orchestrator
2024.10
true
UiPath logo, featuring letters U and I in white
Orchestrator ユーザー ガイド
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年11月13日

資格情報ストアを連携する

CyberArk® との連携

Orchestrator で CyberArk® 資格情報ストアの使用を開始する前に、まずCyberArk®PVWA (パスワード Vault Web アクセス) インターフェイスで対応するアプリケーションと安全な設定をセットアップする必要があります。

前提条件

  • CyberArk® Enterprise Password Vault® は、Orchestrator がインストールされたマシンと直接通信できるマシンにインストールする必要があります。
  • CyberArk®AAM (Application Access Manager) は、Orchestrator と同じマシンにインストールする必要があります。マルチノード Orchestrator 構成の場合、AAM インスタンスを各 Orchestrator ノードにインストールする必要があります。

CyberArk® アプリケーションのインストールと構成の詳細については、公式ページをご覧ください。

Orchestrator アプリケーションを作成する

  1. CyberArk® の PVWA で、アプリケーションを管理する権限を持つユーザーとしてログインします ([ユーザー管理] の認可が必要です)。
  2. [Applications] タブで、[Add Application] をクリックします。[Add Application] ページが表示されます。


  3. 次の情報を指定します。
    • [Name] フィールド - ユーザーが設定する、アプリケーション (Orchestrator など) の名前です。
    • [Description] - 新しいアプリケーションの目的を記載するための短い説明。
    • [Business owner] セクション - 任意です。アプリケーションのビジネス所有者に関する情報を追加します。
    • [Location] - Vault 階層内でのアプリケーションのパス。Location が指定されていない場合、アプリケーションはこのアプリケーションを作成しているユーザーと同じ場所に追加されます。
  4. [追加] をクリックします。アプリケーションが追加され、その詳細が [Application Details] ページに表示されます。
  5. [認証] タブで、[認証制限の拡張を許可する] チェック ボックスを選択します。

    サポートされている認証方法:

    • 許可されるマシン
    • OS ユーザー
    • パス

  6. 認証方法を設定します。たとえば、[Allowed Machines] タブで、[追加] をクリックします。[Add allowed machine] ウィンドウが表示されます。ここで、Orchestrator がインストールされているマシンの情報を追加してください。
  7. [Address] フィールドに、マシンのアドレスを IP/hostname/DNS フォーマットを使って指定します。
  8. [追加] をクリックします。IP アドレスが [許可されるマシン] タブに表示されます。この情報によって、資格情報プロバイダーは指定されたマシン上で動作するアプリケーションのみがそのパスワードにアクセスできることを確認できます。
  9. 手順 6 ~ 8 を必要な回数実行し、AAM 資格情報プロバイダーがインストールされたすべてのミッドティアサーバーまたはすべてのエンドポイントが、許可されたサーバーに確実に含まれるようにします。これは、Orchestrator を複数のノードにインストールした場合などが該当します。

Orchestrator セーフを作成する

アカウントを管理しやすくするためにセーフが必要です。さらに、適切な認可を保証するためにセーフ メンバーを追加できます。CyberArk® では、資格情報プロバイダー (資格情報に対する権限をすべて所有していて、それらを追加したり管理したりできるユーザー) と以前に作成されたアプリケーションをセーフ メンバーとして追加することを推奨しています。後者により、セーフに保存されたパスワードを Orchestrator で検索して取得できるようになります。

  1. [Policies] タブの [Access Control (Safe)] セクションで、[Add Safe] をクリックします。[Add Safe] ページが表示されます。


  2. [Safe Name] フィールドと [Description] フィールドに入力します。
  3. [Save] ボタンをクリックします。[Safe Details] ウィンドウが表示されます。


  4. [Members] セクションで、[Add Member] をクリックします。[Add Safe Member] ウィンドウが表示されます。
  5. 以前に作成されたアプリケーション (手順 2 - 5) を追加できるように検索します。
  6. 資格情報プロバイダーを追加して、以下の権限を選択します。
    • View Safe Members
    • Retrieve accounts
    • List accounts
    • Access Safe without Confirmation - デュアル制御環境および v7.2 以前の PIM-PSM を使用している場合のみ

      この連携に対して複数の資格情報プロバイダーをインストールしている場合は、それらのグループを作成して、そのグループを上記の認可手順により 1 回でセーフに追加することをお勧めします。

  7. [Add] をクリックします。確認メッセージが [Add Safe Member] ウィンドウに表示されます。
  8. 以前に作成されたアプリケーションを安全なメンバーとして、Retrieve accounts 権限で追加します。
  9. [Add] をクリックします。確認メッセージが [Add Safe Member] ウィンドウに表示されます。

連携が完了し、Orchestrator で CyberArk® 資格情報ストアのプロビジョニングを開始できるようになりました。ロボットの資格情報を保存する方法の詳細については、こちらをご覧ください。

CyberArk® CCP との連携

Central Credential Provider (CCP) は、CyberArk との連携に使用するエージェントレスな AAM メソッドです。これにより、UiPath® はサーバーにエージェントをデプロイすることなく、コンテナーから安全に資格情報を取得できます。資格情報を安全に取得するには、クライアント証明書が必要です。

Orchestrator で CyberArk® CCP 資格情報ストアの使用を開始する前に、まず CyberArk®PVWA (パスワード Vault Web アクセス) インターフェイスで対応するアプリケーションと安全な設定をセットアップする必要があります。

前提条件

  • Orchestrator サービスと CyberArk サーバー間の相互接続が可能なネットワーク
  • CyberArk® Central Credential Provider は、HTTP 接続が可能なマシンにインストールする必要があります。
  • CyberArk® Enterprise Password Vault

CyberArk® アプリケーションのインストールと構成の詳細については、公式ページをご覧ください。

Orchestrator アプリケーションを作成する

  1. CyberArk® の PVWA で、アプリケーションを管理する権限を持つユーザーとしてログインします ([ユーザー管理] の認可が必要です)。
  2. [Applications] タブで、[Add Application] をクリックします。[Add Application] ウィンドウが表示されます。


  3. [Add Application] ウィンドウで次の情報を指定します。
    • [Name] フィールド - ユーザーが設定する、アプリケーション (Orchestrator など) の名前です。
    • [Description] - 新しいアプリケーションの目的を記載するための短い説明。
    • [Location] - Vault 階層内でのアプリケーションのパス。Location が指定されていない場合、アプリケーションはこのアプリケーションを作成しているユーザーと同じ場所に追加されます。



  4. [追加] をクリックします。アプリケーションが追加され、その詳細が [Application Details] ページに表示されます。
  5. [Allow extended authentication restrictions] チェック ボックスを選択します。

    サポートされている認証方法:

    • 許可されるマシン
    • OS ユーザー
    • クライアント証明書 - CyberArk 認証に使用するクライアント証明書は 2,048 ビット以上である必要があります。
  6. 認証方法を設定します。たとえば、[Authentication] タブで、[Add] > [Certificate Serial Number] をクリックし、要求元アプリケーションを CCP で認証するために使用されるクライアント証明書の一意の識別子を追加します。


Orchestrator セーフを作成する

アカウントを管理しやすくするためにセーフが必要です。さらに、適切な認可を保証するためにセーフ メンバーを追加できます。CyberArk® では、資格情報プロバイダー (資格情報に対する権限をすべて所有していて、それらを追加したり管理したりできるユーザー) と以前に作成されたアプリケーションをセーフ メンバーとして追加することを推奨しています。後者により、セーフに保存されたパスワードを Orchestrator で検索して取得できるようになります。

  1. [Policies] タブの [Access Control (Safes)] セクションで、[Add Safe] をクリックします。[Add Safe] ページが表示されます。


  2. [Safe Name] フィールドと [Description] フィールドに入力します。
  3. [Save] ボタンをクリックします。[Safe Details] ウィンドウが表示されます。


  4. [Members] セクションで、[Add Member] をクリックします。[Add Safe Member] ウィンドウが表示されます。


  5. 以前に作成されたアプリケーション (手順 2 ~ 6) を検索し、そのアプリケーションの権限を以下から選択します。
    • View Safe Members
    • Retrieve accounts
    • List accounts
    • Access Safe without Confirmation - デュアル制御環境および v7.2 以前の PIM-PSM を使用している場合のみ。

      この連携に対して複数の資格情報プロバイダーをインストールしている場合は、それらのグループを作成して、そのグループを上記の認可手順により 1 回でセーフに追加することをお勧めします。



  6. [追加] をクリックします。連携が完了し、Orchestrator で CyberArk® 資格情報ストアのプロビジョニングを開始できるようになりました。ロボットの資格情報を保存する方法の詳細については、こちらをご覧ください。

CyberArk® AAM の代替品

重要: このソリューションはお勧めしません。CyberArk® CCP に移行する際の一時的な回避策としてのみ使用してください。

CyberArk® AAM はすぐに使えるソリューションとしてはサポートされていませんが、代わりに Orchestrator Credentials Proxy が提供されています。このツールを使用すると、Orchestrator と選択した資格情報ストアを、直接ではなくプロキシを介して接続できるため、セキュリティのレイヤーが追加されます。

Orchestrator Credentials Proxy は、独自の資格情報ストア プラグインの開発とデプロイが必要になる場合があるクラウドのシナリオ向けに作成されましたが、Automation Suite などのオンプレミスの設定でも使用できます。以下を実行する必要があります。

  1. CyberArk® AAM クライアントが設定されている Windows マシンにプロキシをインストールします。詳しくは、「Orchestrator Credentials Proxy」のセクションをご覧ください。

  2. Features.CredentialStoreHost.Enabled パラメーターを orchestrator-customconfig 構成マップに追加し、値を true に設定します。詳しくは、『Automation Suite ガイド』の「Orchestrator を準備する」をご覧ください。
  3. 資格情報プロキシを管理する」セクションに記載された手順に従ってプロキシを設定します。

CyberArk® Conjur Cloud (読み取り専用)

CyberArk® Conjur Cloud は、シークレットの管理に使用される、SaaS ベースかつクラウドに依存しないソリューションです。組織においては、人間以外のユーザーによるシークレットへのアクセスをセキュリティ保護したり、「シークレット ゼロ」問題を無くすことができます。Orchestrator で CyberArk® Conjur Cloud の資格情報ストアを使用するには、CyberArk® Privilege Cloud のインターフェイスで、対応する Safe の設定を行う必要があります。

前提条件

  • Orchestrator マシンと CyberArk® Cloud サーバー間の相互接続を可能にするネットワーク

  • ユーザーと Safe を作成するためのアクセス権を持つ CyberArk® Privilege Cloud ユーザー

  • 必要な Safe への権限、およびワークロードを作成する権限を持つ CyberArk® Privilege Cloud ユーザー

CyberArk® Cloud アプリケーションの構成の詳細については、公式ドキュメントをご覧ください。

資格情報を保存するための Orchestrator の Safe を作成する

  1. CyberArk® Privilege Cloud の PVWA で、アプリケーションを管理する権限を持つアカウントを使用してログインします (ユーザー管理の認可が必要です)。
  2. User Portal の横にある [Home] を選択します。
  3. [Privilege Cloud] で、[Policies][Safe][Create Safe] の順に選択し、次の情報を追加します。
    1. [Define Safe properties] ステップで、Safe のカスタム名を追加し、[Next] を選択します。
    2. [Select Safe members] ステップで、[Source][System Component Users] を選択し、「Conjur Sync」を検索します。さらに、[Conjur Cloud] ユーザーを選択して、[Next] を選択します。
    3. [Set Safe permissions] ステップで、[Permissions Presets][Full] を選択し、[Create Safe] を選択します。
  4. [Safes] を選択すると、[Policies] の下に新しい Safe が表示されます。

資格情報にアクセスするためのアカウントとワークロードを作成する

CyberArk® で作成した Safe にアクセスするには、Privilege Cloud のアカウントと Conjur Cloud のワークロードも必要です。

  1. [Privilege Cloud] で、[Accounts][Add account] の順に選択し、次の操作を行います。
    1. [Select system type] ステップで、[Windows][Windows Domain Account] の順に選択し、既存のセーフを選択します。
    2. [Define account properties] ステップで、[Address][Username][Password] の各フィールドに入力します。
    3. アカウントにカスタム名を追加する場合は、[Customize account name] オプションを有効化します。
    注: Orchestrator でアセットまたはロボットが作成されると、外部名を使用して既存のシークレットにリンクされます。必ず、Orchestrator の [外部名] フィールドに、生成またはカスタマイズされたアカウント名を設定し、CyberArk® アカウントの詳細とマッピングしてください。
    たとえば、data/vault/OrchestratorQA/companyname-john.doe/username という形式はカスタマイズされたアカウント名を表し、data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address という形式は生成されたアカウント名を表します。
  2. Safe とアカウントを作成したら、[Conjur Cloud] サービスに移動し、[Resources][Create][Workload] の順に選択します。
    1. [Workload type] ステップで [Other] を選択します。
    2. [Workload Details] ステップで、[Name] フィールドにワークロードのカスタム名を入力し、[Location] フィールドで [data] を選択します。
    3. [Authentication][API key] を選択します。
    4. [Access to Safes] ステップで、以前に作成した Safe を選択します。
    5. 構成の概要を確認し、[Done] を選択します。

    6. API キーをコピーして [Done] を選択できます。
    シークレットをプロビジョニングする手順については、以下をご確認ください。

Azure Key Vault との連携

Azure Key Vault は、Orchestrator で資格情報ストアとして使用できるプラグインです。

次の 2 つのプラグインが含まれています。

  • Azure Key Vault – 読み取り/書き込みプラグイン (シークレットは Orchestrator によって作成されます)。
  • Azure Key Vault (読み取り専用) – 読み取り専用プラグイン (シークレットは Vault で直接プロビジョニングする必要があります)。

前提条件

  • Azure Key Vault 資格情報ストアでは、RBAC 認証を使用します。Azure Key Vault には Key Vault Secrets Officer ロールが必要であり、Azure Key Vault (読み取り専用) には Key Vault Secrets User ロールが必要です。
  • Key Vault プラグインは「Password Vault」のセクションで説明しているように、Orchestrator の UiPath.Orchestrator.dll.config ファイルで設定されています。
  • Azure アカウントで、Orchestrator で使用する Key Vault を作成します。詳細については、こちらの Microsoft の公式ドキュメントをご覧ください。

構成

Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。

  1. 新しいアプリの登録を作成します。
  2. 後で使用するためにアプリケーション (クライアント) ID をコピーします。
  3. [管理] > [証明書とシークレット] > [新しいクライアント シークレット] に移動し、新しいクライアント シークレットを追加します。選択した有効期限をメモして、有効期限の前に新しいシークレットを作成します。
  4. 後で使用するため、シークレットの [値] をコピーします。

Azure Key Vault で、以下の手順を実行します。

  1. Key Vault の [概要] ページにアクセスし、後で使用するために [コンテナーの URI][ディレクトリ ID] をコピーします。
  2. 左側にあるメニューから [設定] > [アクセス ポリシー] を選択します。
  3. [アクセス ポリシーの追加] をクリックします。
    必要なアクセス ポリシーの権限は Secret GetSecret Set です。
  4. [テンプレートからの構成 (省略可能)] ドロップダウン メニューから、[シークレットの管理] を選択します。
  5. [認可されているアプリケーション] セクションで [選択されていません] をクリックし、[プリンシパルの選択] フィールドを有効化します。
  6. アプリ登録名を入力し、アプリケーション ID が正しいことを確認して、このプリンシパルを選択します。
  7. [追加] をクリックします。
  8. [保存] をクリックします。

これで、コンテナー URIディレクトリ IDアプリケーション (クライアント) ID、およびシークレットのを使用して、新しい資格情報ストアを設定する準備が整いました。

Azure Key Vault (読み取り専用) を使用する

Azure Key Vault (読み取り専用) プラグインを使用する場合、Vault の管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。

シークレットをプロビジョニングする手順については、以下をご覧ください。

HashiCorp Vault との連携

HashiCorp Vault は、Orchestrator で資格情報ストアとして使用できるプラグインです。

次の 2 つのプラグインが含まれています。

  • HashiCorp Vault – 読み取り/書き込みプラグイン (シークレットは Orchestrator によって作成される)。
  • HashiCorp Vault (読み取り専用) – 読み取り専用プラグイン (シークレットは Vault で直接プロビジョニングする必要がある)。

前提条件

  • Orchestrator サービスと HashiCorp Vault サーバー間の相互接続が可能なネットワーク:

    • HashiCorp Vault が API 要求に使用する API ポートがファイアウォールを通じて開いていて、インターネットから到達できる必要があります。このポートは、一般的なインストールでは 8200 です。
    • 顧客のファイアウォールでインターネットの IP からの接続が許可されていない場合は、Orchestrator の IP アドレスをホワイトリストに登録する必要があります。
  • サポートされている、以下のいずれかの認証方法を設定する必要があります。

    • AppRole (推奨)
    • UsernamePassword
    • LDAP
    • トークン

      認証の設定方法については、こちらをご覧ください。

  • サポートされている、以下のいずれかのシークレット エンジンを設定する必要があります。

    • KeyValueV1 - HashiCorp Vault と HashiCorp Vault (読み取り専用) の両方で使用できます。
    • KeyValueV2 - HashiCorp Vault と HashiCorp Vault (読み取り専用) の両方で使用できます。
    • ActiveDirectory - HashiCorp Vault (読み取り専用) でのみ使用できます。
    • OpenLDAP - HashiCorp Vault (読み取り専用) でのみ使用できます。

  • 選択した認証方法には、シークレットを保存するパスに対して以下の機能を許可するポリシーが設定されている必要があります。

    • HashiCorp Vault (読み取り専用) プラグイン: read
    • HashiCorp Vault プラグイン: createreadupdatedelete、および KeyValueV2 シークレット エンジンを使用する場合は、任意でメタデータ パスに対する delete

連携を構成する

以下に、Docker コンテナーで実行されている開発バージョンの HashiCorp Vault を、Orchestrator で資格情報ストアとして使用されるように設定する方法の例を示します。この例を、個々の環境に応じて調整する必要があります。HashiCorp Vault について詳しくは、公式ドキュメントをご覧ください。

認証を構成する

シークレットの作成と読み取りを開始するには、まず以下の手順を実行して、認証方法を設定する必要があります。

  1. コンテナー内でシェルを開きます。
    docker exec -it dev-vault shdocker exec -it dev-vault sh
  2. ルートとしてログインします。以下のコマンドを実行して、環境変数を設定するためのルート トークンがログに表示されていることを確認します。
    export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
  3. 以下のコマンドを実行して、Vault のステータスを確認します。
    vault statusvault status
  4. Orchestrator のダミー シークレットを KV ストアに追加します。
    vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456
  5. Orchestrator に、新たに作成された secret/applications/orchestrator パスへのアクセス権を付与します。それには、まず以下のコマンドを実行して、このパスとそのすべてのサブパスに対する読み取りと書き込みのポリシーを作成する必要があります。
    cat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOF
    注:
    KeyValueV2 シークレット エンジンを使用すると、シークレットはパス <mount>/data/<secret-path> に書き込まれ、取得されます。これに対し、KeyValueV1 では <mount>/<secret-path> に書き込まれ、取得されます。CLI コマンドは変更されません (つまり、パスにデータは指定しません)。
    ただし、機能は実際のパスに適用されるため、ポリシーは変更されます。前の例では、KeyValueV2 シークレット エンジンを使用しているため、パスは secret/data/applications/orchestrator/* です。KeyValueV1 が使用されていた場合、パスは secret/applications/orchestrator/* でした。

    メタデータ パス上での削除機能が必要になるのは、Orchestrator で接続の検証時にテスト キーが残されないようにする場合のみです。この機能がない場合、Orchestrator で資格情報ストアを作成するときに、キーが作成されて、そのまま残ります。

  6. userpass認証方法として使用した認証を有効化した後、Orchestrator のユーザーを作成し、作成済みのポリシーを割り当てます。
    vault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
    注: Orchestrator は複数の認証モードをサポートしています。設定方法については、HashiCorp Vault のドキュメントをご覧ください。
  7. ログインし、前に作成したシークレットを読み取って、すべてを正しく設定したことを確認します。
    vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

    このコマンドの出力:

    WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestrator
  8. このトークンをルート トークンの代わりに設定した後、テスト シークレットを読み取ります。
    export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecret

このコマンドの出力:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
注:

以下のコマンドを実行して appRole Orchestrator を有効化することもできます。

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

これで、Orchestrator での設定に必要なロール ID とシークレット ID を使用できるようになりました。

Active Directory シークレット エンジンを設定する

Active Directory シークレット エンジンを設定するには、以下の手順を実行します。

  1. 以下のコマンドを実行して、Active Directory シークレット エンジンを有効化します。
    vault secrets enable advault secrets enable ad
  2. HashiCorp Vault が Active Directory と通信してパスワードを生成するために使用する資格情報を設定します。
    vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'
  3. HashiCorp Vault の名前を Active Directory のアカウントにマップするロールを設定します。アプリケーションがパスワードを要求するときに、このロールでパスワード ローテーションの設定が管理されます。
    vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
  4. AppRole などの認証方法を使用して、ad/creds/orchestrator にある資格情報へのアクセス権を orchestrator に付与します。
    cat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOF

HashiCorp Vault (読み取り専用) を使用する

HashiCorp Vault (読み取り専用) プラグインを使用する場合、Vault の管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。

シークレットをプロビジョニングする手順については、以下をご覧ください。

BeyondTrust との連携

BeyondTrust との連携は読み取り専用で、BeyondTrust Password Safe - Managed AccountsBeyondTrust Password Safe - Team Passwords の 2 種類のプラグインとして提供され、そのいずれかを選択できます。

BeyondTrust Password Safe - Managed Accounts は、ローカルまたは Active Directory アカウントを持つ組織のニーズに対応しており、BeyondTrust Password Safe - Team Passwords は、小規模グループの資格情報を分離された環境に保存する必要がある場合に適しています。

この 2 つのプラグインの設定はほとんど同じですが、若干の違いもあります。ここでは、両方のプラグインについて説明します。

前提条件

  • BeyondTrust サーバー クラウド インスタンスまたは類似のオンプレミス版のインストール
  • Beyond Insight の資格情報

連携を構成する

  1. Beyond Insight の資格情報を使用して、BeyondTrust サーバー クラウド インスタンスまたは類似のオンプレミス版のインストールにログインします。
  2. UiPath サービス アカウントのグループの API 登録を作成します。


  3. UiPath からの受信 API 接続を許可する認証ルールを作成します。


  4. UiPath サービス アカウントの新規グループを作成し、以下の機能を追加します。
    • Password Safe Account
    • Password Safe Role



  5. スマート ルールも割り当てる必要があります。
    • 通常のユーザー要求の場合は、Managed Account/Read-Only/Requester で十分です。
    • ISA アクセスの場合は、Assets/ISA ロールが必要です。



  6. API 登録をグループに追加します。


  7. 新しいユーザーを作成し、UiPath グループを割り当てます。


  8. 以降の手順は、BeyondTrust Password Safe - Managed AccountsBeyondTrust Password Safe - Team Passwords のどちらを使用しているかによって異なります。

BeyondTrust Password Safe - Managed Accounts

BeyondTrust Password Safe - Managed Accounts を使用している場合は、次の手順に進みます。

  1. [Managed Systems] の下に Managed Accounts を追加します。

  2. Managed Accounts には [API Enabled] を使用します。



BeyondTrust Password Safe - Team Passwords

BeyondTrust Password Safe - Team Passwords を使用している場合は、次の手順に進みます。

  1. [Team Passwords] ページに移動します。

  2. 任意で、新しいフォルダーを作成します。

  3. [Folder] を選択します。
  4. [Create New Credential] オプションを使用します。

Thycotic Secret Server との連携

注: Thycotic は合併の結果、Delinea にリブランディングされました。資格情報ストアの連携を設定する際には、この点に注意してください。

前提条件

  • Thycotic Secret Server のクラウド インスタンスまたはオンプレミスのインストール

連携を構成する

重要:

最新の情報については、Delinea のドキュメントを必ずお読みください。

  1. Secret Server のアカウントにログインします。
  2. [管理] > [ユーザー管理] に移動し、[ユーザーの作成] をクリックします。[アプリケーション アカウント] チェックボックスをオンにして、アプリケーション アカウントを生成します。
  3. [Admin] > [See All] > [Tools and Integrations] > [SDK Client Management] に移動し、[Client Onboarding] で新しいオンボーディング ルールを設定します。オンボーディング ルールの名前とキーをメモします。
  4. オンボーディング ルールを編集し、手順 2 で作成したアプリケーション アカウントを割り当てます。
  5. オンボーディング ルールにリンクされているアプリケーション アカウントに、Orchestrator がアクセスするシークレットに対する権限が付与されていることを確認します。アプリケーション アカウントをグループに割り当て、必要なフォルダーへのアクセス権をそのグループに付与するか、アカウントにシークレットへの明示的なアクセス権を付与することができます。

AWS Secrets Manager との連携

AWS Secrets Manager について

AWS Secrets Manager は、Orchestrator の資格情報ストアとして使用できるツールです。

次の 2 つのプラグインを備えています。

  • AWS Secrets Manager
  • AWS Secrets Manager (読み取り専用)

使用できるプラグイン (読み取り専用または読み取り/書き込み可能) は、AWS Identity and Access Management (IAM) のポリシーの権限で決定されます。

読み取り専用のプラグインの使用を選択する場合は、AWS Secrets Manager で既に利用可能な資格情報のセットに、アセットをリンクさせる必要があります。

前提条件

このサービスを使用する要件は以下のとおりです。

  • AWS のサブスクリプションが必要です。
  • アカウントの IAM ロールまたはユーザーに割り当てる、Secrets Manager 専用の IAM ポリシーを作成する必要があります。

構成

AWS Secrets Manager を Orchestrator と連携するには、AWS IAM アカウントの作成後に生成されるアクセス キーとシークレット キーが必要です。

  • アクセス キー ID は、AWS IAM アカウントの [Security credentials] タブで確認できます。
  • シークレット キー ID は、アカウントの作成後にのみ提供されます。したがって、今後使用するためにコピーしておくことが重要です。

    シークレット キー ID が見当たらない場合は、別のアクセス キーを作成し、Orchestrator で必要な情報を置き換える必要があります。

さらに、AWS アカウントで設定したリージョンも確認する必要があります。新しい資格情報ストアを設定する際に、このリージョンを [リージョン] フィールドに入力するためです。

AWS Secrets Manager (読み取り専用) を使用する

AWS Secrets Manager (読み取り専用) プラグインを使用する場合、管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。

シークレットをプロビジョニングする手順については、以下をご覧ください。

このページは役に立ちましたか?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.