- 基本情報
- ベスト プラクティス
- テナント
- Cloud ロボット
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- リソース カタログ サービス
- 認証
- Integrations
- クラシック ロボット
- トラブルシューティング
Orchestrator ユーザー ガイド
資格情報ストアを管理する
- [名前] フィールドに、新しい資格情報ストアの名前を入力します。
- [アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
- [CyberArk セーフ] フィールドに、CyberArk® PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
- [CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
- [Central Credential Provider の URL] フィールドに、Central Credential Provider のアドレスを入力します。
- [Web サービス名] フィールドに、Central Credential Provider Web サービスの名前を入力します。このフィールドを空のままにすると、既定の名前 (AIMWebService) が使用されます。
-
CyberArk アプリケーションでクライアント証明書による認証方法を使用する場合は、クライアント証明書を設定する必要があります。予期される入力は、証明書の秘密キーと公開キーを格納する
.pfx
ファイルです。クライアント証明書は、CyberArk CCP AIMWebService がデプロイされているマシンにインストールする必要があります。注:クライアント証明書は、Orchestrator 資格情報ストアで定義されたアプリケーションを認証するために、CyberArk の資格情報で使用されます。アプリケーションの認証方法について詳しくは、CyberArk の公式ドキュメントをご覧ください。
クライアント証明書は、証明書チェーンの公開キーと秘密キーを格納する PKCS12 バイナリ形式ファイルです。
CyberArk CCP は 2048 ビットの証明書キーを使用します。
クライアント証明書が Base 64 でエンコードされている場合は、certutil
コマンドを実行して、バイナリ形式でデコードします。certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- [クライアント証明書のパスワード] フィールドに、クライアント証明書のパスワードを入力します。
- CyberArk CCP AIMWebService で受信 HTTP 要求に自己署名ルート CA 証明書を使用する場合は、サーバー ルート証明書を設定する必要があります。これは HTTPS TLS ハンドシェイク証明書チェーンの検証に使用されます。予期される入力は、ルート CA 証明書の公開キーを格納する
.crt
または.cer
ファイルです。 - [OS ユーザー認証を許可] オプションは、パラメーター
Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication
の値がtrue
に設定されている場合にのみ表示されます。このオプションを使用すると、現在 Orchestrator マシンにログオンしているユーザーの資格情報を使用して認証できるようになります。注: IIS で Orchestrator と CyberArk の両方に対して必要な変更を加えて、適切なインフラストラクチャが設定されていることを確認します。 - [作成] を選択します。 新しい資格情報ストアを使用する準備が整いました。
CyberArk Conjur Cloud ストアが同じアプリケーション ID、Safe、フォルダー名を使用して複数のテナントで設定されていると、テナントをまたいだ資格情報へのアクセスが可能になります。テナントレベルでセキュリティと分離を確保するには、各 CyberArk Conjur Cloud ストアのテナントに別々の設定を使用してください。
Key Vault 資格情報ストアでは、RBAC の種類の認証を使用します。サービス プリンシパルの作成後、以下の手順を実行します。
-
[名前] フィールドに、新しい資格情報ストアの名前を入力します。
-
[Key Vault Uri] フィールドに、Azure Key Vault のアドレスを入力します。これは
https://<vault_name>.vault.azure.net/
です。 -
[ディレクトリ ID] フィールドに、Azure Portal に表示されるディレクトリ ID を入力します。
-
Orchestrator アプリが登録されている Azure AD の [アプリ登録] セクションから、[クライアント ID] フィールドにアプリケーション ID を入力します。
-
[クライアント シークレット] フィールドに、前の手順で入力したクライアント アカウントの認証に必要なシークレットを入力します。
-
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
- [種類] フィールドで、資格情報ストアとして HashiCorp Vault または HashiCorp Vault (読み取り専用) を選択します。
- [名前] フィールドで、HashiCorp Vault 資格情報ストアの名前を指定します。
- [コンテナー URI] フィールドで、HashiCorp Vault の HTTP API の URI を指定します。
-
[認証の種類] フィールドで、使用する認証方法を指定します。選択したオプションに応じて、追加のフィールドを設定する必要があります。
-
AppRole – これは、推奨される認証方法です。このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ロール ID – [AppRole] という認証方法で使用するロール ID を指定します。
- シークレット ID – [AppRole] という認証の種類で使用するシークレット ID を入力します。
-
UsernamePassword – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ユーザー名 – [UsernamePassword] で使用するユーザー名を入力します。
- パスワード - [UsernamePassword] という認証の種類で使用するパスワードを指定します。
-
LDAP – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ユーザー名 - [LDAP] という認証の種類で使用するユーザー名を指定します。
- パスワード - [LDAP] という認証の種類で使用するパスワードを指定します。
-
Token – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- トークン – [Token] という認証の種類で使用するトークンを指定します。
- [シークレット エンジン] フィールドで、使用するシークレット エンジンを選択します。以下のオプションがあります。
- KeyValueV1
- KeyValueV2
- Active Directory
- OpenLDAP
- LDAP
-
-
任意の [認証マウント パス] フィールドで、カスタム マウント パスを指定できます。同じ認証方法を 2 つの異なる設定で 2 つの異なるパスにマウントできます。
- [シークレット エンジンのマウント パス] フィールドで、シークレット エンジンのパスを指定します。指定しないと、既定で KeyValueV1 の場合は
kv
、KeyValueV2 の場合はkv-v2
、ActiveDirectory の場合はad
に設定されます。 - [データ パス] フィールドに、保存されているすべてのシークレットに使用する、パスのプレフィックスを入力します。
- [名前空間] フィールドで、使用する名前空間を指定します。HashiCorp Vault Enterprise でのみ使用できます。
-
[(LDAP) 動的資格情報を使用] オプションで [True] (動的) または [False] (静的) を選択し、動的資格情報と静的資格情報を切り替えます。既定のオプションは [False] です。
-
[作成] を選択します。 新しい資格情報ストアを使用する準備が整いました。
-
[種類] フィールドで、以下のいずれかのオプションを選択します。
- BeyondTrust Password Safe - Managed Accounts
- BeyondTrust Password Safe - Team Passwords
- [名前] フィールドで、BeyondTrust 資格情報ストアの名前を指定します。
- [BeyondTrust のホスト URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
- [API 登録キー] フィールドで、BeyondTrust の API 登録キーの値を指定します。
-
[API 実行元のユーザー名] フィールドで、呼び出しを実行する BeyondTrust ユーザー名を指定します。
BeyondTrust Password Safe - Managed Accounts を選択した場合は、次の手順に進みます。
- 必要に応じて、[既定の Managed System 名] フィールドで、BeyondTrust のパスワード セーフで管理されるシステム名を指定します。このフィールドは、Orchestrator アセットの [外部名] フィールドにシステム名のプレフィックスが含まれていない場合に、フォールバック システム名として機能します。
- [システムとアカウントの区切り文字] フィールドで、Orchestrator アセットのアカウント名からシステム名を分割するために使用する区切り文字を入力します。
- [Managed Account の種類] フィールドで、BeyondTrust から取得するアカウントの種類を選択します。
- system - ローカル アカウントを返します。
- domainlinked - システムにリンクされているドメイン アカウントを返します。
- [作成] を選択します。 新しい資格情報ストアを使用する準備が整いました。
SystemName
の形式で指定するか、Orchestrator アセットの [外部名] フィールドで SystemName/AccountName
の形式で指定する必要があります。
BeyondTrust Password Safe - Team Passwords を選択した場合は、次の手順に進みます。
-
必要に応じて、[フォルダー パスのプレフィックス] フィールドで、既定のフォルダー パスのプレフィックスを指定します。これは、すべての Orchestrator アセットの値の前に追加されます。
- [フォルダー/アカウントの区切り文字] フィールドに、Orchestrator アセットのタイトルからパスを分割するために使用する区切り文字を入力します。
-
[作成] を選択します。 新しい資格情報ストアを使用する準備が整いました。
- [種類] フィールドで、[Thycotic Secret Server] を選択します。
- [名前] フィールドに、新しい資格情報ストアの名前を入力します。
- [シークレット サーバー URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
- [ルール名] フィールドに、クライアント オンボーディング ルール名を入力します。
- 必要に応じて、[ルール キー] フィールドにオンボーディング ルールのキーを指定します。この手順は任意ですが、セキュリティを向上させるためルール キーを指定することをお勧めします。
- [ユーザー名フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がユーザー名をプルする、Secret Template フィールドのスラグ名を指定します。
-
[パスワード フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がパスワードをプルする、Secret Template フィールドのスラグ名を指定します。
注: Secret Template フィールドのスラグ名は、[Admin] > [Secret Templates] > [Template] > [Fields] にあります。
Orchestrator でアセットまたはロボットが作成されると、外部名を使用して既存のシークレットにリンクされます。この場合、外部名は Thycotic Secret Server の実際のシークレット ID です。
5
です。
- [種類] フィールドで、[AWS Secrets Manager] または [AWS Secrets Manager (読み取り専用)] を選択します。
読み取り専用または読み取り/書き込み可能なバージョンの選択は、お使いの IAM ポリシーの権限によって異なります。
- [名前] フィールドに、新しい資格情報ストアの名前を入力します。
- [アクセス キー] フィールドに、お使いの AWS の IAM ユーザー ページの [Security credentials] タブで確認できるアクセス キー ID を追加します。
- [シークレット キー] フィールドに、AWS IAM ユーザー アカウントの作成時に提供されたシークレット キー ID を追加します。
- [リージョン] フィールドに、AWS アカウントに表示される、シークレットの保存先とするリージョンを追加します。
[ストア] ([テナント] > [資格情報] > [ストア]) に移動し、目的のストアの [その他のアクション] メニューから [編集] を選択します。[資格情報ストアを編集] ダイアログが表示されます。
2 つ以上の資格情報ストアを使用する場合、ロボットとアセットに使用する既定のストアを選択できます。同じストアを両方の既定として使用するか、それぞれに異なる既定のストアを選択できます。
既定のストアを選択するには、[その他のアクション] メニューから、[ロボットの既定のストアとして設定] および/または [アセットの既定のストアとして設定] を選択します。
既定のストアを変更しても、既存のロボットまたはアセットの設定は変更されません。新しいロボットまたはアセットの作成時に、[資格情報ストア] ドロップダウンにあらかじめ選択されて表示される項目が制御されるだけです。ロボットとアセットは常に、作成時に使用されたストアからパスワードを取得します。特定のロボットまたはアセットの資格情報ストアを変更する場合は、ロボット レベルまたはアセット レベルで変更する必要があります。