- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- クラシック ロボット
- ホストの管理
- 組織管理者
- トラブルシューティング
Orchestrator ユーザー ガイド
資格情報ストアを管理する
Orchestrator データベース
- [作成] をクリックすると、Orchestrator のデータベース ストアには設定可能なプロパティはありません。
CyberArk
- [名前] フィールドに、新しい資格情報ストアの名前を入力します。
- [アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
- [CyberArk セーフ] フィールドに、CyberArk®PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
- [CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
-
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
CyberArk CCP
- [名前] フィールドに、新しい資格情報ストアの名前を入力します。
- [アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
- [CyberArk セーフ] フィールドに、CyberArk® PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
- [CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
- [Central Credential Provider の URL] フィールドに、Central Credential Provider のアドレスを入力します。
-
[Web サービス名] フィールドに、Central Credential Provider Web サービスの名前を入力します。このフィールドを空のままにすると、既定の名前 (AIMWebService) が使用されます。
-
CyberArk アプリケーションでクライアント証明書による認証方法を使用する場合は、クライアント証明書を設定する必要があります。予期される入力は、証明書の秘密キーと公開キーを格納する
.pfx
ファイルです。クライアント証明書は、CyberArk CCP AIMWebService がデプロイされているマシンにインストールする必要があります。注:クライアント証明書は、Orchestrator 資格情報ストアで定義されたアプリケーションを認証するために、CyberArk の資格情報で使用されます。アプリケーションの認証方法について詳しくは、CyberArk の公式ドキュメントをご覧ください。
クライアント証明書は、証明書チェーンの公開キーと秘密キーを格納する PKCS12 バイナリ形式ファイルです。
クライアント証明書が Base 64 でエンコードされている場合は、certutil
コマンドを実行して、バイナリ形式でデコードします。certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- [クライアント証明書のパスワード] フィールドに、クライアント証明書のパスワードを入力します。
- CyberArk CCP AIMWebService で受信 HTTP 要求に自己署名ルート CA 証明書を使用する場合は、サーバー ルート証明書を設定する必要があります。これは HTTPS TLS ハンドシェイク証明書チェーンの検証に使用されます。予期される入力は、ルート CA 証明書の公開キーを格納する
.crt
または.cer
ファイルです。 -
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
Azure Key Vault
Key Vault 資格情報ストアでは、RBAC の種類の認証を使用します。サービス プリンシパルの作成後、以下の手順を実行します。
-
[名前] フィールドに、新しい資格情報ストアの名前を入力します。
-
[Key Vault Uri] フィールドに、Azure Key Vault のアドレスを入力します。これは
https://<vault_name>.vault.azure.net/
です。 -
[ディレクトリ ID] フィールドに、Azure Portal に表示されるディレクトリ ID を入力します。
-
Orchestrator アプリが登録されている Azure AD の [アプリ登録] セクションから、[クライアント ID] フィールドにアプリケーション ID を入力します。
-
[クライアント シークレット] フィールドに、前の手順で入力したクライアント アカウントの認証に必要なシークレットを入力します。
-
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
HashiCorp Vault
- [種類] フィールドで、資格情報ストアとして HashiCorp Vault または HashiCorp Vault (読み取り専用) を選択します。
- [名前] フィールドで、HashiCorp Vault 資格情報ストアの名前を指定します。
- [コンテナー URI] フィールドで、HashiCorp Vault の HTTP API の URI を指定します。
-
[認証の種類] フィールドで、使用する認証方法を指定します。選択したオプションに応じて、追加のフィールドを設定する必要があります。
-
AppRole – これは、推奨される認証方法です。このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ロール ID – [AppRole] という認証方法で使用するロール ID を指定します。
- シークレット ID – [AppRole] という認証の種類で使用するシークレット ID を入力します。
-
UsernamePassword – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ユーザー名 – [UsernamePassword] で使用するユーザー名を入力します。
- パスワード - [UsernamePassword] という認証の種類で使用するパスワードを指定します。
-
LDAP – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ユーザー名 - [LDAP] という認証の種類で使用するユーザー名を指定します。
- パスワード - [LDAP] という認証の種類で使用するパスワードを指定します。
-
Token – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- トークン – [Token] という認証の種類で使用するトークンを指定します。
-
- [シークレット エンジン] フィールドで、使用するシークレット エンジンを指定します。以下のオプションがあります。
- KeyValueV1
- KeyValueV2
- Active Directory
- [シークレット エンジンのマウント パス] フィールドで、シークレット エンジンのパスを指定します。指定しないと、既定で KeyValueV1 の場合は
kv
、KeyValueV2 の場合はkv-v2
、ActiveDirectory の場合はad
に設定されます。 - [データ パス] フィールドに、保存されているすべてのシークレットに使用する、パスのプレフィックスを入力します。
- [名前空間] フィールドで、使用する名前空間を指定します。HashiCorp Vault Enterprise でのみ使用できます。
-
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
BeyondTrust
-
[種類] フィールドで、以下のいずれかのオプションを選択します。
- BeyondTrust Password Safe - Managed Accounts
- BeyondTrust Password Safe - Team Passwords
- [名前] フィールドで、BeyondTrust 資格情報ストアの名前を指定します。
- [BeyondTrust のホスト URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
- [API 登録キー] フィールドで、BeyondTrust の API 登録キーの値を指定します。
-
[API 実行元のユーザー名] フィールドで、呼び出しを実行する BeyondTrust ユーザー名を指定します。
BeyondTrust Password Safe - Managed Accounts
BeyondTrust Password Safe - Managed Accounts を選択した場合は、次の手順に進みます。
-
必要に応じて、[既定の Managed System 名] フィールドで、Orchestrator アセットで他の Managed System が指定されていない場合に使用するフォールバック Managed System を指定します。
- [システムとアカウントの区切り文字] フィールドで、Orchestrator アセットの Managed Account 名から Managed System 名を分割するために使用する区切り文字を指定します。
- [Managed Account の種類] フィールドで、BeyondTrust の Managed Account の種類を指定します。
-
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
BeyondTrust Password Safe - Team Passwords
BeyondTrust Password Safe - Team Passwords を選択した場合は、次の手順に進みます。
-
必要に応じて、[フォルダー パスのプレフィックス] フィールドで、既定のフォルダー パスのプレフィックスを指定します。これは、すべての Orchestrator アセットの値の前に追加されます。
- [フォルダー/アカウントの区切り文字] フィールドに、Orchestrator アセットのタイトルからパスを分割するために使用する区切り文字を入力します。
-
[作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。
Thycotic Secret Server
- [種類] フィールドで、[Thycotic Secret Server] を選択します。
- [名前] フィールドに、新しい資格情報ストアの名前を入力します。
- [シークレット サーバー URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
- [ルール名] フィールドに、クライアント オンボーディング ルール名を入力します。
- 必要に応じて、[ルール キー] フィールドにオンボーディング ルールのキーを指定します。この手順は任意ですが、セキュリティを向上させるためルール キーを指定することをお勧めします。
- [ユーザー名フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がユーザー名をプルする、Secret Template フィールドのスラグ名を指定します。
-
[パスワード フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がパスワードをプルする、Secret Template フィールドのスラグ名を指定します。
注: Secret Template フィールドのスラグ名は、[Admin] > [Secret Templates] > [Template] > [Fields] にあります。Orchestrator でアセットまたはロボットが作成されると、外部名を使用して既存のシークレットにリンクされます。この場合、外部名は Thycotic Secret Server の実際のシークレット ID です。
シークレット ID はルートで確認できます。次の例では、値は5
です。
[資格情報ストア] ([テナント] > [資格情報ストア]) に移動し、希望するストアの [その他のアクション] メニューから [編集] を選択します。[資格情報ストアを編集] ダイアログが表示されます。
2 つ以上の資格情報ストアを使用する場合、ロボットとアセットに使用する既定のストアを選択できます。同じストアを両方の既定として使用するか、それぞれに異なる既定のストアを選択できます。
既定のストアを選択するには、[その他のアクション] メニューから、[ロボットの既定のストアとして設定] および/または [アセットの既定のストアとして設定] を選択します。
既定のストアを変更しても、既存のロボットまたはアセットの設定は変更されません。新しいロボットまたはアセットの作成時に、[資格情報ストア] ドロップダウンにあらかじめ選択されて表示される項目が制御されるだけです。ロボットとアセットは常に、作成時に使用されたストアからパスワードを取得します。特定のロボットまたはアセットの資格情報ストアを変更する場合は、ロボット レベルまたはアセット レベルで変更する必要があります。