orchestrator

2024.10

true

Démarrage
- Introduction
- Options de l’utilisateur
- Connexion à Orchestrator
- Réinitialiser votre mot de passe
- Robots
  - États du Robot
  - Paramètres du Robot
- Mise à jour automatique des composants clients
- Liste de contrôle de configuration d'Orchestrator
Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Gestion de grands déploiements
- Meilleures pratiques d'automatisation
- Optimisation de l'infrastructure Unattended à l'aide de modèles de machine
- Automatisation non assistée
- Organisation des ressources avec des balises
- Réplica Orchestrator en lecture seule
- Exportation des grilles dans l'arrière-plan
Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Robots
- Dossiers
- Surveillance
- Contrôle d'accès
- Configurer les capacités d’automatisation
- Machines
- Paquets
- Audit
- Magasins d'identifiants
  - Gestion des magasins d'identifiants
  - Intégration des magasins d'identifiants
- Webhooks
  - Types d'événements
  - Gestion des Webhooks
- Licences
  - Gestion de vos licences
- Alertes
- Paramètres - Niveau du locataire
Service de catalogue de ressources
- À propos du service de catalogue de ressources
Contexte des dossiers
- À propos du contexte des dossiers
- Accueil
Automatisations
- À propos des automatisations
Processus (Processes)
- À propos des processus
- Gestion des processus
- Gestion des exigences de package
- Enregistrement
Tâches (Jobs)
- À propos des tâches
- Gestion des tâches
- États d'une tâche
- Travailler avec des workflows de longue durée
- Exécuter des automatisations à distance personnelles
- Stratégie de conservation des données des processus
Déclencheurs (Triggers)
- À propos des déclencheurs
  - Déclencheurs de temps
  - Déclencheurs de file d'attente
- Gestion des déclencheurs
  - Création d'un déclencheur de temps
  - Création d'un déclencheur de file d'attente
- Gestion des jours non ouvrables
- Utilisation d'expressions cron
  - Déclenchement des tâches le dernier jour du mois
Journaux (Logs)
- À propos des journaux
- Gestion des journaux dans Orchestrator
- Niveaux de journalisation
- Journaux d'Orchestrator
Surveillance
- À propos de la surveillance
- Machines
- Processus (Processes)
- Files d'attente (Queues)
- SLA de files dʹattente
- Exporter les données d'utilisation
Files d'attente (Queues)
- À propos des files d'attente et des transactions
- Téléchargement d'éléments en bloc à l'aide d'un fichier CSV
- Gestion des files d'attente dans Orchestrator
- Gestion des files d'attente dans Studio
- Gestion des transactions
  - Modification des transactions
  - Description des champs du fichier .csv des transactions
- Demandes de révision
Actifs
- À propos des actifs
- Gestion des actifs dans Orchestrator
- Gestion des actifs dans Studio
- Stockage des ressources dans Azure Key Vault (lecture seule)
- Stockage des ressources dans HashiCorp Vault (lecture seule)
- Stockage des ressources dans AWS Secrets Manager (lecture seule)
Compartiments de stockage
- À propos des compartiments de stockage
  - Configuration CORS/CSP
- Gestion des compartiments de stockage
- Déplacement des données de compartiment entre les fournisseurs de stockage
Tests d'Orchestrator
- Automatisation de test
- Cas de test
  - Description des champs de la page Cas de test (Test Cases)
- Ensembles de tests
  - Description des champs de la page Ensembles de test (Test Sets)
- Exécutions de test
  - Description des champs de la page Exécutions de test (Test Executions)
- Planifications de test
  - Description des champs de la page Planifications de test (Test Schedules)
- Files d'attente de données de test
- Test de la stratégie de conservation des données
Autres configurations
- Augmentation de la limite de taille des fichiers de paquets
- Configuration de la clé de chiffrement par locataire
- Compression GZIP
Intégrations
- À propos des arguments d'entrée et de sortie
  - Exemple d'utilisation des arguments d'entrée et de sortie
Administration de l'hôte
- À propos du niveau de l’hôte
- Gestion des administrateurs système
- Gestion des locataires
- Configuration des paramètres d'authentification de l'hôte
- Gestion de votre licence d'hôte
  - Attribution de licences à des locataires
- Configuration des notifications par e-mail du système
- Configuration d’autres paramètres de l’hôte
- Journaux d'audit pour le portail hôte
- Mode de Maintenance
Administration de l'organisation
- À propos des organisations
- Gestion des administrateurs de l'organisation
- Gestion des paramètres de l'organisation
- Configuration de l’authentification de l’organisation
- Configuration de la sécurité de l'organisation
  - Politique de session
  - Restriction de l'accès à un ensemble d'utilisateurs
- À propos des licences
  - Activation de votre licence
- Comptes et groupes
  - Gestion de l’accès
  - Gestion des comptes et des groupes
- Autoriser les applications externes
  - Gestion des applications externes OAuth
  - Configurer des accès affinés pour les applications confidentielles
- Gestion des balises
- Contournement des paramètres des e-mails système
  - Utilisation des paramètres de messagerie par défaut
    - Paramètres de messagerie électronique par défaut
  - Utilisation des paramètres de messagerie électronique personnalisés
    - Paramètres de messagerie personnalisés
- Journaux d’audit
Résolution des problèmes
- À propos de la résolution des problèmes
- Résoudre les problèmes d’alertes
- Résolution des problèmes d'ordre général
- Erreurs d'Orchestrator fréquemment rencontrées

Important :

La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.

Guide de l'utilisateur d'Orchestrator

PRODUIT :

Dernière mise à jour 10 sept. 2025

Intégration des magasins d'identifiants

Intégration CyberArk®

Avant de commencer à utiliser les magasins d'identifiants CyberArk® dans Orchestrator, vous devez d'abord configurer l'application correspondante et les paramètres du coffre-fort dans l'interface PVWA (Password Vault Web Access) de CyberArk®.

Prérequis

Le plug-in CyberArk® est défini dans votre fichier UiPath.Orchestrator.dll.config d'Orchestrator, comme décrit ici.
CyberArk® Enterprise Password Vault doit être installé sur une machine qui peut communiquer directement avec celle sur laquelle Orchestrator est installé.
CyberArk® AAM (Application Access Manager) doit être installé sur la même machine qu'Orchestrator. Pour les configurations d'Orchestrator multinœud, une instance d'AAM doit être installée sur chaque nœud Orchestrator.

Remarque : si vous mettez à niveau une instance d'Orchestrator avec une configuration CyberArk® existante dans le fichier UiPath.Orchestrator.dll.config, un magasin d'informations d'identification CyberArk Robot Credentials avec ces paramètres sera automatiquement créé dans tous les locataires et défini comme magasin par défaut pour les robots. Vos robots existants sont migrés vers ce nouveau magasin d'informations d'identification.

Pour plus d'informations sur l'installation et la configuration des applications CyberArk®, consultez leur page officielle.

Configuration de l'intégration

À partir de CyberArk® PVWA, vous devez effectuer les étapes suivantes :

Création d'une application Orchestrator

Dans l'interface PVWA de CyberArk®, connectez-vous avec un utilisateur qui dispose des autorisations de gestion des applications (l'autorisation de gestion des utilisateurs est requise).
Dans l'onglet Applications, cliquez sur Ajouter une application (Add Application). La page Ajouter une application (Add Application) s'affiche.
Spécifiez les informations suivantes :
- Champ Nom (Name) : un nom personnalisé pour l'application, tel qu'Orchestrator.
- Description : une brève description pour vous aider à spécifier la fonction de la nouvelle application.
- Section Propriétaire d'entreprise (Business owner) : option facultative (optionally), ajoutez des informations sur le propriétaire d'entreprise de l'application.
- Emplacement (Location) : le chemin de l'application dans la hiérarchie du coffre. Si un emplacement n'est pas spécifié, l'application est ajoutée dans le même emplacement que le créateur de cette application.
Cliquez sur Ajouter (Add). L'application est ajoutée et ses détails s'affichent sur la page Détails de l'application (Application Details).
Dans l'onglet Authentification (Authentication), cochez la case Autoriser les restrictions de l'authentification étendue (Allow extended authentication restrictions).
Voir les méthodes d’authentification prises en charge
- Machines autorisées
- Utilisateur SE
- Chemin d'accès
  
  Activez le paramètre d’application Plugins.SecureStores.CyberArk.UsePowerShellCLI pour récupérer les informations d’identification d’un coffre-fort CyberArk lors de l’utilisation de l’authentification par chemin.
Configure la méthode d’authentification. Dans l'onglet Machines autorisées (Allowed Machines), cliquez sur Ajouter (Add). La fenêtre Ajouter une machine autorisée (Add allowed machine) s'affiche. Vous devez ajouter ici les informations sur la ou les machines sur lesquelles Orchestrator est installé.
Dans le champ Adresse (Address), spécifiez l'adresse d'une machine à l'aide du format IP/hostname/DNS.
Cliquez sur Ajouter (Add). L'adresse IP est répertoriée dans l'onglet Machines autorisées. Ces informations permettent au fournisseur d'informations d'identification de garantir que seules les applications qui s'exécutent sur les machines spécifiées peuvent accéder à leurs mots de passe.
Effectuez les étapes 6 jusqu'à 8 autant de fois que nécessaire pour vous assurer que les serveurs autorisés incluent tous les serveurs de niveau intermédiaire ou tous les points de terminaison sur lesquels les fournisseurs d'identifiants AAM ont été installés. Ceci peut être le cas si vous avez installé Orchestrator sur plusieurs nœuds.

Création d'un coffre-fort Orchestrator

Les coffres-forts sont nécessaires à une meilleure gestion de vos comptes. En outre, vous pouvez ajouter des membres du coffre-fort pour garantir une autorisation adéquate. CyberArk® recommande l'ajout d'un fournisseur d'identifiants (utilisateur qui dispose des droits d'accès complets aux identifiants, peut en ajouter et les gérer) et de l'application créée auparavant en tant que membres du coffre-fort. Ce dernier permet à Orchestrator de rechercher et de récupérer les mots de passe stockés dans le coffre-fort.

Dans l'onglet Stratégies (Policies), sous la section Contrôle d'accès (Coffre-fort) (Access Control (Safe)), cliquez sur Ajouter un coffre-fort (Add Safe). La page Ajouter un coffre-fort (Add Safe) s'affiche.
Remplissez les champs Nom du coffre-fort (Safe Name) et Description.
Cliquez sur Enregistrer (Save). La fenêtre Détails du coffre-fort (Safe Details) s'affiche.
Dans la section Membres (Members), cliquez sur Ajouter un membre (Add Member). La fenêtre Ajouter un membre de coffre-fort (Add Safe Member) s'affiche.
Recherchez l'application créée auparavant (étapes 2-5) pour pouvoir l'ajouter.
Ajoutez un fournisseur d'identifiants, et sélectionnez les autorisations suivantes à cet effet :
- Afficher les membres du coffre-fort (View Safe Members)
- Récupérer des comptes (Retrieve accounts)
- Répertorier les comptes (List accounts)
- Accéder au coffre-fort sans confirmation : uniquement si vous utilisez un environnement à double contrôle et un PIM-PSM v7.2 ou antérieur.
  
  Si vous installez plusieurs fournisseurs d'informations d’identification pour cette intégration, il est recommandé de créer un groupe pour eux et de l'ajouter au coffre-fort une seule fois avec l’autorisation ci-dessus.
Cliquez sur Ajouter (Add). Un message de confirmation s'affiche dans la fenêtre Ajouter un membre de coffre-fort (Add Safe Member).
Ajoutez l'application créée auparavant en tant que membre du coffre-fort, avec l'autorisation de récupération de comptes (Retrieve accounts).
Cliquez sur Ajouter (Add). Un message de confirmation s'affiche dans la fenêtre Ajouter un membre de coffre-fort (Add Safe Member).

Votre intégration est terminée et vous pouvez commencer à enregistrer les magasins d'identifiants CyberArk® dans Orchestrator. Pour plus de détails sur le stockage des identifiants du Robot, reportez- vous ici.

CyberArk® CCP integration

Le fournisseur d’identifiants central (Central Credential Provide ou CCP) est la méthode sans agent utilisée pour l’intégration à CyberArk. Il permet à UiPath® de récupérer des informations sensibles telles que les informations d’identification du Robot depuis un coffre-fort sans déployer d’agent sur le serveur. Un certificat client est nécessaire pour garantir la récupération sécurisée des informations d’identification.

Avant de commencer à utiliser les magasins d'identifiants CyberArk® CCP dans Orchestrator, vous devez d'abord configurer l'application correspondante et les paramètres du coffre-fort dans l'interface PVWA (Password Vault Web Access) de CyberArk®.

Prérequis

Un réseau permettant l’interconnectivité entre le service Orchestrator et le serveur CyberArk.
Le fournisseur central d’informations d’identification CyberArk® doit être installé sur une machine qui autorise les connexions HTTP.
CyberArk® Enterprise Password Vault

Pour plus d'informations sur l'installation et la configuration des applications CyberArk®, consultez leur page officielle.

Configuration de l'intégration

À partir de CyberArk® PVWA, vous devez effectuer les étapes suivantes :

Création d'une application Orchestrator

Dans l'interface PVWA de CyberArk®, connectez-vous avec un utilisateur qui dispose des autorisations de gestion des applications (l'autorisation de gestion des utilisateurs est requise).
Dans l'onglet Applications, cliquez sur Ajouter une application (Add Application). La fenêtre Ajouter un package (Add Package) s'affiche.
Dans la fenêtre Ajouter une application (Add Application), spécifiez les informations suivantes :
- Champ Nom (Name) : un nom personnalisé pour l'application, tel qu'Orchestrator.
- Description : une brève description pour vous aider à spécifier la fonction de la nouvelle application.
- Emplacement (Location) : le chemin de l'application dans la hiérarchie du coffre. Si un emplacement n'est pas spécifié, l'application est ajoutée dans le même emplacement que le créateur de cette application.
Cliquez sur Ajouter (Add). L'application est ajoutée et ses détails s'affichent sur la page Détails de l'application (Application Details).
Cochez la case Autoriser les restrictions d’authentification étendues (Allow extended authentication restrictions).
Méthode d’authentification prise en charge :
- Machines autorisées
- Utilisateur SE
- Certificats clients : le certificat client utilisé pour l'authentification CyberArk doit être supérieur ou égal à 2048 bits
Configure la méthode d’authentification. Par exemple, dans l’onglet Authentification, cliquez sur Ajouter (Add) > Numéro de série de certificat (Certificate Serial Number), puis ajoutez l’identificateur unique du certificat client utilisé pour authentifier l'application à l'origine de la requête effectuée à l'encontre du CCP.

Création d'un coffre-fort Orchestrator

Dans l'onglet Stratégies (Policies), sous la section Contrôle d'accès (Coffre-fort) (Access Control (Safe)), cliquez sur Ajouter un coffre-fort (Add Safe). La page Ajouter un coffre-fort (Add Safe) s'affiche.
Remplissez les champs Nom du coffre-fort (Safe Name) et Description.
Cliquez sur Enregistrer (Save). La fenêtre Détails du coffre-fort (Safe Details) s'affiche.
Dans la section Membres (Members), cliquez sur Ajouter un membre (Add Member). La fenêtre Ajouter un membre de coffre-fort (Add Safe Member) s'affiche.
Recherchez l'application créée auparavant (étapes 2-6) et sélectionnez les autorisations suivantes correspondantes :
- Afficher les membres du coffre-fort (View Safe Members)
- Récupérer des comptes (Retrieve accounts)
- Répertorier les comptes (List accounts)
- Accéder au coffre-fort sans confirmation (Access Safe without Confirmation) : uniquement si vous utilisez un environnement à double contrôle et un PIM-PSM v7.2 ou antérieur.
  
  Si vous installez plusieurs fournisseurs d'informations d’identification pour cette intégration, il est recommandé de créer un groupe pour eux et de l'ajouter au coffre-fort une seule fois avec l’autorisation ci-dessus.
Cliquez sur Ajouter (Add). Votre intégration est terminée et vous pouvez commencer à enregistrer les magasins d'identifiants CyberArk® dans Orchestrator. Pour plus de détails sur le stockage des identifiants du Robot, reportez-vous ici.

Azure Key Vault integration

Azure Key Vault est un plug-in que vous pouvez utiliser comme magasin d'informations d'identification avec Orchestrator.

Deux plug-ins sont inclus :

Azure Key Vault : plug-in de lecture-écriture (les clés secrètes sont créées via Orchestrator)
Azure Key Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)

Prérequis

Les magasins d’informations d’identification Azure Key Vault utilisent l’authentification RBAC. Azure Key Vault requiert le rôle d’administrateur de clés secrètes de Key Vault, et Azure Key Vault (lecture seule) requiert le rôle d’utilisateur de clés secrètes.
Le plug-in Key Vault est défini dans votre fichier UiPath.Orchestrator.dll.config d'Orchestrator, comme décrit dans le Coffre de mot de passe (Password Vault).
Créez l'instance de Key Vault à utiliser avec Orchestrator dans votre compte Azure. Pour plus d'informations, reportez-vous à la documentation officielle de Microsoft ici.

Configuration

Dans le volet Inscription d'applications (App Registrations) du portail Azure, suivez ces étapes :

Créez une nouvelle inscription d’application.
Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
Accédez à Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) > Nouvelle clé secrète du client (v) et ajoutez une nouvelle clé secrète du client. Notez l'expiration que vous avez choisie et créez une nouvelle clé secrète au préalable.
Copiez la valeur de la clé secrète pour une utilisation ultérieure.

Dans Azure Key Vault, suivez ces étapes :

Accédez à la page Présentation (Overview) de Key Vault et copiez l' URI du coffre (Vault URI) et l' ID d'annuaire (Directory ID) pour une utilisation ultérieure.
Sélectionnez Paramètres (Settings) > Politiques d'accès (Access Policies) dans le menu de gauche.
Cliquez sur Ajouter la stratégie d’accès (Add access policy).
Les autorisations de stratégie d’accès requises sont Secret Get et Secret Set.
À partir du menu déroulant Configurer depuis le modèle (facultatif) (Configure from template (optional)), sélectionnez Gestion des clés secrètes (Secret Management).
Cliquez sur Aucun sélectionné (None selected) dans la section Application autorisée (Authorized application) pour activer le champ Sélectionner principal (Select principal).
Entrez le nom d’inscription de l'application, confirmez que l’ID d’application est correct et sélectionnez ce principal.
Cliquez sur Ajouter (Add).
Cliquez sur Enregistrer (Save).

Vous êtes maintenant prêt à utiliser Vault URI, l'ID d'annuaire (Directory ID), l'ID d'application (client) (Application (Client) ID) et la Valeur (Value) de la clé secrète pour configurer un nouveau magasin d'informations d'identification.

Utiliser Azure Key Vault (lecture seule)

Lors de l'utilisation du plug-in Azure Key Vault (lecture seule), l'administrateur Vault est responsable de l'enregistrement correct des clés secrètes qu'Orchestrator utilisera. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.

Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :

Intégration de HashiCorp Vault

HashiCorp Vault est un plug-in que vous pouvez utiliser comme magasin d'informations d'identification avec Orchestrator.

Deux plug-ins sont inclus :

HashiCorp Vault : plug-in en lecture-écriture (les clés secrètes sont créées via Orchestrator)
HashiCorp Vault (lecture seule) : plug-in en lecture seule (vous devez enregistrer les clés secrètes directement dans le coffre)

Prérequis

Un réseau qui permet l'interconnectivité entre le service Orchestrator et le serveur HashiCorp Vault :
- Le port API utilisé par HashiCorp Vault pour les requêtes API doit être ouvert via n'importe quel pare-feu et accessible depuis Internet. Ce port est 8200 dans une installation standard.
- Si le pare-feu du client n'autorise pas la connectivité à partir d'une adresse IP Internet, les adresses IP d'Orchestrator doivent être ajoutées à la liste blanche.
Vous devez configurer l'une des méthodes d'authentification prises en charge :
- AppRole (recommandé)
- UsernamePassword
- LDAP
- Jeton
  Découvrez comment configurer l'authentification.
Vous devez configurer l'un des moteurs de secrets pris en charge :
- KeyValueV1 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
- KeyValueV2 : disponible pour HashiCorp Vault et HashiCorp Vault (lecture seule) HashiCorp Vault (read-only)
- ActiveDirectory : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
- OpenLDAP : disponible uniquement pour HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))
La méthode d'authentification choisie doit avoir une stratégie qui autorise les fonctionnalités suivantes sur le chemin d'accès où vous prévoyez de stocker vos clés secrètes :
- Pour le plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)) : read
- Pour le plug-in HashiCorp Vault : create , read , update , delete et éventuellement delete sur le chemin des métadonnées, si vous utilisez le moteur de secrets KeyValueV2 .

Configuration de l'intégration

Voici un exemple de configuration d'une version de développement de HashiCorp Vault, exécutée dans un conteneur Docker, à utiliser comme magasin d'informations d'identification avec Orchestrator. Les exemples doivent être adaptés à votre propre environnement. Veuillez consulter la documentation officielle de HashiCorp Vault pour plus de détails.

Configuration de l'authentification

Pour commencer à créer et à lire des clés secrètes, vous devez d'abord configurer la méthode d'authentification en suivant ces étapes :

Ouvrez un shell à l'intérieur du conteneur :
```
docker exec -it dev-vault shdocker exec -it dev-vault sh
```
Connectez-vous en tant que racine. Assurez-vous que le jeton racine est affiché dans les journaux pour définir une variable d'environnement en exécutant la commande suivante :
```
export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
```
Vérifiez l'état du coffre en exécutant la commande suivante :
```
vault statusvault status
```

Ajoutez une clé secrète factice pour Orchestrator dans le magasin KV :

vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456

Accordez à Orchestrator l'accès au chemin d'accès secret/applications/orchestrator créé. Pour cela, vous devez d'abord créer une stratégie de lecture et d'écriture pour ce chemin d'accès et tous ses sous-chemins d'accès en exécutant la commande suivante :
```
cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
```
Remarque :
Lors de l'utilisation d'un moteur de secrets KeyValueV2, les clés secrètes sont écrites et récupérées via le chemin d'accès <mount>/data/<secret-path>, par opposition à <mount>/<secret-path> dans KeyValueV1. Cela ne change aucune des commandes CLI (autrement dit, vous ne spécifiez pas de données au niveau de votre chemin d'accès).

Cependant, cela modifie les politiques, car les capacités sont appliquées au chemin réel. Dans l'exemple précédent, le chemin d'accès est secret/data/applications/orchestrator/* puisque nous travaillons avec un moteur de secrets KeyValueV2. Si une KeyValueV1 avait été utilisée, le chemin aurait été secret/applications/orchestrator/* .

La capacité de suppression au niveau du chemin d'accès des métadonnées n'est nécessaire que si vous voulez vous assurer qu'Orchestrator n'oublie aucune clé de test lors de la vérification de la connectivité. Si cette capacité n'est pas accordée, une clé sera créée et oubliée lors de la création du magasin d'informations d'identification dans Orchestrator.
Activez l'authentification à l'aide de la méthode d'authentification userpass, puis créez un utilisateur pour Orchestrator et attribuez la stratégie créée précédemment :
```
vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
```
Remarque : Orchestrator prend en charge plusieurs modes d'authentification. Consultez la documentation de HashiCorp Vault pour savoir comment les configurer.

Vérifiez que votre configuration est correcte en vous connectant et en essayant de lire la clé secrète créée précédemment :

vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

Sortie de cette commande :

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

Prenez ce jeton et définissez-le à la place du jeton racine, puis essayez de lire la clé secrète de test :

export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret

Sortie de cette commande :

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

Remarque :

Vous pouvez également activer la méthode Orchestrator appRole en exécutant la commande suivante :

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Vous disposerez alors d'un ID de rôle et d'un ID de secret à des fins de configuration dans Orchestrator.

Configuration du moteur de secrets Active Directory

Pour configurer le moteur de secrets Active Directory, suivez ces étapes :

Activez le moteur de secrets Active Directory en exécutant la commande suivante :
```
vault secrets enable advault secrets enable ad
```

Configurez les informations d'identification utilisées par HashiCorp Vault pour communiquer avec Active Directory afin de générer des mots de passe :

vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'

Configurez un rôle qui mappe un nom dans HashiCorp Vault à un compte dans Active Directory. Lorsque les applications demanderont des mots de passe, les paramètres de rotation des mots de passe seront gérés par ce rôle.
```
vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
```

Accordez à orchestrator l'accès à ses informations d'identification sur ad/creds/orchestrator à l'aide d'une méthode d'authentification, telle que AppRole.

cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF

Utilisation de HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only))

Lors de l'utilisation du plug-in HashiCorp Vault (lecture seule) (HashiCorp Vault (read-only)), l'administrateur Vault est responsable de l'enregistrement correct des clés secrètes utilisées par Orchestrator. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.

Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :

Stockage des informations d'identification de l'Unattended Robot dans HashiCorp Vault (lecture seule)

Stockage des ressources dans HashiCorp Vault (lecture seule)

Intégration BeyondTrust

L'intégration BeyondTrust est en lecture seule et se présente sous la forme de deux plug-ins au choix u: Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) et Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords).

Si Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) répond aux besoins des organisations avec des comptes locaux ou Active Directory, Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords) convient dans les scénarios où les informations d'identification de petits groupes doivent être stockées dans un environnement isolé.

La configuration des deux plug-ins est globalement identique, mais il existe également de légères différences. Cette page couvre les deux plug-ins.

Prérequis

Une instance BeyondTrust Server Cloud ou une installation locale similaire
Au-delà des informations d'identification Insight

Configuration de l'intégration

Connectez-vous à l'instance BeyondTrust Server Cloud ou à une installation locale similaire à l'aide de vos informations d'identification Beyond Insight.
Créez un Enregistrement d'API (API Registration) pour le groupe UiPath de comptes de service.
Créez une Règle d'authentification (Authentication Rule) pour autoriser les connexions API entrantes depuis UiPath.
Créez un groupe pour le ou les comptes de service UiPath et ajoutez les fonctionnalités suivantes :
- Compte sécurisé par mot de passe
- Rôle sécurisé par mot de passe
Vous devez également attribuer des Règles intelligentes (Smart Rules) :
- Les rôles Comptes gérés (Managed Accounts)/Lecture seule (Read-Only)/Demandeur (Requester) sont suffisants pour les demandes d'utilisateur standard
- Pour l'accès ISA, le rôle Ressources /ISA (Assets/ISA) est nécessaire.
Ajoutez l'enregistrement d'API au groupe.
Créez un utilisateur et attribuez le groupe UiPath.
Les étapes suivantes varient selon que vous utilisez Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts) ou Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords).

Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)

Si vous utilisez Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts), effectuez les étapes suivantes :

Ajoutez vos comptes gérés sous Systèmes gérés (Managed Systems).
Assurez-vous d'utiliser l'option API activée (API Enabled) pour vos comptes gérés.

Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)

Si vous utilisez Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords), effectuez les étapes suivantes :

Accédez à la page Mots de passe d'équipe (Team Passwords).
Vous pouvez également créer un dossier.
Sélectionnez un dossier.
Utilisez l'option Créer des informations d'identification (Create New Credential).

Thycotic Secret Server integration

Remarque : Thycotic a été rebaptisé Delinea à la suite d’une fusion. Gardez cela à l'esprit lors de la configuration des intégrations de votre magasin d'informations d'identification.

Prérequis

Une instance cloud de Thycotic Secret Server ou une installation locale.

Configuration de l'intégration

Important :

Assurez-vous de lire la documentation Delinea pour obtenir des informations à jour.

Connectez-vous à votre compte Secret Server.
Accédez à Administrateur (Admin) > Gestion des utilisateurs (User Management) et cliquez sur Créer un utilisateur (Create User). Cochez la case Compte d’application (Application Account) pour générer un compte d’application.
Accédez à Admin > Tout afficher ( See All ) > Outils et intégrations (Tools and Integrations ) > Gestion des clients SDK (SDK) et configurez une nouvelle règle d’intégration dans Intégration du client (Client Onboarding). Notez le nom et la clé de la règle d'intégration.
Modifiez la règle d’intégration et attribuez le compte d’application créé à l’étape 2.
Assurez-vous que le compte d’application lié à la règle d’intégration dispose d’autorisations sur les clés secrètes consultées par Orchestrator. Vous pouvez attribuer le compte d’application à un groupe et accorder à ce groupe l’accès aux dossiers requis, ou lui accorder un accès explicite aux clés secrètes.

Intégration d'AWS Secrets Manager

À propos d'AWS Secrets Manager

AWS Secrets Manager est un outil qui peut être utilisé comme magasin d'informations d'identification dans Orchestrator.

Il dispose de deux plugins :

AWS Secrets Manager
AWS Secrets Manager (lecture seule)

Le plug-in que vous pouvez utiliser, à savoir en lecture seule ou en lecture-écriture, est dicté par vos autorisations de stratégie AWS Identity and Access Management (IAM).

Si vous choisissez d'utiliser le plug-in en lecture seule, vous devez lier une ressource à un ensemble d'informations d'identification déjà disponibles dans AWS Secrets Manager.

Prérequis

Pour utiliser ce service :

Vous devez disposer d'un abonnement AWS.
Vous devez créer une stratégie IAM spécifique à Secrets Manager, que vous attribuez au rôle ou à l'utilisateur IAM du compte.

Configuration

Pour intégrer AWS Secrets Manager à Orchestrator, vous avez besoin de la clé d'accès et de la clé secrète qui sont générées une fois que vous avez créé un compte AWS IAM.

L'ID de clé d'accès se trouve dans l'onglet Informations d'identification de sécurité (Security credentials) de votre compte AWS IAM.
L'ID de clé secrète (Secret key ID) n'est fourni qu'après la création du compte. Il est donc important de le copier pour une utilisation future.

Si vous égarez ou oubliez votre ID de clé secrète, vous devez créer une autre clé d'accès, puis remplacer les informations nécessaires dans Orchestrator.

De plus, vous devez vérifier la région que vous avez définie dans votre compte AWS, car c'est ce que vous saisirez dans le champ Région (Region) lors de la configuration du nouveau magasin d'informations d'identification.

Utilisation d'AWS Secrets Manager (lecture seule)

Lors de l'utilisation du plug-in AWS Secrets Manager (lecture seule) (AWS Secrets Manager (read only)), l'administrateur est responsable de l'enregistrement correct des clés secrètes utilisées par Orchestrator. Le format dans lequel ces clés secrètes doivent être enregistrées diffère entre les types de clés secrètes (ressource ou mot de passe du Robot) et entre les moteurs secrets.

Pour obtenir des instructions sur la façon d'enregistrer les clés secrètes, consultez les éléments suivants :