orchestrator
2024.10
true
UiPath logo, featuring letters U and I in white

Guide de l'utilisateur d'Orchestrator

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Dernière mise à jour 22 nov. 2024

Intégration des magasins d'identifiants

Intégration CyberArk®

Avant de commencer à utiliser les magasins d'identifiants CyberArk® dans Orchestrator, vous devez d'abord configurer l'application correspondante et les paramètres du coffre-fort dans l'interface PVWA (Password Vault Web Access) de CyberArk®.

Prérequis

  • CyberArk® Enterprise Password Vault doit être installé sur une machine qui peut communiquer directement avec celle sur laquelle Orchestrator est installé.
  • CyberArk® AAM (Application Access Manager) doit être installé sur la même machine qu'Orchestrator. Pour les configurations d'Orchestrator multinœud, une instance d'AAM doit être installée sur chaque nœud Orchestrator.

Pour plus d'informations sur l'installation et la configuration des applications CyberArk®, consultez leur page officielle.

Création d'une application Orchestrator

  1. Dans l'interface PVWA de CyberArk®, connectez-vous avec un utilisateur qui dispose des autorisations de gestion des applications (l'autorisation de gestion des utilisateurs est requise).
  2. Dans l'onglet Applications, cliquez sur Ajouter une application (Add Application). La page Ajouter une application (Add Application) s'affiche.


  3. Spécifiez les informations suivantes :
    • Champ Nom (Name) : un nom personnalisé pour l'application, tel qu'Orchestrator.
    • Description : une brève description pour vous aider à spécifier la fonction de la nouvelle application.
    • Section Propriétaire d'entreprise (Business owner) : option facultative (optionally), ajoutez des informations sur le propriétaire d'entreprise de l'application.
    • Emplacement (Location) : le chemin de l'application dans la hiérarchie du coffre. Si un emplacement n'est pas spécifié, l'application est ajoutée dans le même emplacement que le créateur de cette application.
  4. Cliquez sur Ajouter (Add). L'application est ajoutée et ses détails s'affichent sur la page Détails de l'application (Application Details).
  5. Dans l'onglet Authentification (Authentication), cochez la case Autoriser les restrictions de l'authentification étendue (Allow extended authentication restrictions).

    Voir les méthodes d’authentification prises en charge

    • Machines autorisées
    • Utilisateur SE
    • Chemin d'accès

  6. Configure la méthode d’authentification. Dans l'onglet Machines autorisées (Allowed Machines), cliquez sur Ajouter (Add). La fenêtre Ajouter une machine autorisée (Add allowed machine) s'affiche. Vous devez ajouter ici les informations sur la ou les machines sur lesquelles Orchestrator est installé.
  7. Dans le champ Adresse (Address), spécifiez l'adresse d'une machine à l'aide du format IP/hostname/DNS.
  8. Cliquez sur Ajouter (Add). L'adresse IP est répertoriée dans l'onglet Machines autorisées. Ces informations permettent au fournisseur d'informations d'identification de garantir que seules les applications qui s'exécutent sur les machines spécifiées peuvent accéder à leurs mots de passe.
  9. Effectuez les étapes 6 jusqu'à 8 autant de fois que nécessaire pour vous assurer que les serveurs autorisés incluent tous les serveurs de niveau intermédiaire ou tous les points de terminaison sur lesquels les fournisseurs d'identifiants AAM ont été installés. Ceci peut être le cas si vous avez installé Orchestrator sur plusieurs nœuds.

Création d'un coffre-fort Orchestrator

Les coffres-forts sont nécessaires à une meilleure gestion de vos comptes. En outre, vous pouvez ajouter des membres du coffre-fort pour garantir une autorisation adéquate. CyberArk® recommande l'ajout d'un fournisseur d'identifiants (utilisateur qui dispose des droits d'accès complets aux identifiants, peut en ajouter et les gérer) et de l'application créée auparavant en tant que membres du coffre-fort. Ce dernier permet à Orchestrator de rechercher et de récupérer les mots de passe stockés dans le coffre-fort.

  1. Dans l'onglet Stratégies (Policies), sous la section Contrôle d'accès (Coffre-fort) (Access Control (Safe)), cliquez sur Ajouter un coffre-fort (Add Safe). La page Ajouter un coffre-fort (Add Safe) s'affiche.


  2. Remplissez les champs Nom du coffre-fort (Safe Name) et Description.
  3. Cliquez sur Enregistrer (Save). La fenêtre Détails du coffre-fort (Safe Details) s'affiche.


  4. Dans la section Membres (Members), cliquez sur Ajouter un membre (Add Member). La fenêtre Ajouter un membre de coffre-fort (Add Safe Member) s'affiche.
  5. Recherchez l'application créée auparavant (étapes 2-5) pour pouvoir l'ajouter.
  6. Ajoutez un fournisseur d'identifiants, et sélectionnez les autorisations suivantes à cet effet :
    • Afficher les membres du coffre-fort (View Safe Members)
    • Récupérer des comptes (Retrieve accounts)
    • Répertorier les comptes (List accounts)
    • Accéder au coffre-fort sans confirmation : uniquement si vous utilisez un environnement à double contrôle et un PIM-PSM v7.2 ou antérieur.

      Si vous installez plusieurs fournisseurs d'informations d’identification pour cette intégration, il est recommandé de créer un groupe pour eux et de l'ajouter au coffre-fort une seule fois avec l’autorisation ci-dessus.

  7. Cliquez sur Ajouter (Add). Un message de confirmation s'affiche dans la fenêtre Ajouter un membre de coffre-fort (Add Safe Member).
  8. Ajoutez l'application créée auparavant en tant que membre du coffre-fort, avec l'autorisation de récupération de comptes (Retrieve accounts).
  9. Cliquez sur Ajouter (Add). Un message de confirmation s'affiche dans la fenêtre Ajouter un membre de coffre-fort (Add Safe Member).

Votre intégration est terminée et vous pouvez commencer à enregistrer les magasins d'identifiants CyberArk® dans Orchestrator. Pour plus de détails sur le stockage des identifiants du Robot, reportez- vous ici.

CyberArk® CCP integration

Le fournisseur d’identifiants central (Central Credential Provide ou CCP) est la méthode sans agent utilisée pour l’intégration à CyberArk. Il permet à UiPath® de récupérer des informations sensibles telles que les informations d’identification du Robot depuis un coffre-fort sans déployer d’agent sur le serveur. Un certificat client est nécessaire pour garantir la récupération sécurisée des informations d’identification.

Avant de commencer à utiliser les magasins d'identifiants CyberArk® CCP dans Orchestrator, vous devez d'abord configurer l'application correspondante et les paramètres du coffre-fort dans l'interface PVWA (Password Vault Web Access) de CyberArk®.

Prérequis

  • Un réseau permettant l’interconnectivité entre le service Orchestrator et le serveur CyberArk.
  • Le fournisseur central d’informations d’identification CyberArk® doit être installé sur une machine qui autorise les connexions HTTP.
  • CyberArk® Enterprise Password Vault

Pour plus d'informations sur l'installation et la configuration des applications CyberArk®, consultez leur page officielle.

Création d'une application Orchestrator

  1. Dans l'interface PVWA de CyberArk®, connectez-vous avec un utilisateur qui dispose des autorisations de gestion des applications (l'autorisation de gestion des utilisateurs est requise).
  2. Dans l'onglet Applications, cliquez sur Ajouter une application (Add Application). La fenêtre Ajouter un package (Add Package) s'affiche.


  3. Dans la fenêtre Ajouter une application (Add Application), spécifiez les informations suivantes :
    • Champ Nom (Name) : un nom personnalisé pour l'application, tel qu'Orchestrator.
    • Description : une brève description pour vous aider à spécifier la fonction de la nouvelle application.
    • Emplacement (Location) : le chemin de l'application dans la hiérarchie du coffre. Si un emplacement n'est pas spécifié, l'application est ajoutée dans le même emplacement que le créateur de cette application.



  4. Cliquez sur Ajouter (Add). L'application est ajoutée et ses détails s'affichent sur la page Détails de l'application (Application Details).
  5. Cochez la case Autoriser les restrictions d’authentification étendues (Allow extended authentication restrictions).

    Méthode d’authentification prise en charge :

    • Machines autorisées
    • Utilisateur SE
    • Certificats clients : le certificat client utilisé pour l'authentification CyberArk doit être supérieur ou égal à 2048 bits
  6. Configure la méthode d’authentification. Par exemple, dans l’onglet Authentification, cliquez sur Ajouter (Add) > Numéro de série de certificat (Certificate Serial Number), puis ajoutez l’identificateur unique du certificat client utilisé pour authentifier l'application à l'origine de la requête effectuée à l'encontre du CCP.


Création d'un coffre-fort Orchestrator

Les coffres-forts sont nécessaires à une meilleure gestion de vos comptes. En outre, vous pouvez ajouter des membres du coffre-fort pour garantir une autorisation adéquate. CyberArk® recommande l'ajout d'un fournisseur d'identifiants (utilisateur qui dispose des droits d'accès complets aux identifiants, peut en ajouter et les gérer) et de l'application créée auparavant en tant que membres du coffre-fort. Ce dernier permet à Orchestrator de rechercher et de récupérer les mots de passe stockés dans le coffre-fort.

  1. Dans l'onglet Stratégies (Policies), sous la section Contrôle d'accès (Coffre-fort) (Access Control (Safe)), cliquez sur Ajouter un coffre-fort (Add Safe). La page Ajouter un coffre-fort (Add Safe) s'affiche.


  2. Remplissez les champs Nom du coffre-fort (Safe Name) et Description.
  3. Cliquez sur Enregistrer (Save). La fenêtre Détails du coffre-fort (Safe Details) s'affiche.


  4. Dans la section Membres (Members), cliquez sur Ajouter un membre (Add Member). La fenêtre Ajouter un membre de coffre-fort (Add Safe Member) s'affiche.


  5. Recherchez l'application créée auparavant (étapes 2-6) et sélectionnez les autorisations suivantes correspondantes :
    • Afficher les membres du coffre-fort (View Safe Members)
    • Récupérer des comptes (Retrieve accounts)
    • Répertorier les comptes (List accounts)
    • Accéder au coffre-fort sans confirmation (Access Safe without Confirmation) : uniquement si vous utilisez un environnement à double contrôle et un PIM-PSM v7.2 ou antérieur.

      Si vous installez plusieurs fournisseurs d'informations d’identification pour cette intégration, il est recommandé de créer un groupe pour eux et de l'ajouter au coffre-fort une seule fois avec l’autorisation ci-dessus.



  6. Cliquez sur Ajouter (Add). Votre intégration est terminée et vous pouvez commencer à enregistrer les magasins d'identifiants CyberArk® dans Orchestrator. Pour plus de détails sur le stockage des identifiants du Robot, reportez-vous ici.

Alternative à CyberArk® AAM

Attention : nous ne recommandons pas cette solution et nous conseillons de l’utiliser uniquement comme solution de contournement temporaire lors de la migration vers CyberArk® CCP.

CyberArk® AAM n'est pas pris en charge en tant que solution prête à l'emploi, mais nous proposons une alternative : le Orchestrator Credentials Proxy. Cet outil vous permet de connecter Orchestrator et le magasin d'informations d'identification de votre choix via le proxy, plutôt que directement, ajoutant ainsi une couche de sécurité supplémentaire.

Le Orchestrator Credentials Proxy a été créé pour les scénarios Cloud , dans lesquels vous devrez peut-être développer et déployer vos propres plug-ins de magasin d'informations d'identification. Cependant, il peut également être utilisé dans des configurations locales, telles que Automation Suite . Voici ce que vous devez faire :

  1. Installez le proxy sur la machine Windows où votre client CyberArk® AAM a été configuré. Vous pouvez trouver des détails dans la section Orchestrator Credentials Proxy .

  2. Ajoutez le paramètre Features.CredentialStoreHost.Enabled à la carte de configuration orchestrator-customconfig et définissez-le sur true. Vous trouverez davantage de détails dans la section Préparation d’Orchestrator du guide Automation Suite.
  3. Configurez le proxy en suivant les instructions décrites dans la section Gestion des Credentials Proxy .

CyberArk® Conjur Cloud (lecture seule)

CyberArk® Conjur Cloud est une solution de gestion des clés secrètes basée sur SaaS et pouvant être hébergées sur n’importe quelle infrastructure cloud. Elle permet aux organisations de sécuriser l’accès non humain aux clés secrètes et d’éliminer le problème du « secret zéro ». Pour utiliser les magasins d’informations d’identification CyberArk® Conjur Cloud dans Orchestrator, vous devez configurer les paramètres du coffre-fort correspondants dans l’interface CyberArk® Privilege Cloud.

Prérequis

  • Un réseau qui permet l’interconnectivité entre les machines Orchestrator et le serveur CyberArk® Cloud.

  • Un utilisateur de CyberArk® Privilege Cloud disposant d’un accès à la création d’utilisateurs et de coffres-forts.

  • Un utilisateur de CyberArk® Privilege Cloud avec les autorisations d’accès aux coffres-forts concernés et la possibilité de créer des charges de travail.

Consultez la documentation officielle de CyberArk® Cloud pour plus d’informations sur la configuration de leurs applications.

Créer un coffre-fort Orchestrator pour le stockage des informations d'identification

  1. Dans l’interface CyberArk® Privilege Cloud, connectez-vous avec un compte disposant des autorisations de gestion des applications (l’autorisation de gestion des utilisateurs est requise).
  2. À côté du Portail utilisateur, sélectionnez Accueil.
  3. Dans Privilege Cloud, sélectionnez Politiques, puis Coffres-forts, puis Créer un coffre-fort. Ajoutez alors les informations suivantes :
    1. À l’étape Définir les propriétés du coffre-fort, ajoutez un nom personnalisé au coffre-fort et sélectionnez Suivant.
    2. À l’étape Sélectionner des membres du coffre-fort, sélectionnez Utilisateurs du composant système comme Source, recherchez Conjur Sync, sélectionnez l’utilisateur Conjur Cloud, puis sélectionnez Suivant.
    3. À l’étape Définir les autorisations du coffre-fort, sélectionnez Complètes pour les Autorisations prédéfinies, puis sélectionnez Créer un coffre-fort.
  4. Le nouveau coffre-fort s'affiche désormais dans les Politiques après avoir sélectionné Coffres-forts.

Créer un compte et une charge de travail pour accéder aux informations d'identification

Pour accéder aux coffres-forts que vous avez créés dans CyberArk®, vous aurez également besoin d’un compte dans Privilege Cloud et d’une charge de travail dans Con Cloud.

  1. Dans Privilege Cloud, sélectionnez Comptes, puis Ajouter un compte. Ensuite :
    1. À l’étape Sélectionner le type de système, sélectionnez Windows, puis Compte de domaine Windows, et sélectionnez un coffre-fort existant.
    2. À l’étape Définir les propriétés du compte, renseignez les champs Adresse, Nom d’utilisateur et Mot de passe.
    3. Activez l’option Personnaliser le nom du compte, si vous souhaitez ajouter un nom personnalisé à ce compte.
    Remarque : lorsqu’une ressource ou un robot est créé dans Orchestrator, il est lié à une clé secrète existante à l’aide du nom externe. Veillez à ce que le nom de compte généré ou personnalisé dans Orchestrator soit défini dans le champ Nom externe, qui devra correspondre aux informations du compte CyberArk®.
    Par exemple, le format data/vault/OrchestratorQA/companyname-john.doe/username représente un nom de compte personnalisé, tandis que le format data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address représente un nom de compte généré.
  2. Une fois que vous avez créé un coffre-fort et un compte, accédez au service Conjur Cloud, sélectionnez Ressources, Créer, puis Charge de travail.
    1. À l’étape Type de charge de travail, sélectionnez Autre.
    2. À l’étape Détails de la charge de travail, saisissez un nom personnalisé pour la charge de travail dans le champ Nom, puis sélectionnez données pour le champ Emplacement.
    3. Sous Authentification, sélectionnez Clé API.
    4. À l’étape Accès aux coffres-forts, sélectionnez le coffre-fort que vous avez créé.
    5. Vérifiez le résumé de votre configuration, puis sélectionnez Terminé.

    6. Vous pouvez copier la clé API, puis sélectionner Terminé.
    Pour obtenir des instructions sur la façon d’enregistrer les clés secrètes, consultez la page suivante :

Azure Key Vault integration

Azure Key Vault est un plug-in que vous pouvez utiliser comme magasin d'informations d'identification avec Orchestrator.

Deux plug-ins sont inclus :

  • Azure Key Vault : plug-in de lecture-écriture (les clés secrètes sont créées via Orchestrator)
  • Azure Key Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)

Prérequis

  • Les magasins d’informations d’identification Azure Key Vault utilisent l’authentification RBAC. Azure Key Vault requiert le rôle d’administrateur de clés secrètes de Key Vault, et Azure Key Vault (lecture seule) requiert le rôle d’utilisateur de clés secrètes.
  • Le plug-in Key Vault est défini dans votre fichier UiPath.Orchestrator.dll.config d'Orchestrator, comme décrit dans le Coffre de mot de passe (Password Vault).
  • Créez l'instance de Key Vault à utiliser avec Orchestrator dans votre compte Azure. Pour plus d'informations, reportez-vous à la documentation officielle de Microsoft ici.

Configuration

Dans le volet Inscription d'applications (App Registrations) du portail Azure, suivez ces étapes :

  1. Créez une nouvelle inscription d’application.
  2. Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
  3. Accédez à Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) > Nouvelle clé secrète du client (v) et ajoutez une nouvelle clé secrète du client. Notez l'expiration que vous avez choisie et créez une nouvelle clé secrète au préalable.
  4. Copiez la valeur de la clé secrète pour une utilisation ultérieure.

Dans Azure Key Vault, suivez ces étapes :

  1. Accédez à la page Présentation (Overview) de Key Vault et copiez l' URI du coffre (Vault URI) et l' ID d'annuaire (Directory ID) pour une utilisation ultérieure.
  2. Sélectionnez Paramètres (Settings) > Politiques d'accès (Access Policies) dans le menu de gauche.
  3. Cliquez sur Ajouter la stratégie d’accès (Add access policy).
    Les autorisations de stratégie d’accès requises sont Secret Get et Secret Set.
  4. À partir du menu déroulant Configurer depuis le modèle (facultatif) (Configure from template (optional)), sélectionnez Gestion des clés secrètes (Secret Management).
  5. Cliquez sur Aucun sélectionné (None selected) dans la section Application autorisée (Authorized application) pour activer le champ Sélectionner principal (Select principal).
  6. Entrez le nom d’inscription de l'application, confirmez que l’ID d’application est correct et sélectionnez ce principal.
  7. Cliquez sur Ajouter (Add).
  8. Cliquez sur Enregistrer (Save).

Vous êtes maintenant prêt à utiliser Vault URI, l'ID d'annuaire (Directory ID), l'ID d'application (client) (Application (Client) ID) et la Valeur (Value) de la clé secrète pour configurer un nouveau magasin d'informations d'identification.

Utiliser Azure Key Vault (lecture seule)

Lors de l'utilisation du plug-in Azure Key Vault (lecture seule), l'administrateur Vault est responsable de l'enregistrement correct des clés secrètes qu'Orchestrator utilisera. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.

Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :

Intégration de HashiCorp Vault

HashiCorp Vault est un plug-in que vous pouvez utiliser comme magasin d'informations d'identification avec Orchestrator.

Deux plug-ins sont inclus :

  • HashiCorp Vault : plug-in en lecture-écriture (les clés secrètes sont créées via Orchestrator)
  • HashiCorp Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)

Prérequis

  • Un réseau qui permet l'interconnectivité entre le service Orchestrator et le serveur HashiCorp Vault :

    • Le port API utilisé par HashiCorp Vault pour les requêtes API doit être ouvert via n'importe quel pare-feu et accessible depuis Internet. Ce port est 8200 dans une installation standard.
    • Si le pare-feu du client n'autorise pas la connectivité à partir d'une adresse IP Internet, les adresses IP d'Orchestrator doivent être ajoutées à la liste blanche.
  • Vous devez configurer l'une des méthodes d'authentification prises en charge :

  • Vous devez configurer l'un des moteurs de secrets pris en charge :

    • KeyValueV1 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
    • KeyValueV2 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) HashiCorp Vault (read-only)
    • ActiveDirectory : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
    • OpenLDAP : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))

  • La méthode d'authentification choisie doit avoir une stratégie qui autorise les fonctionnalités suivantes sur le chemin d'accès où vous prévoyez de stocker vos clés secrètes :

    • Pour le plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) : read
    • Pour le plug-in HashiCorp Vault : create , read , update , delete et éventuellement delete sur le chemin des métadonnées, si vous utilisez le moteur de secrets KeyValueV2 .

Configuration de l'intégration

Voici un exemple de configuration d'une version de développement de HashiCorp Vault, exécutée dans un conteneur Docker, à utiliser comme magasin d'informations d'identification avec Orchestrator. Les exemples doivent être adaptés à votre propre environnement. Veuillez consulter la documentation officielle de HashiCorp Vault pour plus de détails.

Configuration de l'authentification

Pour commencer à créer et à lire des clés secrètes, vous devez d'abord configurer la méthode d'authentification en suivant ces étapes :

  1. Ouvrez un shell à l'intérieur du conteneur :
    docker exec -it dev-vault shdocker exec -it dev-vault sh
  2. Connectez-vous en tant que racine. Assurez-vous que le jeton racine est affiché dans les journaux pour définir une variable d'environnement en exécutant la commande suivante :
    export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
  3. Vérifiez l'état du coffre en exécutant la commande suivante :
    vault statusvault status
  4. Ajoutez une clé secrète factice pour Orchestrator dans le magasin KV :
    vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456
  5. Accordez à Orchestrator l'accès au chemin d'accès secret/applications/orchestrator créé. Pour cela, vous devez d'abord créer une stratégie de lecture et d'écriture pour ce chemin d'accès et tous ses sous-chemins d'accès en exécutant la commande suivante :
    cat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOF
    Remarque :
    Lors de l'utilisation d'un moteur de secrets KeyValueV2, les clés secrètes sont écrites et récupérées via le chemin d'accès <mount>/data/<secret-path>, par opposition à <mount>/<secret-path> dans KeyValueV1. Cela ne change aucune des commandes CLI (autrement dit, vous ne spécifiez pas de données au niveau de votre chemin d'accès).
    Cependant, cela modifie les politiques, car les capacités sont appliquées au chemin réel. Dans l'exemple précédent, le chemin d'accès est secret/data/applications/orchestrator/* puisque nous travaillons avec un moteur de secrets KeyValueV2. Si une KeyValueV1 avait été utilisée, le chemin aurait été secret/applications/orchestrator/* .

    La capacité de suppression au niveau du chemin d'accès des métadonnées n'est nécessaire que si vous voulez vous assurer qu'Orchestrator n'oublie aucune clé de test lors de la vérification de la connectivité. Si cette capacité n'est pas accordée, une clé sera créée et oubliée lors de la création du magasin d'informations d'identification dans Orchestrator.

  6. Activez l'authentification à l'aide de la méthode d'authentification userpass, puis créez un utilisateur pour Orchestrator et attribuez la stratégie créée précédemment :
    vault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
    Remarque : Orchestrator prend en charge plusieurs modes d'authentification. Consultez la documentation de HashiCorp Vault pour savoir comment les configurer.
  7. Vérifiez que votre configuration est correcte en vous connectant et en essayant de lire la clé secrète créée précédemment :
    vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

    Sortie de cette commande :

    WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestrator
  8. Prenez ce jeton et définissez-le à la place du jeton racine, puis essayez de lire la clé secrète de test :
    export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecret

Sortie de cette commande :

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
Remarque :

Vous pouvez également activer la méthode Orchestrator appRole en exécutant la commande suivante :

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Vous disposerez alors d'un ID de rôle et d'un ID de secret à des fins de configuration dans Orchestrator.

Configuration du moteur de secrets Active Directory

Pour configurer le moteur de secrets Active Directory, suivez ces étapes :

  1. Activez le moteur de secrets Active Directory en exécutant la commande suivante :
    vault secrets enable advault secrets enable ad
  2. Configurez les informations d'identification utilisées par HashiCorp Vault pour communiquer avec Active Directory afin de générer des mots de passe :
    vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'
  3. Configurez un rôle qui mappe un nom dans HashiCorp Vault à un compte dans Active Directory. Lorsque les applications demanderont des mots de passe, les paramètres de rotation des mots de passe seront gérés par ce rôle.
    vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
  4. Accordez à orchestrator l'accès à ses informations d'identification sur ad/creds/orchestrator à l'aide d'une méthode d'authentification, telle que AppRole.
    cat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOF

Utilisation de HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))

Lors de l'utilisation du plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)), l'administrateur Vault est responsable de l'enregistrement correct des clés secrètes utilisées par Orchestrator. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.

Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :

Intégration BeyondTrust

L'intégration BeyondTrust est en lecture seule et se présente sous la forme de deux plug-ins au choix u: Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) et Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords).

Si Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) répond aux besoins des organisations avec des comptes locaux ou Active Directory, Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords) convient dans les scénarios où les informations d'identification de petits groupes doivent être stockées dans un environnement isolé.

La configuration des deux plug-ins est globalement identique, mais il existe également de légères différences. Cette page couvre les deux plug-ins.

Prérequis

  • Une instance BeyondTrust Server Cloud ou une installation locale similaire
  • Au-delà des informations d'identification Insight

Configuration de l'intégration

  1. Connectez-vous à l'instance BeyondTrust Server Cloud ou à une installation locale similaire à l'aide de vos informations d'identification Beyond Insight.
  2. Créez un Enregistrement d'API (API Registration) pour le groupe UiPath de comptes de service.


  3. Créez une Règle d'authentification (Authentication Rule) pour autoriser les connexions API entrantes depuis UiPath.


  4. Créez un groupe pour le ou les comptes de service UiPath et ajoutez les fonctionnalités suivantes :
    • Compte sécurisé par mot de passe
    • Rôle sécurisé par mot de passe



  5. Vous devez également attribuer des Règles intelligentes (Smart Rules) :
    • Les rôles Comptes gérés (Managed Accounts)/Lecture seule (Read-Only)/Demandeur (Requester) sont suffisants pour les demandes d'utilisateur standard
    • Pour l'accès ISA, le rôle Ressources /ISA (Assets/ISA) est nécessaire.



  6. Ajoutez l'enregistrement d'API au groupe.


  7. Créez un utilisateur et attribuez le groupe UiPath.


  8. Les étapes suivantes varient selon que vous utilisez Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) ou Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords).

Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)

Si vous utilisez Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts), effectuez les étapes suivantes :

  1. Ajoutez vos comptes gérés sous Systèmes gérés (Managed Systems).

  2. Assurez-vous d'utiliser l'option API activée (API Enabled) pour vos comptes gérés.



Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)

Si vous utilisez Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords), effectuez les étapes suivantes :

  1. Accédez à la page Mots de passe d'équipe (Team Passwords).

  2. Vous pouvez également créer un dossier.

  3. Sélectionnez un dossier.
  4. Utilisez l'option Créer des informations d'identification (Create New Credential).

Thycotic Secret Server integration

Remarque : Thycotic a été rebaptisé Delinea à la suite d’une fusion. Gardez cela à l'esprit lors de la configuration des intégrations de votre magasin d'informations d'identification.

Prérequis

  • Une instance cloud de Thycotic Secret Server ou une installation locale.

Configuration de l'intégration

Important :

Assurez-vous de lire la documentation Delinea pour obtenir des informations à jour.

  1. Connectez-vous à votre compte Secret Server.
  2. Accédez à Administrateur (Admin) > Gestion des utilisateurs (User Management) et cliquez sur Créer un utilisateur (Create User). Cochez la case Compte d’application (Application Account) pour générer un compte d’application.
  3. Accédez à Admin > Tout afficher ( See All ) > Outils et intégrations (Tools and Integrations ) > Gestion des clients SDK (SDK) et configurez une nouvelle règle d’intégration dans Intégration du client (Client Onboarding). Notez le nom et la clé de la règle d'intégration.
  4. Modifiez la règle d’intégration et attribuez le compte d’application créé à l’étape 2.
  5. Assurez-vous que le compte d’application lié à la règle d’intégration dispose d’autorisations sur les clés secrètes consultées par Orchestrator. Vous pouvez attribuer le compte d’application à un groupe et accorder à ce groupe l’accès aux dossiers requis, ou lui accorder un accès explicite aux clés secrètes.

Intégration d'AWS Secrets Manager

À propos d'AWS Secrets Manager

AWS Secrets Manager est un outil qui peut être utilisé comme magasin d'informations d'identification dans Orchestrator.

Il dispose de deux plugins :

  • AWS Secrets Manager
  • AWS Secrets Manager (lecture seule)

Le plug-in que vous pouvez utiliser, à savoir en lecture seule ou en lecture-écriture, est dicté par vos autorisations de stratégie AWS Identity and Access Management (IAM).

Si vous choisissez d'utiliser le plug-in en lecture seule, vous devez lier une ressource à un ensemble d'informations d'identification déjà disponibles dans AWS Secrets Manager.

Prérequis

Pour utiliser ce service :

  • Vous devez disposer d'un abonnement AWS.
  • Vous devez créer une stratégie IAM spécifique à Secrets Manager, que vous attribuez au rôle ou à l'utilisateur IAM du compte.

Configuration

Pour intégrer AWS Secrets Manager à Orchestrator, vous avez besoin de la clé d'accès et de la clé secrète qui sont générées une fois que vous avez créé un compte AWS IAM.

  • L'ID de clé d'accès se trouve dans l'onglet Informations d'identification de sécurité (Security credentials) de votre compte AWS IAM.
  • L'ID de clé secrète (Secret key ID) n'est fourni qu'après la création du compte. Il est donc important de le copier pour une utilisation future.

    Si vous égarez ou oubliez votre ID de clé secrète, vous devez créer une autre clé d'accès, puis remplacer les informations nécessaires dans Orchestrator.

De plus, vous devez vérifier la région que vous avez définie dans votre compte AWS, car c'est ce que vous saisirez dans le champ Région (Region) lors de la configuration du nouveau magasin d'informations d'identification.

Utilisation d'AWS Secrets Manager (lecture seule)

Lors de l'utilisation du plug-in AWS Secrets Manager (lecture seule) (AWS Secrets Manager (read only)), l'administrateur est responsable de l'enregistrement correct des clés secrètes utilisées par Orchestrator. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.

Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.