資格情報ストアを管理する

資格情報ストアを作成する

[資格情報ストア] ページで [追加] をクリックします。[新規資格情報ストアの追加] ダイアログが表示されます。
[種類] ドロップダウンから、使用する Secure Store を選択します。
Orchestrator Database、CyberArk、または Azure Key Vault 資格情報ストアを作成している場合は、次の手順が異なります。
以下のいずれかのプラットフォームを使用してストアを作成します。

Orchestrator データベース

[作成] をクリックすると、Orchestrator のデータベースストアには設定可能なプロパティはありません。
注: Orchestrator Database ストアは 1 つしか持つことができません。

CyberArk

注: CyberArk® ストアが同じアプリケーション ID、Safe、フォルダー名を使用して複数のテナントで構成されている場合、保存されている資格情報には、それらすべてのテナントがアクセスできます。テナントレベルでセキュリティと分離を確保するには、各テナントの CyberArk ストアに異なる設定を使用する必要があります。

[名前] フィールドに、新しい資格情報ストアの名前を入力します。
[アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
[CyberArk セーフ] フィールドに、CyberArk®PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
[CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。

CyberArk CCP

[名前] フィールドに、新しい資格情報ストアの名前を入力します。
[アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
[CyberArk セーフ] フィールドに、CyberArk® PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
[CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
[Central Credential Provider の URL] フィールドに、Central Credential Provider のアドレスを入力します。
[Web サービス名] フィールドに、Central Credential Provider Web サービスの名前を入力します。このフィールドを空のままにすると、既定の名前 (AIMWebService) が使用されます。
CyberArk アプリケーションでクライアント証明書による認証方法を使用する場合は、クライアント証明書を設定する必要があります。予期される入力は、証明書の秘密キーと公開キーを格納する .pfx ファイルです。クライアント証明書は、CyberArk CCP AIMWebService がデプロイされているマシンにインストールする必要があります。

注:
クライアント証明書は、Orchestrator 資格情報ストアで定義されたアプリケーションを認証するために、CyberArk の資格情報で使用されます。アプリケーションの認証方法について詳しくは、CyberArk の公式ドキュメントをご覧ください。

クライアント証明書は、証明書チェーンの公開キーと秘密キーを格納する PKCS12 バイナリ形式ファイルです。

クライアント証明書が Base 64 でエンコードされている場合は、certutil コマンドを実行して、バイナリ形式でデコードします。

certutil -decode client_certificate_encoded.pfx client_certificate.pfx

[クライアント証明書のパスワード] フィールドに、クライアント証明書のパスワードを入力します。
CyberArk CCP AIMWebService で受信 HTTP 要求に自己署名ルート CA 証明書を使用する場合は、サーバールート証明書を設定する必要があります。これは HTTPS TLS ハンドシェイク証明書チェーンの検証に使用されます。予期される入力は、ルート CA 証明書の公開キーを格納する .crt ファイルです。
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。

Azure Key Vault

Key Vault 資格情報ストアでは、RBAC の種類の認証を使用します。サービスプリンシパルの作成後、以下の手順を実行します。

1. [名前] フィールドに、新しい資格情報ストアの名前を入力します。

[Key Vault Uri] フィールドに、Azure Key Vault のアドレスを入力します。これは https://<vault_name>.vault.azure.net/ です。

3. [ディレクトリ ID] フィールドに、Azure Portal に表示されるディレクトリ ID を入力します。

4. Orchestrator アプリが登録されている Azure AD の [アプリ登録] セクションから、[クライアント ID] フィールドにアプリケーション ID を入力します。

5. [クライアントシークレット] フィールドに、前の手順で入力したクライアントアカウントの認証に必要なシークレットを入力します。

6. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。

資格情報ストアを編集する

[ストア] ([テナント] > [資格情報] > [ストア]) に移動し、目的のストアの [その他のアクション] メニューから [編集] を選択します。[資格情報ストアを編集] ダイアログが表示されます。

注: Orchestrator Database ストアには、編集可能なプロパティはありません。

既定の資格情報ストアを設定する

2 つ以上の資格情報ストアを使用する場合、ロボットとアセットに使用する既定のストアを選択できます。同じストアを両方の既定として使用するか、それぞれに異なる既定のストアを選択できます。

既定のストアを選択するには、[その他のアクション] メニューから、[ロボットの既定ストアとして設定] および/または [アセットの既定ストアとして設定] を選択します。

注: 既定のストアを変更しても、既存のロボットまたはアセットの設定は変更されません。新しいロボットまたはアセットの作成時に、[資格情報ストア] ドロップダウンにあらかじめ選択されて表示される項目が制御されるだけです。ロボットとアセットは常に、作成時に使用されたストアからパスワードを取得します。特定のロボットまたはアセットの資格情報ストアを変更する場合は、ロボットレベルまたはアセットレベルで変更する必要があります。

資格情報ストアを削除する

資格情報ストアを削除するには、目的のストアの [その他のアクション] メニューから [削除] を選択します。

選択したストアが使用中の場合、影響を受けるロボットとアセットの数を示す警告ダイアログが表示されます。[削除] をクリックして削除を確定するか、[キャンセル] をクリックして中止します。常に少なくとも 1 つの資格情報ストアをアクティブにする必要があり、1 つしか存在しない場合は削除するオプションは表示されません。

注: 既定として指定された資格情報ストアは削除できません。最初にその種類の資格情報に対する別の既定のストアを選択する必要があります。