin de données (Data Path), entrez le préfixe du chemin à utiliser pour toutes les clés secrètes stockées.
- Dans le champ Namespace, spécifiez l'espace de noms à utiliser. Uniquement disponible dans HashiCorp Vault Enterprise.
-
Cliquez sur Créer (Create). Votre nouveau magasin d'identifiants est prêt à l'emploi.
BeyondTrust
-
Dans le champ Type, sélectionnez l'une des options suivantes :
- Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)
- Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)
- Dans le champ Nom (Name), spécifiez le nom du magasin d'informations d'identification BeyondTrust.
- Dans le champ URL de l'hôte BeyondTrust (BeyondTrust Host URL), indiquez l'URL de votre instance de Secret Server.
- Dans le champ Clé d'enregistrement API (API Registration Key), indiquez la valeur de la clé d'enregistrement API de BeyondTrust.
-
Dans le champ Exécution d'API en tant que nom d'utilisateur (API Run As Username), spécifiez le nom d'utilisateur BeyondTrust sous lequel vous souhaitez exécuter les appels.
Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)
Si vous avez choisi Comptes gérés, sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts), effectuez les étapes suivantes :
-
Dans le champ Nom du système géré par défaut (Default Managed System Name), vous pouvez également indiquer un système géré de secours à utiliser au cas où aucun autre système géré n'a été fourni dans les ressources Orchestrator.
- Dans le champ Délimiteur de compte système (System-Account Delimiter), spécifiez le délimiteur utilisé pour séparer le nom du système géré du nom du compte géré dans les ressources Orchestrator.
- Dans le champ Type de compte géré (Managed Account Type), indiquez le type de compte géré BeyondTrust.
-
Cliquez sur Créer (Create). Votre nouveau magasin d'identifiants est prêt à l'emploi.
Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)
Si vous avez choisi Mots de passe d’équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords), effectuez les étapes suivantes :
-
Dans le champ Préfixe du chemin d'accès au dossier (Folder Path Prefix), indiquez un préfixe du chemin d'accès au dossier par défaut. Il sera ajouté devant toutes les valeurs de ressources Orchestrator.
- Dans le champ Délimiteur de dossier/compte (Folder / Account Delimiter), entrez le délimiteur utilisé pour séparer le chemin d'accès du titre dans les ressources Orchestrator.
-
Cliquez sur Créer (Create). Votre nouveau magasin d'identifiants est prêt à l'emploi.
Accédez à Magasins (Locataire (Tenant) > Informations d’identification > Magasins), et à partir du menu Autres actions (More Actions) du magasin désiré, sélectionnez Modifier (Edit) La fenêtre Modifier le magasin d'informations d’identification (Edit Credential Store) s’affiche.
Lorsque vous utilisez au moins 2 magasins d'identifiants, vous avez la possibilité de sélectionner le magasin par défaut utilisé pour les Robots et les actifs. Le même magasin peut être utilisé par défaut pour les deux, ou vous pouvez sélectionner un autre magasin par défaut pour chacun.
Pour sélectionner un magasin par défaut depuis le menu Autres actions (More Actions), sélectionnez Définir comme magasin par défaut des robots (Set as robots default store) et/ou Définir comme magasin par défaut des actifs (Set as assets default store).
Pour supprimer un magasin d'identifiants, sélectionnez Supprimer (Remove) dans le menu Autres actions (More Actions) du magasin souhaité.
Si le magasin sélectionné est en cours d'utilisation, une boîte de dialogue d'avertissement s'affiche et répertorie le nombre de robots et d'actifs qui seront affectés. Cliquez sur Supprimer (Delete) pour confirmer la suppression ou sur Annuler (Cancel) pour abandonner. Notez qu'au moins un magasin d'identifiants doit être en permanence actif. Si un seul est présent, l'option de suppression ne s'affiche pas.