- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Orchestrator のテスト
- その他の構成
- Integrations
- ホストの管理
- 組織管理者
- トラブルシューティング
Orchestrator ユーザー ガイド
資格情報ストアを管理する
資格情報ストアを作成する
- [資格情報] ページの [ストア] セクションで、[資格情報ストアを追加] をクリックします。[ 資格情報ストアの追加 ] ダイアログが表示されます。
- [種類] ドロップダウンから使用する Secure Store を選択します。
- 次の手順は、作成する資格情報ストアによって異なります。以下のオプションがあります。
-
Orchestrator データベース
注:Orchestrator Database ストアは 1 つしか持つことができません。
-
CyberArk
-
Azure Key Vault – Azure Key Vault と Azure Key Vault (読み取り専用) のいずれかを選択します。
-
HashiCorp Vault – HashiCorp Vault と HashiCorp (読み取り専用) のいずれかを選択します。
-
BeyondTrust – BeyondTrust Password Safe - Managed Accounts と BeyondTrust Password Safe - Team Passwords のいずれかを選択します。
-
Thycotic Secret Server
-
AWS Secrets Manager – [AWS Secrets Manager] と [AWS Secrets Manager (読み取り専用)] のいずれかを選択します。
-
Orchestrator データベース
[作成] をクリックします。Orchestrator のデータベース ストアには設定可能なプロパティはありません。
CyberArk CCP
CyberArk® ストアが同じアプリケーション ID、Safe、フォルダー名を使用して複数のテナントで構成されている場合、保存されている資格情報には、それらすべてのテナントがアクセスできます。テナント レベルでセキュリティと分離を確保するには、各テナントの CyberArk ストアに異なる設定を使用する必要があります。
-
[名前] フィールドに、新しい資格情報ストアの名前を入力します。
-
[アプリ ID] フィールドに、CyberArk®PVWA (Password Vault Web Access) インターフェイスの Orchestrator インスタンスのアプリケーション ID を入力します。詳細についてはこちらをご覧ください。
-
[ CyberArk セーフ ] フィールドに、CyberArk® PVWA で定義されているセーフの名前を入力します。詳細については こちらをご覧ください 。
-
[CyberArk フォルダー] フィールドに、CyberArk® が資格情報を格納する場所を入力します。
-
[Central Credential Provider の URL] フィールドに、Central Credential Provider のアドレスを入力します。
-
[Web サービス名] フィールドに、Central Credential Provider Web サービスの名前を入力します。このフィールドを空のままにすると、既定の名前 (AIMWebService) が使用されます。
-
CyberArk アプリケーションで クライアント証明書による認証方法 を使用する場合は、 クライアント証明書 を設定する必要があります。予期される入力は、証明書の秘密キーと公開キーを格納する
.pfxファイルです。クライアント証明書は、CyberArk CCP AIMWebService がデプロイされているマシンにインストールする必要があります。注:クライアント証明書は、Orchestrator 資格情報ストアで定義されたアプリケーションを認証するために、CyberArk の資格情報で使用されます。アプリケーションの認証方法について詳しくは、CyberArk の公式ドキュメントをご覧ください。クライアント証明書は、証明書チェーンの公開キーと秘密キーを格納する PKCS12 バイナリ形式ファイルです。クライアント証明書が Base 64 でエンコードされている場合は、
certutilコマンドを実行して、バイナリ形式でデコードします。certutil -decode client_certificate_encoded.pfx client_certificate.pfx`
-
[クライアント証明書のパスワード] フィールドに、クライアント証明書のパスワードを入力します。
-
CyberArk CCP AIMWebService で受信 HTTP 要求に自己署名ルート CA 証明書を使用する場合は、サーバー ルート証明書を設定する必要があります。これは HTTPS TLS ハンドシェイク証明書チェーンの検証に使用されます。予期される入力は、ルート CA 証明書の公開キーを格納する
.crtまたは.cerファイルです。 -
[OS ユーザー認証を許可] オプションは、パラメーター
Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthenticationの値がtrueに設定されている場合にのみ表示されます。このオプションを使用すると、現在 Orchestrator マシンにログオンしているユーザーの資格情報を使用して認証できるようになります。注:IIS で Orchestrator と CyberArk の両方に対して必要な変更を加えて、適切なインフラストラクチャが設定されていることを確認します。
-
[作成] を選択します。新しい資格情報ストアを使用する準備が整いました。
図 1. [資格情報ストアを追加] ページ
![[資格情報ストアを追加] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-add-credential-store-page-225747-3e390799.webp)
Azure Key Vault
Key Vault 資格情報ストアでは、RBAC の種類の認証を使用します。サービス プリンシパルの作成後、以下の手順を実行します。
-
[名前] フィールドに、新しい資格情報ストアの名前を入力します。
-
[Key Vault Uri] フィールドに、Azure Key Vault のアドレスを入力します。これは
https://<vault_name>.vault.azure.net/です。 -
[ディレクトリ ID] フィールドに、Azure Portal に表示されるディレクトリ ID を入力します。
図 2. ディレクトリ ID
![[ディレクトリ ID] フィールドを強調表示したスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-with-the-directory-id-field-highlighted-226775-f5f61a3d.webp)
-
Orchestrator アプリが登録されている Azure AD の [アプリ登録] セクションから、[クライアント ID] フィールドにアプリケーション ID を入力します。
-
[クライアント シークレット] フィールドに、前の手順で入力したクライアント アカウントの認証に必要なシークレットを入力します。
-
[作成] を選択します。新しい資格情報ストアを使用する準備が整いました。
図 3. [資格情報ストアを追加] ページ
![[資格情報ストアを追加] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-add-credential-store-page-226174-8baabae9.webp)
パブリック クラウドとは異なるクラウドから Azure Key Vault にアクセスする場合は、環境変数 AZURE_AUTHORITY_HOST を対応する値 (つまり、"AZURE_AUTHORITY_HOST": "https://login.microsoftonline.us/")。この値について詳しくは、「Microsoft Entra authentication & national clouds」をご覧ください
- Microsoft ID プラットフォーム](https://learn.microsoft.com/en-us/entra/identity-platform/authentication-national-cloud#azure-ad-authentication-endpoints) ドキュメント。
HashiCorp Vault
-
[種類] フィールドで、資格情報ストアとして HashiCorp Vault または HashiCorp Vault (読み取り専用) を選択します。
-
[名前] フィールドで、HashiCorp Vault 資格情報ストアの名前を指定します。
-
[コンテナー URI] フィールドで、HashiCorp Vault の HTTP API の URI を指定します。
-
[ 認証の種類 ] フィールドで、使用する認証方法を指定します。選択したオプションに応じて、追加のフィールドを設定する必要があります。
- AppRole – これは、推奨される認証方法です。このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ロール ID – [AppRole] という認証方法で使用するロール ID を指定します。
- シークレット ID – [AppRole] という認証の種類で使用するシークレット ID を入力します。
- UsernamePassword – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ユーザー名 – [UsernamePassword] で使用するユーザー名を入力します。
- パスワード - [UsernamePassword] という認証の種類で使用するパスワードを指定します。
- LDAP – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- ユーザー名 - [LDAP] という認証の種類で使用するユーザー名を指定します。
- パスワード - [LDAP] という認証の種類で使用するパスワードを指定します。
- Token – このオプションを選択する場合は、以下のフィールドも設定する必要があります。
- トークン – [Token] という認証の種類で使用するトークンを指定します。
- [ シークレット エンジン ] フィールドで、使用するシークレット エンジンを選択します。以下のオプションがあります。
- KeyValueV1
- KeyValueV2
- Active Directory
- OpenLDAP
- AppRole – これは、推奨される認証方法です。このオプションを選択する場合は、以下のフィールドも設定する必要があります。
-
任意の [認証マウント パス] フィールドで、カスタム マウント パスを指定できます。同じ認証方法を 2 つの異なる設定で 2 つの異なるパスにマウントできます。
-
[シークレット エンジンのマウント パス] フィールドで、シークレット エンジンのパスを指定します。指定しない場合、既定で KeyValueV1 の場合は
kv、KeyValueV2 の場合はkv-v2、ActiveDirectory の場合はadに設定されます。 -
[データ パス] フィールドに、保存されているすべてのシークレットに使用する、パスのプレフィックスを入力します。
-
[ 名前空間 ] フィールドで、使用する 名前空間 を指定します。HashiCorp Vault Enterprise でのみ使用できます。
-
[ (LDAP) 動的資格情報を使用] オプションで [True ] (動的) または [False ] (静的) を選択し、動的資格情報と静的資格情報を切り替えます。既定のオプションは [False] です。
-
[作成] を選択します。新しい資格情報ストアを使用する準備が整いました。
図 4. 資格情報ストアの追加
![[資格情報ストアを追加] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-add-credential-store-page-233123-e8bbdb8e.webp)
BeyondTrust
- [種類] フィールドで、以下のいずれかのオプションを選択します。
- BeyondTrust Password Safe - Managed Accounts
- BeyondTrust Password Safe - Team Passwords
- [名前] フィールドで、BeyondTrust 資格情報ストアの名前を指定します。
- [BeyondTrust のホスト URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
- [API 登録キー] フィールドで、BeyondTrust の API 登録キーの値を指定します。
- [API 実行元のユーザー名] フィールドで、呼び出しを実行する BeyondTrust ユーザー名を指定します。
BeyondTrust Password Safe - Managed Accounts
BeyondTrust Password Safe - Managed Accounts を選択した場合は、次の手順に進みます。
- 必要に応じて、[既定の Managed System 名] フィールドで、BeyondTrust のパスワード セーフで管理されるシステム名を指定します。このフィールドは、Orchestrator アセットの [外部名] フィールドにシステム名のプレフィックスが含まれていない場合に、フォールバック システム名として機能します。
- [システムとアカウントの区切り文字] フィールドで、Orchestrator アセットのアカウント名からシステム名を分割するために使用する区切り文字を入力します。
- [Managed Account の種類] フィールドで、BeyondTrust から取得するアカウントの種類を選択します。
- system - ローカル アカウントを返します。
- domainlinked - システムにリンクされているドメイン アカウントを返します。
- [作成] を選択します。新しい資格情報ストアを使用する準備が整いました。
システム名は、資格情報ストアで SystemName の形式で指定するか、Orchestrator アセットの [ 外部名 ] フィールドで SystemName/AccountNameの形式で指定する必要があります。
BeyondTrust Password Safe - Team Passwords
BeyondTrust Password Safe - Team Passwords を選択した場合は、次の手順に進みます。
-
必要に応じて、[フォルダー パスのプレフィックス] フィールドで、既定のフォルダー パスのプレフィックスを指定します。これは、すべての Orchestrator アセットの値の前に追加されます。
-
[フォルダー/アカウントの区切り文字] フィールドに、Orchestrator アセットのタイトルからパスを分割するために使用する区切り文字を入力します。
-
[作成] を選択します。新しい資格情報ストアを使用する準備が整いました。
図 5. 資格情報ストアの追加
![[資格情報ストアを追加] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-add-credential-store-page-231072-87827d5f.webp)
Thycotic Secret Server
-
[種類] フィールドで、[Thycotic Secret Server] を選択します。
-
[名前] フィールドに、新しい資格情報ストアの名前を入力します。
-
[シークレット サーバー URL] フィールドで、シークレット サーバー インスタンスの URL を指定します。
-
[ルール名] フィールドに、クライアント オンボーディング ルール名を入力します。
-
必要に応じて、[ルール キー] フィールドにオンボーディング ルールのキーを指定します。この手順は任意ですが、セキュリティを向上させるためルール キーを指定することをお勧めします。
-
[ユーザー名フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がユーザー名をプルする、Secret Template フィールドのスラグ名を指定します。
-
[パスワード フィールド] フィールドで、Thycotic Secret Server からアセットを取得するときに Orchestrator がパスワードをプルする、Secret Template フィールドのスラグ名を指定します。
注:Secret Template フィールドのスラグ名は、[Admin] > [Secret Templates] > [Template] > [Fields] にあります。
図 6. 資格情報ストアを追加
![[資格情報ストアを追加] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-add-credential-store-page-227321-a9330560.webp)
Orchestrator でアセットまたはロボットが作成されると、外部名を使用して既存のシークレットにリンクされます。この場合、外部名は Thycotic Secret Server の実際のシークレット ID です。
シークレット ID はルートで確認できます。次の例では、値は 5 です。
図 7. シークレット ID
![[アセットを編集] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-edit-asset-page-229515-f059259d.webp)
AWS Secrets Manager
-
[種類] フィールドで、[AWS Secrets Manager] または [AWS Secrets Manager (読み取り専用)] を選択します。 読み取り専用または読み取り/書き込み可能なバージョンの選択は、お使いの IAM ポリシーの権限によって異なります。
-
[名前] フィールドに、新しい資格情報ストアの名前を入力します。
-
[アクセス キー] フィールドに、お使いの AWS の IAM ユーザー ページの [Security credentials] タブで確認できるアクセス キー ID を追加します。
-
[シークレット キー] フィールドに、AWS IAM ユーザー アカウントの作成時に提供されたシークレット キー ID を追加します。
-
[既定の資格情報を使用] フィールドを選択します。次のオプションが利用可能です。
- True – 選択した場合、マシンに割り当てられた IAM ロールが使用されるため、[アクセス キー] フィールドと [シークレット キー] フィールドは空のままにする必要があります。
- False – 選択した場合、アクセス キーとシークレット キーを自分で入力する必要があります。
-
[リージョン] フィールドに、AWS アカウントに表示される、シークレットの保存先とするリージョンを追加します。
図 8. 資格情報ストアの追加
![[資格情報ストアを追加] ページのスクリーンショット](https://dev-assets.cms.uipath.com/assets/images/orchestrator/orchestrator-screenshot-of-the-add-credential-store-page-229718-ac0d1b11.webp)
資格情報ストアを編集する
[ストア] ([テナント] > [資格情報] > [ストア]) に移動し、目的のストアの [その他のアクション] メニューから [編集] を選択します。[資格情報ストアを編集] ダイアログが表示されます。
Orchestrator Database ストアには、編集可能なプロパティはありません。
既定の資格情報ストアを設定する
2 つ以上の資格情報ストアを使用する場合、ロボットとアセットに使用する既定のストアを選択できます。同じストアを両方の既定として使用するか、それぞれに異なる既定のストアを選択できます。
既定のストアを選択するには、[その他のアクション] メニューから、[ロボットの既定のストアとして設定] および/または [アセットの既定のストアとして設定] を選択します。
既定のストアを変更しても、既存のロボットまたはアセットの設定は変更されません。新しいロボットまたはアセットの作成時に、[資格情報ストア] ドロップダウンにあらかじめ選択されて表示される項目が制御されるだけです。ロボットとアセットは常に、作成時に使用されたストアからパスワードを取得します。特定のロボットまたはアセットの資格情報ストアを変更する場合は、ロボット レベルまたはアセット レベルで変更する必要があります。
資格情報ストアを削除する
資格情報ストアを削除するには、目的のストアの [その他のアクション] メニューから [削除] を選択します。
選択したストアが使用中の場合、影響を受けるロボットとアセットの数を示す警告ダイアログが表示されます。[削除] をクリックして削除を確定するか、[キャンセル] をクリックして中止します。常に少なくとも 1 つの資格情報ストアをアクティブにする必要があり、1 つしか存在しない場合は削除するオプションは表示されません。
既定として指定された資格情報ストアは削除できません。最初にその種類の資格情報に対する別の既定のストアを選択する必要があります。