Orchestrator
v2023.4
Managing credential stores - Standalone 2023.4
Banner background image
ロゴ
Orchestrator ユーザー ガイド
最終更新日 2023年12月6日

資格情報ストアを管理する

資格情報ストアを作成する

  1. [資格情報] ページの [ストア] セクションで [資格情報ストアを追加] をクリックします。[資格情報ストアを追加] ダイアログが表示されます。
  2. [プロキシ] ドロップダウン リストから、目的のプロキシを選択します。[ローカル] には、Orchestrator のすべての組み込みストアが含まれます。その他の利用可能なオプションは、[資格情報プロキシを追加] ページでユーザーが作成したプロキシです。
  3. [種類] ドロップダウンから、使用する Secure Store を選択します。利用可能なオプションは、選択したプロキシによって異なります。
  4. 次の手順は、作成する資格情報ストアによって異なります。以下のオプションがあります。
    • Orchestrator データベース
      注: Orchestrator Database ストアは 1 つしか持つことができません。
    • CyberArk
    • Azure Key VaultAzure Key VaultAzure Key Vault (読み取り専用) のいずれかを選択します。
    • HashiCorp VaultHashiCorp VaultHashiCorp (読み取り専用) のいずれかを選択します。
    • BeyondTrustBeyondTrust Password Safe - Managed AccountsBeyondTrust Password Safe - Team Passwords のいずれかを選択します。
    • Thycotic Secret Server
    • AWS Secrets Manager[AWS Secrets Manager][AWS Secrets Manager (読み取り専用)] のいずれかを選択します。

Orchestrator データベース

[作成] をクリックします。Orchestrator のデータベース ストアには設定可能なプロパティはありません。

CyberArk

注: CyberArk ストアは同じアプリケーション ID、セーフ、フォルダー名を使用する複数のテナント内に設定され、保存されている資格情報には、それらすべてのテナントがアクセスできます。テナント レベルでセキュリティと分離を確保するには、各テナントの CyberArk ストアに異なる設定を使用する必要があります。
  1. [名前] フィールドに、新しい資格情報ストアの名前を入力します。
  2. [アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスから Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
  3. [CyberArk セーフ] フィールドに、CyberArk®PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
  4. [CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
  5. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。

CyberArk CCP

注: CyberArk ストアは同じアプリケーション ID、セーフ、フォルダー名を使用する複数のテナント内に設定され、保存されている資格情報には、それらすべてのテナントがアクセスできます。テナント レベルでセキュリティと分離を確保するには、各テナントの CyberArk ストアに異なる設定を使用する必要があります。
  1. [名前] フィールドに、新しい資格情報ストアの名前を入力します。
  2. [アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスから Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
  3. [CyberArk セーフ] フィールドに、CyberArk® PVWA で定義されているセーフの名前を入力します。詳細についてはこちらをご覧ください。
  4. [CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
  5. [Central Credential Provider の URL] フィールドに、Central Credential Provider のアドレスを入力します。
  6. [Web サービス名] フィールドに、Central Credential Provider Web サービスの名前を入力します。このフィールドを空のままにすると、既定の名前 (AIMWebService) が使用されます。
  7. CyberArk アプリケーションでクライアント証明書 による認証方法 を使用する場合は、 クライアント証明書 を設定する必要があります。予期される入力は、証明書の秘密キーと公開キーを格納する .pfx ファイルです。 クライアント証明書は、CyberArk CCP AIMWebService がデプロイされているマシンにインストールする必要があります。
    注:

    クライアント証明書は、Orchestrator 資格情報ストアで定義されたアプリケーションを認証するために、CyberArk の資格情報で使用されます。アプリケーションの認証方法について詳しくは、CyberArk の公式ドキュメントをご覧ください。

    クライアント証明書は、証明書チェーンの公開キーと秘密キーを格納する PKCS12 バイナリ形式ファイルです。

    クライアント証明書が Base 64 でエンコードされている場合は、certutil コマンドを実行して、バイナリ形式でデコードします。

    certutil -decode client_certificate_encoded.pfx client_certificate.pfx

  8. [クライアント証明書のパスワード] フィールドに、クライアント証明書のパスワードを入力します。
  9. CyberArk CCP AIMWebService で受信 HTTP 要求に自己署名ルート CA 証明書を使用する場合は、サーバー ルート証明書を設定する必要があります。これは HTTPS TLS ハンドシェイク証明書チェーンの検証に使用されます。予期される入力は、ルート CA 証明書の公開キーを格納する .crt または .cer ファイルです。
  10. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。



Azure Key Vault

Key Vault 資格情報ストアでは、RBAC の種類の認証を使用します。サービス プリンシパルの作成後、以下の手順を実行します。

  1. [名前] フィールドに、新しい資格情報ストアの名前を入力します。

  2. [Key Vault Uri] フィールドに、Azure Key Vault のアドレスを入力します。これは https://<vault_name>.vault.azure.net/ です。
  3. [ディレクトリ ID] フィールドに、Azure Portal に表示されるディレクトリ ID を入力します。

  4. Orchestrator アプリが登録されている Azure AD の [アプリ登録] セクションから、[クライアント ID] フィールドにアプリケーション ID を入力します。

  5. [クライアント シークレット] フィールドに、前の手順で入力したクライアント アカウントの認証に必要なシークレットを入力します。

  6. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。



HashiCorp Vault

  1. [種類] フィールドで、資格情報ストアとして HashiCorp Vault または HashiCorp Vault (読み取り専用) を選択します。
  2. [名前] フィールドで、HashiCorp Vault 資格情報ストアの名前を指定します。
  3. [コンテナー URI] フィールドで、HashiCorp Vault の HTTP API の URI を指定します。
  4. [認証の種類] フィールドで、使用する認証方法を指定します。選択したオプションに応じて、追加のフィールドを設定する必要があります。

    • AppRoleこれは、推奨される認証方法です。このオプションを選択する場合は、以下のフィールドも設定する必要があります。

      • ロール ID – [AppRole] という認証方法で使用するロール ID を指定します。
      • シークレット ID – [AppRole] という認証の種類で使用するシークレット ID を入力します。
    • UsernamePassword – このオプションを選択する場合は、以下のフィールドも設定する必要があります。

      • ユーザー名 – [UsernamePassword] で使用するユーザー名を入力します。
      • パスワード - [UsernamePassword] という認証の種類で使用するパスワードを指定します。
    • LDAP – このオプションを選択する場合は、以下のフィールドも設定する必要があります。

      • ユーザー名 - [LDAP] という認証の種類で使用するユーザー名を指定します。
      • パスワード - [LDAP] という認証の種類で使用するパスワードを指定します。
    • Token – このオプションを選択する場合は、以下のフィールドも設定する必要があります。

      • トークン – [Token] という認証の種類で使用するトークンを指定します。
    • [シークレット エンジン] フィールドで、使用するシークレット エンジンを指定します。以下のオプションがあります。
      • KeyValueV1
      • KeyValueV2
      • Active Directory
  5. [ シークレット エンジンのマウント パス ] フィールドで、 シークレット エンジンのパスを指定します。 指定しないと、既定で KeyValueV1 の場合は kvKeyValueV2 の場合は kv-v2ActiveDirectory の場合は ad に設定されます。
  6. [データ パス] フィールドに、保存されているすべてのシークレットに使用する、パスのプレフィックスを入力します。
  7. [ 名前空間 ] フィールドで、使用する 名前空間 を指定します。 HashiCorp Vault Enterprise でのみ使用できます。
  8. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。



BeyondTrust

  1. [種類] フィールドで、以下のいずれかのオプションを選択します。

    • BeyondTrust Password Safe - Managed Accounts
    • BeyondTrust Password Safe - Team Passwords
  2. [名前] フィールドで、BeyondTrust 資格情報ストアの名前を指定します。
  3. [BeyondTrust のホスト URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
  4. [API 登録キー] フィールドで、BeyondTrust の API 登録キーの値を指定します。
  5. [API 実行元のユーザー名] フィールドで、呼び出しを実行する BeyondTrust ユーザー名を指定します。

BeyondTrust Password Safe - Managed Accounts

手順 4 で BeyondTrust Password Safe - Team Passwords を選択した場合は、以降の手順に進みます。

  1. 必要に応じて、[フォルダー パスのプレフィックス] フィールドで、既定のフォルダー パスのプレフィックスを指定します。これは、すべての Orchestrator アセットの値の前に追加されます。

  2. [フォルダー/アカウントの区切り文字] フィールドに、Orchestrator アセットのタイトルからパスを分割するために使用する区切り文字を入力します。
  3. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。



BeyondTrust Password Safe - Team Passwords

手順 4 で BeyondTrust Password Safe - Team Passwords を選択した場合は、以降の手順に進みます。

  1. 必要に応じて、[フォルダー パスのプレフィックス] フィールドで、既定のフォルダー パスのプレフィックスを指定します。これは、すべての Orchestrator アセットの値の前に追加されます。

  2. [フォルダー/アカウントの区切り文字] フィールドに、Orchestrator アセットのタイトルからパスを分割するために使用する区切り文字を入力します。
  3. [作成] をクリックします。新しい資格情報ストアを使用する準備が整いました。



Thycotic Secret Server

  1. [種類] フィールドで、[Thycotic Secret Server] を選択します。
  2. [名前] フィールドに、新しい資格情報ストアの名前を入力します。
  3. [シークレット サーバー URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
  4. [ルール名] フィールドに、クライアント オンボーディング ルール名を入力します。
  5. 必要に応じて、[ルール キー] フィールドにオンボーディング ルールのキーを指定します。この手順は任意ですが、セキュリティを向上させるためルール キーを指定することをお勧めします。
  6. [ユーザー名フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がユーザー名をプルする、Secret Template フィールドのスラグ名を指定します。
  7. [パスワード フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がパスワードをプルする、Secret Template フィールドのスラグ名を指定します。

    注: Secret Template フィールドのスラグ名は、[Admin] > [Secret Templates] > [Template] > [Fields] にあります。


Orchestrator でアセットまたはロボットが作成されると、外部名を使用して既存のシークレットにリンクされます。この場合、外部名は Thycotic Secret Server の実際のシークレット ID です。

シークレット ID はルートで確認できます。次の例では、値は 5 です。




AWS Secrets Manager

  1. [種類] フィールドで、[AWS Secrets Manager] または [AWS Secrets Manager (読み取り専用)] を選択します。

    読み取り専用または読み取り/書き込み可能なバージョンの選択は、お使いの IAM ポリシーの権限によって異なります。

  2. [名前] フィールドに、新しい資格情報ストアの名前を入力します。
  3. [アクセス キー] フィールドに、お使いの AWS の IAM ユーザー ページの [Security credentials] タブで確認できるアクセス キー ID を追加します。
  4. [シークレット キー] フィールドに、AWS IAM ユーザー アカウントの作成時に提供されたシークレット キー ID を追加します。
  5. [既定の資格情報を使用] フィールドを選択します。次のオプションが利用可能です。
    • True – 選択した場合、マシンに割り当てられた IAM ロールが使用されるため、[アクセス キー] フィールドと [シークレット キー] フィールドは空のままにする必要があります。
    • False – 選択した場合、アクセス キーシークレット キーを自分で入力する必要があります。
  6. [リージョン] フィールドに、AWS アカウントに表示される、シークレットの保存先とするリージョンを追加します。


    AWS Secrets Manager (読み取り専用) を使用する場合、まず AWS Secrets Manager でアセットまたはロボットの資格情報を作成する必要があります。

資格情報ストアを編集する

[ストア] ([テナント] > [資格情報] > [ストア]) に移動し、目的のストアの [その他のアクション] メニューから [編集] を選択します。[資格情報ストアを編集] ダイアログが表示されます。

注: Orchestrator Database ストアには、編集可能なプロパティはありません。

既定の資格情報ストアを設定する

2 つ以上の資格情報ストアを使用する場合、ロボットとアセットに使用する既定のストアを選択できます。同じストアを両方の既定として使用するか、それぞれに異なる既定のストアを選択できます。

既定のストアを選択するには、[その他のアクション] メニューから、[ロボットの既定のストアとして設定] および/または [アセットの既定のストアとして設定] を選択します。

注:

既定のストアを変更しても、既存のロボットまたはアセットの設定は変更されません。新しいロボットまたはアセットの作成時に、[資格情報ストア] ドロップダウンにあらかじめ選択されて表示される項目が制御されるだけです。ロボットとアセットは常に、作成時に使用されたストアからパスワードを取得します。特定のロボットまたはアセットの資格情報ストアを変更する場合は、ロボット レベルまたはアセット レベルで変更する必要があります。

資格情報ストアを削除する

資格情報ストアを削除するには、目的のストアの [その他のアクション] メニューから [削除] を選択します。

選択したストアが使用中の場合、影響を受けるロボットとアセットの数を示す警告ダイアログが表示されます。[削除] をクリックして削除を確定するか、[キャンセル] をクリックして中止します。常に少なくとも 1 つの資格情報ストアをアクティブにする必要があり、1 つしか存在しない場合は削除するオプションは表示されません。

注: 既定として指定された資格情報ストアは削除できません。最初にその種類の資格情報に対する別の既定のストアを選択する必要があります。

Support and Services icon
サポートを受ける
UiPath Academy icon
RPA について学ぶ - オートメーション コース
UiPath Forum icon
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.