Orchestrator ユーザー ガイド

資格情報ストアを作成する​

1. [資格情報] ページの [ストア] セクションで、[資格情報ストアを追加] をクリックします。[ 資格情報ストアの追加 ] ダイアログが表示されます。
2. [種類] ドロップダウンから使用する Secure Store を選択します。
3. 次の手順は、作成する資格情報ストアによって異なります。以下のオプションがあります。

   • Orchestrator データベース

     注:

     Orchestrator Database ストアは 1 つしか持つことができません。

   • CyberArk

   • Azure Key Vault – Azure Key Vault と Azure Key Vault (読み取り専用) のいずれかを選択します。

   • HashiCorp Vault – HashiCorp Vault と HashiCorp (読み取り専用) のいずれかを選択します。

   • BeyondTrust – BeyondTrust Password Safe - Managed Accounts と BeyondTrust Password Safe - Team Passwords のいずれかを選択します。

   • Thycotic Secret Server

   • AWS Secrets Manager – [AWS Secrets Manager] と [AWS Secrets Manager (読み取り専用)] のいずれかを選択します。

Orchestrator データベース​

CyberArk CCP​

1. [名前] フィールドに、新しい資格情報ストアの名前を入力します。

2. [アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。

3. [ CyberArk セーフ ] フィールドに、CyberArk® PVWA で定義されているセーフの名前を入力します。詳細については こちらをご覧ください 。

4. [CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。

5. [Central Credential Provider の URL] フィールドに、Central Credential Provider のアドレスを入力します。

6. [Web サービス名] フィールドに、Central Credential Provider Web サービスの名前を入力します。このフィールドを空のままにすると、既定の名前 (AIMWebService) が使用されます。

7. CyberArk アプリケーションで クライアント証明書による認証方法 を使用する場合は、 クライアント証明書 を設定する必要があります。予期される入力は、証明書の秘密キーと公開キーを格納する .pfx ファイルです。クライアント証明書は、CyberArk CCP AIMWebService がデプロイされているマシンにインストールする必要があります。

   注:

   The client certificate is used by CyberArk credential provided to authenticate the application defined in Orchestrator credential store. See the official CyberArk documentation for details on application authentication methods. The client certificate is a PKCS12 binary format file that stores the certificate chain public key(s) and the private key. If the client certificate is encoded in base 64 then run the following certutil command to decode it in binary format: `

   certutil -decode client_certificate_encoded.pfx client_certificate.pfx`

8. [クライアント証明書のパスワード] フィールドに、クライアント証明書のパスワードを入力します。

9. CyberArk CCP AIMWebService で受信 HTTP 要求に自己署名ルート CA 証明書を使用する場合は、サーバー ルート証明書を設定する必要があります。これは HTTPS TLS ハンドシェイク証明書チェーンの検証に使用されます。予期される入力は、ルート CA 証明書の公開キーを格納する .crt または .cer ファイルです。

10. [OS ユーザー認証を許可] オプションは、パラメーター Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication の値が trueに設定されている場合にのみ表示されます。このオプションを使用すると、現在 Orchestrator マシンにログオンしているユーザーの資格情報を使用して認証できるようになります。

    注:

    IIS で Orchestrator と CyberArk の両方に対して必要な変更を加えて、適切なインフラストラクチャが設定されていることを確認します。

11. [作成] を選択します。新しい資格情報ストアを使用する準備が整いました。

    図 1. [資格情報ストアを追加] ページ

Azure Key Vault​

1. [名前] フィールドに、新しい資格情報ストアの名前を入力します。

2. [Key Vault Uri] フィールドに、Azure Key Vault のアドレスを入力します。これは https://<vault_name>.vault.azure.net/ です。

3. [ディレクトリ ID] フィールドに、Azure Portal に表示されるディレクトリ ID を入力します。

   図 2. ディレクトリ ID

   

4. Orchestrator アプリが登録されている Azure AD の [アプリ登録] セクションから、[クライアント ID] フィールドにアプリケーション ID を入力します。

5. [クライアント シークレット] フィールドに、前の手順で入力したクライアント アカウントの認証に必要なシークレットを入力します。

6. [作成] を選択します。新しい資格情報ストアを使用する準備が整いました。

HashiCorp Vault​

1. [種類] フィールドで、資格情報ストアとして HashiCorp Vault または HashiCorp Vault (読み取り専用) を選択します。

2. [名前] フィールドで、HashiCorp Vault 資格情報ストアの名前を指定します。

3. [コンテナー URI] フィールドで、HashiCorp Vault の HTTP API の URI を指定します。

4. [ 認証の種類 ] フィールドで、使用する認証方法を指定します。選択したオプションに応じて、追加のフィールドを設定する必要があります。

   • AppRole – これは、推奨される認証方法です。このオプションを選択する場合は、以下のフィールドも設定する必要があります。
     • ロール ID – [AppRole] という認証方法で使用するロール ID を指定します。
     • シークレット ID – [AppRole] という認証の種類で使用するシークレット ID を入力します。
   • UsernamePassword – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
     • ユーザー名 – [UsernamePassword] で使用するユーザー名を入力します。
     • パスワード - [UsernamePassword] という認証の種類で使用するパスワードを指定します。
   • LDAP – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
     • ユーザー名 - [LDAP] という認証の種類で使用するユーザー名を指定します。
     • パスワード - [LDAP] という認証の種類で使用するパスワードを指定します。
   • Token – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
     • トークン – [Token] という認証の種類で使用するトークンを指定します。
   • [ シークレット エンジン ] フィールドで、使用するシークレット エンジンを選択します。以下のオプションがあります。
     • KeyValueV1
     • KeyValueV2
     • Active Directory
     • OpenLDAP

5. 任意の [認証マウント パス] フィールドで、カスタム マウント パスを指定できます。同じ認証方法を 2 つの異なる設定で 2 つの異なるパスにマウントできます。

6. [シークレット エンジンのマウント パス] フィールドで、シークレット エンジンのパスを指定します。指定しない場合、既定で KeyValueV1 の場合は kv、KeyValueV2 の場合は kv-v2、ActiveDirectory の場合は ad に設定されます。

7. [データ パス] フィールドに、保存されているすべてのシークレットに使用する、パスのプレフィックスを入力します。

8. [ 名前空間 ] フィールドで、使用する 名前空間 を指定します。HashiCorp Vault Enterprise でのみ使用できます。

9. [ (LDAP) 動的資格情報を使用] オプションで [True ] (動的) または [False ] (静的) を選択し、動的資格情報と静的資格情報を切り替えます。既定のオプションは [False] です。

10. [作成] を選択します。新しい資格情報ストアを使用する準備が整いました。

    図 4. 資格情報ストアの追加

BeyondTrust​

1. [種類] フィールドで、以下のいずれかのオプションを選択します。
   • BeyondTrust Password Safe - Managed Accounts
   • BeyondTrust Password Safe - Team Passwords
2. [名前] フィールドで、BeyondTrust 資格情報ストアの名前を指定します。
3. [BeyondTrust のホスト URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
4. [API 登録キー] フィールドで、BeyondTrust の API 登録キーの値を指定します。
5. [API 実行元のユーザー名] フィールドで、呼び出しを実行する BeyondTrust ユーザー名を指定します。

BeyondTrust Password Safe - Managed Accounts​

1. 必要に応じて、[既定の Managed System 名] フィールドで、BeyondTrust のパスワード セーフで管理されるシステム名を指定します。このフィールドは、Orchestrator アセットの [外部名] フィールドにシステム名のプレフィックスが含まれていない場合に、フォールバック システム名として機能します。
2. [システムとアカウントの区切り文字] フィールドで、Orchestrator アセットのアカウント名からシステム名を分割するために使用する区切り文字を入力します。
3. [Managed Account の種類] フィールドで、BeyondTrust から取得するアカウントの種類を選択します。
   • system - ローカル アカウントを返します。
   • domainlinked - システムにリンクされているドメイン アカウントを返します。
4. [作成] を選択します。新しい資格情報ストアを使用する準備が整いました。

BeyondTrust Password Safe - Team Passwords​

1. 必要に応じて、[フォルダー パスのプレフィックス] フィールドで、既定のフォルダー パスのプレフィックスを指定します。これは、すべての Orchestrator アセットの値の前に追加されます。

2. [フォルダー/アカウントの区切り文字] フィールドに、Orchestrator アセットのタイトルからパスを分割するために使用する区切り文字を入力します。

3. [作成] を選択します。新しい資格情報ストアを使用する準備が整いました。

   図 5. 資格情報ストアの追加

   

Thycotic Secret Server​

1. [種類] フィールドで、[Thycotic Secret Server] を選択します。

2. [名前] フィールドに、新しい資格情報ストアの名前を入力します。

3. [シークレット サーバー URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。

4. [ルール名] フィールドに、クライアント オンボーディング ルール名を入力します。

5. 必要に応じて、[ルール キー] フィールドにオンボーディング ルールのキーを指定します。この手順は任意ですが、セキュリティを向上させるためルール キーを指定することをお勧めします。

6. [ユーザー名フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がユーザー名をプルする、Secret Template フィールドのスラグ名を指定します。

7. [パスワード フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がパスワードをプルする、Secret Template フィールドのスラグ名を指定します。

   注:

   Secret Template フィールドのスラグ名は、[Admin] > [Secret Templates] > [Template] > [Fields] にあります。

   図 6. 資格情報ストアを追加

   

AWS Secrets Manager​

1. [種類] フィールドで、[AWS Secrets Manager] または [AWS Secrets Manager (読み取り専用)] を選択します。 読み取り専用または読み取り/書き込み可能なバージョンの選択は、お使いの IAM ポリシーの権限によって異なります。

2. [名前] フィールドに、新しい資格情報ストアの名前を入力します。

3. [アクセス キー] フィールドに、お使いの AWS の IAM ユーザー ページの [Security credentials] タブで確認できるアクセス キー ID を追加します。

4. [シークレット キー] フィールドに、AWS IAM ユーザー アカウントの作成時に提供されたシークレット キー ID を追加します。

5. [既定の資格情報を使用] フィールドを選択します。次のオプションが利用可能です。

   • True – 選択した場合、マシンに割り当てられた IAM ロールが使用されるため、[アクセス キー] フィールドと [シークレット キー] フィールドは空のままにする必要があります。
   • False – 選択した場合、アクセス キーとシークレット キーを自分で入力する必要があります。

6. [リージョン] フィールドに、AWS アカウントに表示される、シークレットの保存先とするリージョンを追加します。

   図 8. 資格情報ストアの追加

   

   AWS Secrets Manager (読み取り専用) を使用する場合、まず AWS Secrets Manager でアセットまたはロボットの資格情報を作成する必要があります。

資格情報ストアを編集する​

既定の資格情報ストアを設定する​

資格情報ストアを削除する​