- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- Automation Suite ロボット
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- Apps (アプリ)
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- Integrations
- トラブルシューティング
資格情報ストアを連携する
Orchestrator で CyberArk® 資格情報ストアの使用を開始する前に、まずCyberArk®PVWA (パスワード Vault Web アクセス) インターフェイスで対応するアプリケーションと安全な設定をセットアップする必要があります。
- CyberArk® Enterprise Password Vault® は、Orchestrator がインストールされたマシンと直接通信できるマシンにインストールする必要があります。
-
CyberArk®AAM (Application Access Manager) は、Orchestrator と同じマシンにインストールする必要があります。マルチノード Orchestrator 構成の場合、AAM インスタンスを各 Orchestrator ノードにインストールする必要があります。
CyberArk® アプリケーションのインストールと構成の詳細については、公式ページをご覧ください。
アカウントを管理しやすくするためにセーフが必要です。さらに、適切な認可を保証するためにセーフ メンバーを追加できます。CyberArk® では、資格情報プロバイダー (資格情報に対する権限をすべて所有していて、それらを追加したり管理したりできるユーザー) と以前に作成されたアプリケーションをセーフ メンバーとして追加することを推奨しています。後者により、セーフに保存されたパスワードを Orchestrator で検索して取得できるようになります。
連携が完了し、Orchestrator で CyberArk® 資格情報ストアのプロビジョニングを開始できるようになりました。ロボットの資格情報を保存する方法の詳細については、こちらをご覧ください。
Central Credential Provider (CCP) は、CyberArk との連携に使用するエージェントレスな AAM メソッドです。これにより、UiPath® はサーバーにエージェントをデプロイすることなく、コンテナーから安全に資格情報を取得できます。資格情報を安全に取得するには、クライアント証明書が必要です。
Orchestrator で CyberArk® CCP 資格情報ストアの使用を開始する前に、まず CyberArk®PVWA (パスワード Vault Web アクセス) インターフェイスで対応するアプリケーションと安全な設定をセットアップする必要があります。
- Orchestrator サービスと CyberArk サーバー間の相互接続が可能なネットワーク
- CyberArk® Central Credential Provider は、HTTP 接続が可能なマシンにインストールする必要があります。
- CyberArk® Enterprise Password Vault
CyberArk® アプリケーションのインストールと構成の詳細については、公式ページをご覧ください。
CyberArk® AAM はすぐに使えるソリューションとしてはサポートされていませんが、代わりに Orchestrator Credentials Proxy が提供されています。このツールを使用すると、Orchestrator と選択した資格情報ストアを、直接ではなくプロキシを介して接続できるため、セキュリティのレイヤーが追加されます。
Orchestrator Credentials Proxy は、独自の資格情報ストア プラグインの開発とデプロイが必要になる場合があるクラウドのシナリオ向けに作成されましたが、Automation Suite などのオンプレミスの設定でも使用できます。以下を実行する必要があります。
-
CyberArk® AAM クライアントが設定されている Windows マシンにプロキシをインストールします。詳しくは、「Orchestrator Credentials Proxy」のセクションをご覧ください。
-
Features.CredentialStoreHost.Enabled
パラメーターをorchestrator-customconfig
構成マップに追加し、値をtrue
に設定します。詳しくは、『Automation Suite ガイド』の「Orchestrator を準備する」をご覧ください。 -
「資格情報プロキシを管理する」セクションに記載された手順に従ってプロキシを設定します。
CyberArk® Conjur Cloud は、シークレットの管理に使用される、SaaS ベースかつクラウドに依存しないソリューションです。組織においては、人間以外のユーザーによるシークレットへのアクセスをセキュリティ保護したり、「シークレット ゼロ」問題を無くすことができます。Orchestrator で CyberArk® Conjur Cloud の資格情報ストアを使用するには、CyberArk® Privilege Cloud のインターフェイスで、対応する Safe の設定を行う必要があります。
-
Orchestrator マシンと CyberArk® Cloud サーバー間の相互接続を可能にするネットワーク
-
ユーザーと Safe を作成するためのアクセス権を持つ CyberArk® Privilege Cloud ユーザー
-
必要な Safe への権限、およびワークロードを作成する権限を持つ CyberArk® Privilege Cloud ユーザー
CyberArk® Cloud アプリケーションの構成の詳細については、公式ドキュメントをご覧ください。
Azure Key Vault は、Orchestrator で資格情報ストアとして使用できるプラグインです。
次の 2 つのプラグインが含まれています。
- Azure Key Vault – 読み取り/書き込みプラグイン (シークレットは Orchestrator によって作成されます)。
- Azure Key Vault (読み取り専用) – 読み取り専用プラグイン (シークレットは Vault で直接プロビジョニングする必要があります)。
- Azure Key Vault 資格情報ストアでは、RBAC 認証を使用します。Azure Key Vault には Key Vault Secrets Officer ロールが必要であり、Azure Key Vault (読み取り専用) には Key Vault Secrets User ロールが必要です。
- Key Vault プラグインは「Password Vault」のセクションで説明しているように、Orchestrator の
UiPath.Orchestrator.dll.config
ファイルで設定されています。 - Azure アカウントで、Orchestrator で使用する Key Vault を作成します。詳細については、こちらの Microsoft の公式ドキュメントをご覧ください。
Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。
- 新しいアプリの登録を作成します。
- 後で使用するためにアプリケーション (クライアント) ID をコピーします。
- [管理] > [証明書とシークレット] > [新しいクライアント シークレット] に移動し、新しいクライアント シークレットを追加します。選択した有効期限をメモして、有効期限の前に新しいシークレットを作成します。
- 後で使用するため、シークレットの [値] をコピーします。
Azure Key Vault で、以下の手順を実行します。
- Key Vault の [概要] ページにアクセスし、後で使用するために [コンテナーの URI] と [ディレクトリ ID] をコピーします。
- 左側にあるメニューから [設定] > [アクセス ポリシー] を選択します。
- [アクセス ポリシーの追加] をクリックします。
必要なアクセス ポリシーの権限は
Secret Get
とSecret Set
です。 - [テンプレートからの構成 (省略可能)] ドロップダウン メニューから、[シークレットの管理] を選択します。
- [認可されているアプリケーション] セクションで [選択されていません] をクリックし、[プリンシパルの選択] フィールドを有効化します。
- アプリ登録名を入力し、アプリケーション ID が正しいことを確認して、このプリンシパルを選択します。
- [追加] をクリックします。
- [保存] をクリックします。
これで、コンテナー URI、ディレクトリ ID、アプリケーション (クライアント) ID、およびシークレットの値を使用して、新しい資格情報ストアを設定する準備が整いました。
Azure Key Vault (読み取り専用) を使用する
Azure Key Vault (読み取り専用) プラグインを使用する場合、Vault の管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。
シークレットをプロビジョニングする手順については、以下をご覧ください。
HashiCorp Vault は、Orchestrator で資格情報ストアとして使用できるプラグインです。
次の 2 つのプラグインが含まれています。
- HashiCorp Vault – 読み取り/書き込みプラグイン (シークレットは Orchestrator によって作成される)。
- HashiCorp Vault (読み取り専用) – 読み取り専用プラグイン (シークレットは Vault で直接プロビジョニングする必要がある)。
-
Orchestrator サービスと HashiCorp Vault サーバー間の相互接続が可能なネットワーク:
- HashiCorp Vault が API 要求に使用する API ポートがファイアウォールを通じて開いていて、インターネットから到達できる必要があります。このポートは、一般的なインストールでは
8200
です。 - 顧客のファイアウォールでインターネットの IP からの接続が許可されていない場合は、Orchestrator の IP アドレスをホワイトリストに登録する必要があります。
- HashiCorp Vault が API 要求に使用する API ポートがファイアウォールを通じて開いていて、インターネットから到達できる必要があります。このポートは、一般的なインストールでは
-
サポートされている、以下のいずれかの認証方法を設定する必要があります。
- AppRole (推奨)
- UsernamePassword
- LDAP
- トークン
認証の設定方法については、こちらをご覧ください。
-
サポートされている、以下のいずれかのシークレット エンジンを設定する必要があります。
- KeyValueV1 - HashiCorp Vault と HashiCorp Vault (読み取り専用) の両方で使用できます。
- KeyValueV2 - HashiCorp Vault と HashiCorp Vault (読み取り専用) の両方で使用できます。
- ActiveDirectory - HashiCorp Vault (読み取り専用) でのみ使用できます。
-
OpenLDAP - HashiCorp Vault (読み取り専用) でのみ使用できます。
-
選択した認証方法には、シークレットを保存するパスに対して以下の機能を許可するポリシーが設定されている必要があります。
- HashiCorp Vault (読み取り専用) プラグイン:
read
- HashiCorp Vault プラグイン:
create
、read
、update
、delete
、およびKeyValueV2
シークレット エンジンを使用する場合は、任意でメタデータ パスに対するdelete
。
- HashiCorp Vault (読み取り専用) プラグイン:
以下に、Docker コンテナーで実行されている開発バージョンの HashiCorp Vault を、Orchestrator で資格情報ストアとして使用されるように設定する方法の例を示します。この例を、個々の環境に応じて調整する必要があります。HashiCorp Vault について詳しくは、公式ドキュメントをご覧ください。
認証を構成する
シークレットの作成と読み取りを開始するには、まず以下の手順を実行して、認証方法を設定する必要があります。
このコマンドの出力:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
以下のコマンドを実行して appRole Orchestrator を有効化することもできます。
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
これで、Orchestrator での設定に必要なロール ID とシークレット ID を使用できるようになりました。
Active Directory シークレット エンジンを設定する
Active Directory シークレット エンジンを設定するには、以下の手順を実行します。
HashiCorp Vault (読み取り専用) を使用する
HashiCorp Vault (読み取り専用) プラグインを使用する場合、Vault の管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。
シークレットをプロビジョニングする手順については、以下をご覧ください。
BeyondTrust との連携は読み取り専用で、BeyondTrust Password Safe - Managed Accounts と BeyondTrust Password Safe - Team Passwords の 2 種類のプラグインとして提供され、そのいずれかを選択できます。
BeyondTrust Password Safe - Managed Accounts は、ローカルまたは Active Directory アカウントを持つ組織のニーズに対応しており、BeyondTrust Password Safe - Team Passwords は、小規模グループの資格情報を分離された環境に保存する必要がある場合に適しています。
この 2 つのプラグインの設定はほとんど同じですが、若干の違いもあります。ここでは、両方のプラグインについて説明します。
BeyondTrust Password Safe - Managed Accounts
BeyondTrust Password Safe - Managed Accounts を使用している場合は、次の手順に進みます。
-
[Managed Systems] の下に Managed Accounts を追加します。
-
Managed Accounts には [API Enabled] を使用します。
BeyondTrust Password Safe - Team Passwords
BeyondTrust Password Safe - Team Passwords を使用している場合は、次の手順に進みます。
-
[Team Passwords] ページに移動します。
-
任意で、新しいフォルダーを作成します。
- [Folder] を選択します。
- [Create New Credential] オプションを使用します。
最新の情報については、Delinea のドキュメントを必ずお読みください。
- Secret Server のアカウントにログインします。
- [管理] > [ユーザー管理] に移動し、[ユーザーの作成] をクリックします。[アプリケーション アカウント] チェックボックスをオンにして、アプリケーション アカウントを生成します。
- [Admin] > [See All] > [Tools and Integrations] > [SDK Client Management] に移動し、[Client Onboarding] で新しいオンボーディング ルールを設定します。オンボーディング ルールの名前とキーをメモします。
- オンボーディング ルールを編集し、手順 2 で作成したアプリケーション アカウントを割り当てます。
- オンボーディング ルールにリンクされているアプリケーション アカウントに、Orchestrator がアクセスするシークレットに対する権限が付与されていることを確認します。アプリケーション アカウントをグループに割り当て、必要なフォルダーへのアクセス権をそのグループに付与するか、アカウントにシークレットへの明示的なアクセス権を付与することができます。
AWS Secrets Manager は、Orchestrator の資格情報ストアとして使用できるツールです。
次の 2 つのプラグインを備えています。
- AWS Secrets Manager
- AWS Secrets Manager (読み取り専用)
使用できるプラグイン (読み取り専用または読み取り/書き込み可能) は、AWS Identity and Access Management (IAM) のポリシーの権限で決定されます。
読み取り専用のプラグインの使用を選択する場合は、AWS Secrets Manager で既に利用可能な資格情報のセットに、アセットをリンクさせる必要があります。
このサービスを使用する要件は以下のとおりです。
- AWS のサブスクリプションが必要です。
- アカウントの IAM ロールまたはユーザーに割り当てる、Secrets Manager 専用の IAM ポリシーを作成する必要があります。
AWS Secrets Manager を Orchestrator と連携するには、AWS IAM アカウントの作成後に生成されるアクセス キーとシークレット キーが必要です。
- アクセス キー ID は、AWS IAM アカウントの [Security credentials] タブで確認できます。
-
シークレット キー ID は、アカウントの作成後にのみ提供されます。したがって、今後使用するためにコピーしておくことが重要です。
シークレット キー ID が見当たらない場合は、別のアクセス キーを作成し、Orchestrator で必要な情報を置き換える必要があります。
さらに、AWS アカウントで設定したリージョンも確認する必要があります。新しい資格情報ストアを設定する際に、このリージョンを [リージョン] フィールドに入力するためです。
AWS Secrets Manager (読み取り専用) プラグインを使用する場合、管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。
シークレットをプロビジョニングする手順については、以下をご覧ください。
- CyberArk® との連携
- 前提条件
- Orchestrator アプリケーションを作成する
- Orchestrator セーフを作成する
- CyberArk® CCP との連携
- 前提条件
- Orchestrator アプリケーションを作成する
- Orchestrator セーフを作成する
- CyberArk® AAM の代替品
- CyberArk® Conjur Cloud (読み取り専用)
- 前提条件
- 資格情報を保存するための Orchestrator の Safe を作成する
- 資格情報にアクセスするためのアカウントとワークロードを作成する
- Azure Key Vault との連携
- 前提条件
- 構成
- HashiCorp Vault との連携
- 前提条件
- 連携を構成する
- BeyondTrust との連携
- 前提条件
- 連携を構成する
- Thycotic Secret Server との連携
- 前提条件
- 連携を構成する
- AWS Secrets Manager との連携
- AWS Secrets Manager について
- 前提条件
- 構成
- AWS Secrets Manager (読み取り専用) を使用する