orchestrator
latest
false
Guia do usuário do Orchestrator
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 30 de out de 2024

Gerenciar armazenamentos de credenciais

Criação de um armazenamento de credenciais

  1. Clique em Adicionar armazenamento de credenciais na página Credenciais , na seção Armazenamentos . Aparecerá a caixa de diálogo Adicionar armazenamento de credenciais .
  2. No menu suspenso Proxy, selecione o proxy desejado. Local - contém todos os armazenamentos integrados do Orchestrator. Quaisquer outras opções disponíveis constituem proxies criados por você na página Adicionar Credentials Proxy. Dessa forma, você também pode ter:
    • Um proxy conectado - isso é gerenciado pelo Orchestrator, o que significa que o Orchestrator recupera credenciais do proxy e as transmite para o robô.

    • Um proxy desconectado - isso não é gerenciado pelo Orchestrator, o que significa que as credenciais são recuperadas diretamente do proxy antes de serem transmitidas para o robô.

  3. No menu suspenso Tipo, selecione qual armazenamento seguro será usado.
    As opções disponíveis dependem do proxy selecionado.
    Observação: se nenhum plug-in válido for configurado, esse campo está vazio.
  4. As próximas etapas variam com base no repositório de credenciais que você deseja criar. Suas opções são:
    • Banco de Dados do Orchestrator
      Observação: você só pode ter um armazenamento de banco de dados do Orchestrator.
    • CyberArk® Conjur Cloud
    • Azure Key Vault — escolha entre o Azure Key Vault e o Azure Key Vault (somente leitura)
    • HashiCorp Vault — escolha entre o HashiCorp Vault e o HashiCorp (somente leitura)
    • BeyondTrust — escolha entre o BeyondTrust Password Safe - Managed Accounts e BeyondTrust Password Safe - Team Passwords
    • Thycotic Secret Server
    • AWS Secrets Manager – Escolha entre AWS Secrets Manager e AWS Secrets Manager (somente leitura)

Banco de Dados do Orchestrator

Clique em Criar - os arquivos do banco de dados do Orchestrator não têm propriedades configuráveis.

CyberArk CCP

Observação: um armazenamento CyberArk configurado em vários tenants usando a mesma ID de aplicativo, cofre e nome de pasta permitirá o acesso às credenciais armazenadas entre tenants. Para manter a segurança e o isolamento no nível do tenant, certifique-se de que diferentes configurações sejam usadas para o armazenamento do CyberArk de cada tenant.
  1. No campo Nome, digite um nome para o novo armazenamento de credenciais.
  2. No campo ID do aplicativo, insira o ID do aplicativo para sua instância do Orchestrator na interface do CyberArk® PVWA (Password Vault Web Access). Consulte aqui para mais detalhes.
  3. No campo CyberArk Safe, insira o nome seguro definido no CyberArk® PVWA. Consulte aqui para mais detalhes.
  4. No campo Pasta do CyberArk, insira o local no qual o CyberArk® armazena suas credenciais.
  5. No campo URL do Central Credential Provider, insira o endereço do Central Credential Provider.
  6. No campo Nome do serviço web, insira o serviço web do Central Credential Provider. Se você deixar esse campo vazio, o nome padrão será usado: AIMWebService.
  7. O Certificado de Cliente precisa ser configurado quando o Aplicativo CyberArk usa o método de autenticação de certificado de cliente. A entrada esperada é um arquivo .pfx que armazena as chaves privada e pública do certificado. O certificado do cliente precisa ser instalado na máquina onde o CyberArk CCP AIMWebservice está implantado.
    Observação:

    O certificado do cliente é usado pela credencial do CyberArk fornecida para autenticar o aplicativo definido no repositório de credenciais do Orchestrator. Consulte a documentação oficial do CyberArk para obter detalhes sobre métodos de autenticação do aplicativo.

    O certificado do cliente é um arquivo PKCS12 de formato binário que armazena a(s) chave(s) pública(s) da cadeia de certificados e a chave privada.

    O CyberArk CCP usa chaves de certificado de 2048 bits.

    Se o certificado do cliente estiver codificado na base 64, execute o seguinte comando certutil para decodificá-lo no formato binário:

    certutil -decode client_certificate_encoded.pfx client_certificate.pfx

  8. No campo Senha do certificado do cliente, insira a senha do certificado do cliente.
  9. O Certificado raiz do servidor precisa ser configurado quando um certificado raiz da CA autoassinado é usado pelo CyberArk CCP AIMWebService para solicitações HTTP de entrada. Ele é usado na validação de via dupla https TLS da cadeia de certificados. A entrada esperada é um arquivo .crt ou .cer que armazena a chave pública do certificado raiz da CA.
  10. A opção Permitir autenticação de usuário do sistema operacional só é exibida quando o valor do parâmetro Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication é definido como true. A opção permite a autenticação usando as credenciais do usuário atualmente conectado à máquina do Orchestrator.
    Observação: certifique-se de que a infraestrutura apropriada seja estabelecida fazendo as alterações necessárias no IIS para o Orchestrator e o CyberArk.
  11. Selecione Criar. Seu novo armazenamento de credenciais está pronto para ser usado.


CyberArk Conjur Cloud (somente leitura)

Observação:

Um armazenamento do CyberArk Conjur Cloud configurado com o mesmo ID do aplicativo, cofre e nome da pasta em todos os tenants permite o acesso às credenciais entre tenants. Para manter a segurança e o isolamento no nível do tenant, certifique-se de usar configurações diferentes para cada tenant de armazenamento do CyberArk® Conjur Cloud.

  1. No campo Nome, digite um nome para o novo armazenamento de credenciais.
  2. No campo URL do CyberArk Conjur Cloud, adicione sua URL privada do CyberArk (por exemplo, https://[your-company-name].secretsmgr.cyberark.cloud).
  3. No campo Nome do logon, copie o nome completo da carga de trabalho do CyberArk Conjur Cloud e cole-o no Orchestrator no formato host/data/<Workload_name>.
  4. No campo Chave de API, adicione a chave de API gerada ao criar a carga de trabalho. Se alguma vez você esquecer a chave de API, sempre poderá gerar uma nova a partir do Conjur Cloud, mas certifique-se de alterá-la no Orchestrator.
  5. No campo Prefixo de ID de variável opcional, insira um prefixo para ser adicionado a um caminho de variável que você deseja acessar. Por exemplo, data/vault/<Safe_Name>.
    Observação: o prefixo é adicionado ao campo Nome externo do UiPath Robot ou ativo ao usar um armazenamento.
    Por exemplo, se usarmos o prefixo /data/vault/Safe_Name e o nome externo Machine, as variáveis a serem lidas são /data/vault/Safe_Name/Machine/username e /data/vault/Safe_Name/Machine/password.

Azure Key Vault

Os armazenamentos de credenciais do Key Vault usam a autenticação do tipo RBAC. Após você ter criado uma entidade de serviço, execute estas etapas:

  1. No campo Nome, digite um nome para o novo armazenamento de credenciais.

  2. No campo Uri do cofre de chaves, insira o endereço do seu Azure Key Vault. É https://<vault_name>.vault.azure.net/.
  3. No campo ID do Diretório, insira a ID do diretório encontrado no portal do Azure.

  4. No campo ID do cliente, insira o ID do aplicativo a partir de sua seção Registros de aplicativos do Azure AD onde o aplicativo do Orchestrator foi registrado.

  5. No campo Segredo do cliente, insira o segredo necessário para autenticar a conta do cliente inserida na etapa anterior.

  6. Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.



Importante: você só pode usar um Cofre de chaves do Azure hospedado pelo Azure Government.

HashiCorp Vault

  1. No campo Tipo, selecione HashiCorp Vault ou HashiCorp Vault (somente leitura) como seu repositório de credenciais.
  2. No campo Nome, especifique um nome para o novo repositório de credenciais HashiCorp Vault.
  3. No campo Uri do Vault, indique o URI para a API HTTP do HashiCorp Vault.
  4. In the Authentication Type field, indicate your preferred authentication method. Depending on the option you choose, you must configure additional fields:

    • AppRoleesse é o método de autenticação recomendado. Se escolher essa opção, certifique-se de configurar também os seguintes campos:

      • ID da função — indique o ID da função a ser usada com o método de autenticação do AppRole
      • ID do segredo — insira o ID do segredo a ser usado com o tipo de autenticação AppRole.
    • UsernamePassword – If you select this option, make sure to also configure the following fields:

      • Nome de usuário — insira o nome de usuário a ser usado com o UsernamePassword.
      • Senha — indique a senha a ser usada com o tipo de autenticação UsernamePassword.
    • Ldap – If you select this option, make sure to also configure the following fields:

      • Nome de usuário — especifique o nome de usuário a ser usado com o tipo de autenticação LDAP.
      • Senha — indique a senha a ser usada com o tipo de autenticação LDAP.
    • Token – If you select this option, make sure to also configure the following field:

      • Token — insira o token a ser usado com o tipo de autenticação do Token.
    • In the Secrets Engine field, select the secrets engine to use. Your options are:
      • KeyValueV1
      • KeyValueV2
      • Active Directory
      • OpenLDAP
      • LDAP
  5. In the Authentication Mount Path optional field, you can specify a custom mount path. You can mount the same authentication method with two different configurations, on two different paths.

  6. No campo Caminho de montagem do mecanismo de segredos, forneça o caminho do mecanismo de segredos. Se não for fornecido, os valores padrão são usados: kv para KeyValueV1, kv-v2 para KeyValueV2 e ad para o Active Directory.
  7. No campo Caminho de dados, insira o prefixo do caminho a ser usado para todos os segredos armazenados.
  8. No campo Namespace, especifique o namespace a ser usado. Disponível apenas para o HashiCorp Vault Enterprise.
  9. For the (Ldap) Use Dynamic Credentials option, select True (dynamic) or False (static) to switch between dynamic and static credentials. The default option is False.

  10. Selecione Criar. Seu novo armazenamento de credenciais está pronto para ser usado.



BeyondTrust

  1. No campo Tipo, selecione uma das seguintes opções:

    • BeyondTrust Password Safe - Managed Accounts
    • BeyondTrust Password Safe - Team Passwords
  2. No campo Nome, especifique o nome do repositório de credenciais do BeyondTrust.
  3. No campo URL do host do BeyondTrust, especifique o URL da sua instância do servidor de segredos.
  4. No campo Chave de registro de API, indique o valor da chave de registro da API do BeyondTrust.
  5. No campo Nome de usuário para Executar a API, especifique o nome de usuário no qual você deseja executar as chamadas.

BeyondTrust Password Safe - Managed Accounts

Se você escolheu BeyondTrust Password Safe - Contas gerenciadas, continue com as seguintes etapas:

  1. Opcionalmente, no campo Nome do sistema gerenciado padrão, indique o Nome do sistema gerenciado pelo BeyondTrust Password Safe. Esse campo serve como o Nome do sistema de reserva se o campo Nome externo do ativo do Orchestrator não contiver um prefixo Nome do sistema.
  2. No campo Delimitador de conta do sistema, insira o delimitador usado para dividir o nome do sistema do nome da conta no ativo do Orchestrator.
  3. No campo Tipo de conta gerenciado, selecione o tipo de conta a ser recuperado do BeyondTrust:
    • system - retorna contas locais
    • domainlinked - retorna contas de domínio vinculadas a sistemas
  4. Selecione Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
Observação: o Nome do sistema deve ser especificado no armazenamento de credenciais no formato SystemName ou no campo Nome externo do ativo do Orchestrator no formato SystemName/AccountName.

BeyondTrust Password Safe - Team Passwords

Se você escolheu BeyondTrust Password Safe - Team passwords, continue com as seguintes etapas:

  1. Opcionalmente, no campo Prefixo do caminho da pasta, indique um prefixo de caminho de pasta padrão. Isso será adicionado na frente de todos os valores de ativo do Orchestrator.

  2. No campo Delimitador de pasta/conta, insira o delimitador usado para dividir o Caminho do Título no ativo do Orchestrator.
  3. Selecione Criar. Seu novo armazenamento de credenciais está pronto para ser usado.



Thycotic Secret Server

  1. No campo Tipo, selecione Thycotic Secret Server.
  2. No campo Nome, digite um nome para o novo armazenamento de credenciais.
  3. No Campo URL do Secret Server, especifique a URL da Instância do seu Secret Server.
  4. No campo Nome da regra, forneça o nome da regra de integração dos clientes.
  5. Ou então, no campo Chave da regra, indique a chave da regra de integração. Embora essa etapa seja opcional, recomendamos especificar a Chave da regra para maior segurança.
  6. No campo Nome de usuário, especifique o nome do campo de dados dinâmico do campo Modelo secreto do qual o Orchestrator puxará o nome de usuário ao recuperar um ativo do Thycotic Secret Server.
  7. No campo Campo de senha, indique o nome do campo de dados dinâmico do campo Modelo secreto do qual o Orchestrator puxará a senha ao recuperar um ativo do Thycotic Secret Server.

    Observação: você pode encontrar o nome do campo de dados dinâmico do campo Modelo secreto em Admin > Modelos secretos > Modelo > Campos.


Quando um ativo ou Robô é criado no Orchestrator, ele está vinculado a um segredo preexistente usando o Nome externo. Nesse caso, ele é o ID secreto real do Thycotic Secret Server.

Você pode encontrar o ID secreto na rota.No exemplo a seguir, seu valor é 5.




AWS Secrets Manager

  1. No campo Tipo, selecionar AWS Secrets Manager ou AWS Secrets Manager (somente leitura).

    A escolha entre a versão somente leitura e a de leitura-escrita depende de suas permissões de política do IAM.

  2. No campo Nome, digite um nome para o novo armazenamento de credenciais.
  3. No campo Chave de acesso, adicione o ID da chave de acesso disponível na guia Credenciais de segurança de sua página do usuário do AWS IAM.
  4. No campo Chave secreta, adicione o ID da chave secreta que foi fornecida a você quando você criou a conta do usuário do AWS IAM.
  5. No campo Região, adicione a região na qual você gostaria que seus segredos fossem armazenados, como exibido em sua conta da AWS.


    Se você quiser usar o AWS Secrets Manager (somente leitura), primeiro precisa criar seu ativo ou credenciais do robô no AWS Secrets Manager.

Edição de um armazenamento de credenciais

Navegue até Armazenamentos (Tenant > Credenciais > Armazenamentos) e, no menu Mais ações do armazenamento desejado, selecione Editar. A caixa de diálogo Editar armazenamento de credenciais é exibida.

Observação: O armazenamento do banco de dados do Orchestrator não tem nenhuma propriedade editável.

Definição de um armazenamento de credenciais padrão

Ao usar dois ou mais armazenamentos de credenciais, você tem a capacidade de selecionar qual é o armazenamento padrão usado para robôs e ativos. O mesmo armazenamento pode ser usado como padrão para ambos ou você pode selecionar um armazenamento padrão diferente para cada um.

Para selecionar um armazenamento padrão, no menu Mais ações, selecione Definir como armazenamento padrão de robôs e/ou Definir como armazenamento padrão de ativos.

Observação:

Alterar o repositório padrão não muda uma configuração de robô ou ativo existente. Essa opção controla apenas o que aparece pré-selecionado no menu suspenso Repositório de credenciais ao criar novos robôs ou ativos. Robôs e ativos sempre obtém suas senhas do repositório que foi usado em sua criação. Para alterar o repositório de credenciais para um robô ou ativo específico, é necessário fazer essa mudança no nível do robô ou ativo.

Exclusão de um armazenamento de credenciais

Para excluir um armazenamento de credenciais, selecione Remover no menu Mais ações do armazenamento desejado.

Se o armazenamento selecionado estiver em uso, uma caixa de diálogo de aviso aparecerá listando o número de robôs e ativos que serão afetados. Clique em Excluir para confirmar a remoção ou em Cancelar para anular. Observe que você deve ter pelo menos um armazenamento de credenciais ativo todo o tempo.Se apenas um estiver presente, então não aparecerá a opção de excluir.

Observação: um armazenamento de credenciais designado como padrão não pode ser excluído. Primeiramente, você deve selecionar um armazenamento padrão diferente para o tipo de credencial.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.