Orchestrator

Mais recente

falso

Introdução
- Introdução
- Robôs
  - Status do robô
  - Definições do Robô
- Atualização automática de componentes de cliente
- Períodos de vida útil
- Endereços IP de saída do Orchestrator
Melhores práticas
- Modelagem de organização no Orchestrator
- Melhores Práticas de Automação
- Otimização da infraestrutura não assistida usando modelos de máquina
- Automação Não Assistida
- Organização de recursos com tags
- Réplica SomenteLeitura do Orchestrator
- Exportando grades em segundo plano
Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Robôs
- Pastas
- Monitoramento
- Gerenciando recursos de acesso e automação
- Máquinas
- Pacotes
- Auditar
- Armazenamentos de Credenciais
  - Gerenciar armazenamentos de credenciais
  - Integração de repositórios de credenciais
  - O proxy de credenciais do orquestrador
  - Managing credential proxies
- Webhooks
  - Tipos de eventos
  - Gerenciamento de webhooks
- Licenciamento
  - Gerenciamento das suas licenças
- Alertas
- Configurações
Cloud Robots
- Orquestração de robôs elásticos
- Robôs do Automation Cloud™ — VM
- Robôs do Automation Cloud™ — Sem servidor
- Configurando VPN para Robôs de nuvem
- Minhas notificações
Contexto de Pastas
- Sobre o contexto de pastas
- Início
Automações
- Sobre automações
Processos
- Sobre processos
- Gerenciar processos
- Gerenciamento de requisitos de pacote
- Gravação
- Transmissão ao vivo e controle remoto
  - Transmissão ao vivo e controle remoto por meio de RealVNC
    - Cenários de erro
  - Transmissão ao vivo e controle remoto por meio de TightVNC
    - Cenários de erro
Trabalhos
- Sobre trabalhos
- Gerenciamento de trabalhos
- Estados do trabalho
- Trabalho com fluxos de trabalho de longa duração
- Executando automações remotas pessoais
- Política de Retenção de Dados de Processo
Apps
- Sobre aplicativos
- Publicação de um aplicativo em um tenant
- Gerenciamento de aplicativos
- Execução de um aplicativo implantado a partir de uma pasta
Gatilhos
- Sobre gatilhos
- Gerenciar gatilhos
- Gerenciamento de dias não úteis
- Uso das expressões de Cron
  - Ativando trabalhos no último dia do mês
Logs
- Sobre logs
- Gerenciamento de logs no Orchestrator
- Níveis de Registro de Logs
Monitoramento
- Sobre monitoramento
- Máquinas
- Processos
- Filas
- Filas SLA
- Monitoramento histórico
Filas
- Sobre filas e transações
- Upload em massa de itens da fila usando um arquivo CSV
- Gerenciamento de filas no Orchestrator
- Gerenciamento de filas no Studio
- Gerenciamento de transações
  - Editar transações
  - Descrições de campos para o arquivo .csv de transações
- Solicitações de Revisão
Ativos
- Sobre ativos
- Gerenciamento de ativos no Orchestrator
- Gerenciamento de ativos no Studio
- Armazenando ativos no Azure Key Vault (somente leitura)
- Armazenamento de ativos no HashiCorp Vault (somente leitura)
- Armazenando ativos no AWS Secrets Manager (somente leitura)
Armazenar Buckets
- Sobre buckets de armazenamento
  - Configuração CORS/CSP
- Gerenciar buckets de armazenamento
Test Suite - Orchestrator
- Automação de Teste
- Casos de Teste
  - Descrições do campo para a página Casos de Teste
- Conjuntos de Testes
  - Descrições do campo para a página Conjuntos de Teste
- Execuções de Teste
  - Descrições do campo para a página Execuções de Teste
- Agendamentos de Teste
  - Descrições do campo para a página Agendamentos de Teste
- Testar Filas de Dados
- Política de retenção de dados de teste
Serviço Catálogo de recursos
- Sobre o serviço Catálogo de recursos
Autenticação
- Sobre a autenticação
- Autenticação do SmartCard
- Configuração do servidor SMTP
Integrações
- Sobre argumentos de entrada e saída
  - Exemplo de uso de argumentos de entrada e saída
Solução de problemas
- Sobre a solução de problemas
- Erros frequentemente encontrados no Orchestrator

Guia do usuário do Orchestrator

Última atualização 30 de abr de 2024

Integração de repositórios de credenciais

Integração com CyberArk® CCP

O Central Credential Provider (CCP) é o método do AAM sem agente usado para integração com o CyberArk, permitindo que a UiPath recupere com segurança credenciais de um cofre sem implantar um agente no servidor. Um certificado de cliente é necessário para garantir a recuperação segura da credencial.

Antes de poder começar a usar os armazenamentos de credenciais do CyberArk® CCP no Orchestrator, primeiramente você deve configurar o aplicativo correspondente e as configurações seguras na interface do PVWA (Password Vault Web Access) do CyberArk®.

Pré-requisitos

Uma rede que permite a interconectividade entre o serviço do Orchestrator e o servidor do CyberArk.
O Central Credential Provider do CyberArk® deve ser instalado em uma máquina que permite conexões HTTP.
CyberArk® Enterprise Password Vault

Para obter mais informações sobre a instalação e configuração de aplicativos do CyberArk®, visite sua página oficial.

Configuração da integração

No PVWA do CyberArk®, você deve executar as seguintes etapas:

Criação de um aplicativo do Orchestrator

No PVWA da CyberArk®, faça logon com um usuário com permissões para gerenciar aplicativos (requer Gerenciar autorização de usuários).
Na guia Aplicativos, clique em Adicionar aplicativo. A janela Adicionar aplicativo será exibida.
Na janela Adicionar aplicativo, especifique as seguintes informações:
- Campo Name - Um nome personalizado para o aplicativo, como Orchestrator.
- Descrição – Uma descrição curta para ajudar a especificar o propósito do novo aplicativo.
- Local - o caminho do aplicativo dentro da hierarquia do Vault. Se um Local não for especificado, o aplicativo será adicionado no mesmo local do usuário que está criando esse aplicativo.
Clique em Adicionar. O aplicativo é adicionado, e seus detalhes são exibidos na página Detalhes do aplicativo.
Marque a caixa de seleção Permitir restrições de autenticação estendida.
Método de autenticação compatível:
- Client Certificates - the client certificate used for the CyberArk authentication should be at least 2048 bits
Configure o método de autenticação. Por exemplo, na guia Autenticação, clique em Adicionar > Número de série do certificado e adicione o identificador exclusivo do certificado do cliente, usado para autenticar o aplicativo solicitante em relação ao CCP.

Criação de um cofre do Orchestrator

Os seguros são necessários para ajudar você a gerenciar melhor suas contas. Além disso, você pode adicionar membros seguros para garantir a autorização adequada. O CyberArk® recomenda adicionar um provedor de credenciais (um usuário com direitos totais sobre as credenciais pode adicioná-las e gerenciá-las) e o aplicativo criado anteriormente como membros seguros. Este último permite que o Orchestrator encontre e recupere as senhas armazenadas no seguro.

Na guia Políticas, a seção Controle de acesso (seguros), clique em Adicionar seguro. A página Adicionar seguro será exibida.
Preencha os campos Nome do cofre e Descrição.
Clique em Salvar. A janela Detalhes do cofre é exibida.
Na seção Membros, clique em Adicionar membros. A janela Adicionar membros do cofre é exibida.
Procure o aplicativo criado anteriormente (etapas 2-6) e selecione as seguintes permissões para ele:
- Exibir membros do cofre
- Recuperar contas
- Listar contas
- Acesso seguro sem confirmação - Apenas se você estiver usando um ambiente de controle duplo e um PIM-PSM v7.2 ou inferior.
  
  Se você instalar vários provedores de credenciais para essa integração, é recomendável criar um grupo para eles e adicionar o grupo ao Safe uma vez com a autorização acima.
Clique em Adicionar. Sua integração está concluída e você pode começar a provisionar armazenamentos de credenciais do CyberArk® no Orchestrator. Para obter detalhes sobre como armazenar credenciais de Robots, consulte aqui.

Integração do Azure Key Vault

O Azure Key Vault é um plug-in que pode ser usado como um repositório de credenciais com o Orchestrator.

Há dois plug-ins incluídos:

Azure Key Vault — um plug-in de leitura/gravação (os segredos são criados por meio do Orchestrator)
Azure Key Vault (somente leitura) — um plug-in somente leitura (é necessário provisionar os segredos no Vault diretamente)

Pré-requisitos

Os armazenamentos de credenciais do Azure Key Vault usam autenticação RBAC. O Azure Key Vault requer a função Key Vault Secrets Officer, e o Azure Key Vault (somente leitura) requer a função de usuário Key Vault Secrets.

Configuração

No painel Registros de aplicativos do Portal do Azure, siga estas etapas:

Crie um novo registro do aplicativo.
Copie o ID do aplicativo (cliente) para uso posterior.
Acesse Gerenciar > Certificados e segredos > Novo segredo do cliente, e adicione um novo segredo do cliente. Anote a data de expiração escolhida e crie um novo segredo antes disso.
Copie o Valor do segredo para uso posterior.

No Azure Key Vault, siga estas etapas:

Acesse a página Visão geral do Key Vault, e copie o URI do Vault e o ID do diretório para uso posterior.
Selecione Configurações > Políticas de acesso no menu à esquerda.
Clique em Adicionar política de acesso.
As permissões de política de acesso necessárias são Secret Get e Secret Set.
No menu suspenso Configurar a partir do modelo (opcional), selecione Gerenciamento de segredo.
Clique em Nenhum selecionado na seção Aplicativo autorizado para habilitar o campo Selecionar principal.
Insira o nome do registro do aplicativo, confirm se o ID do aplicativo está correto e selecione esse principal.
Clique em Adicionar.
Clique em Salvar.

Agora você está pronto para usar o URI do Vault, ID do diretório, ID do aplicativo (cliente) e o Valor do segredo para configurar um novo repositório de credenciais.

Usando Azure Key Vault (somente leitura)

Ao usar o plug-in do Azure Key Vault (somente leitura), o administrador do Vault é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.

Para obter instruções sobre como provisionar os segredos, consulte o seguinte:

Integração com o HashiCorp Vault

O HashiCorp Vault é um plug-in que você pode usar como um repositório de credenciais com o Orchestrator.

Há dois plug-ins incluídos:

HashiCorp Vault — um plug-in de leitura-gravação (os segredos são criados através do Orchestrator)
HashiCorp Vault (somente leitura) — um plug-in somente leitura (você deve provisionar os segredos no cofre diretamente)

Pré-requisitos

Uma rede que permite a interconectividade entre o serviço do Orchestrator e o servidor do HashiCorp Vault:
- A porta API usada pelo HashiCorp cofre para solicitações de API deve ser aberta por qualquer firewall e acessível pela Internet. A porta é 8200 em uma instalação típica.
- Se o firewall do cliente não permitir De conectividade a partir de qualquer IP da Internet, os endereços IP do Orchestrator devem ser inseridos na lista de permissão. Você pode encontrar uma lista atualizada de IPs na página Endereços IP de saída do Orchestrator.
Você deve configurar um dos métodos de autenticação compatíveis:
- AppRole (recomendado)
- UsernamePassword
- LDAP
- Token
  Consulte como configurar a autenticação.
Você deve configurar um dos mecanismos de segredos compatíveis:
- KeyValueV1 - Disponível para HashiCorp Vault e HashiCorp Vault (somente leitura)
- KeyValueV2 - Disponível para HashiCorp Vault e HashiCorp Vault (somente leitura)
- ActiveDirectory - Disponível apenas para HashiCorp Vault (somente leitura)
- OpenLDAP - Disponível apenas para HashiCorp Vault (somente leitura)
O método de autenticação escolhido deve ter uma política que permita os seguintes recursos no caminho em que você planeja armazenar seus segredos:
- Para o plug-in HashiCorp Vault (somente leitura): read
- Para o plug-in HashiCorp Vault: create, read, update, delete e, opcionalmente, delete no caminho de metadados, caso esteja usando o mecanismo de segredos KeyValueV2.

Configuração da integração

A seguir, está um exemplo de como configurar uma versão de desenvolvimento do HashiCorp Vault, em execução num contêiner docker, a ser usado como um repositório de credenciais com o Orchestrator. Os exemplos devem ser adaptados para o seu próprio ambiente. Consulte a documentação oficial do HashiCorp Vault para obter mais detalhes.

Configuração da autenticação

Para começar a configurar e ler segredos, primeiro é necessário configurar o método de autenticação seguindo as seguintes etapas:

Abra um shell dentro do contêiner:
```
docker exec -it dev-vault shdocker exec -it dev-vault sh
```
Faça logon como raiz. Certifique-se de ter o token raiz exibido nos logs para definir uma variável de ambiente com ele, executando o seguinte comando:
```
export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
```
Consulte o status do cofre executando o seguinte comando:
```
vault statusvault status
```

Adicione um segredo fictício para o Orchestrator no repositório KV:

vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456

Dê ao Orchestrator acesso ao caminho secret/applications/orchestrator recém-criado. Para isso, primeiro, é necessário criar uma política de leitura e gravação para esse caminho e todos os seus subcaminhos, executando o seguinte comando:
```
cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
```
Observação:
Ao usar um mecanismo de segredos KeyValueV2, os segredos são gravados e extraídos no caminho <mount>/data/<secret-path>, em vez de <mount>/<secret-path> como no KeyValueV1. Ele não altera nenhum dos comandos de CLI (ou seja, você não especifica os dados no seu caminho).

No entanto, ele altera as políticas, pois os recursos são aplicados no caminho real. No exemplo anterior, o caminho é secret/data/applications/orchestrator/*, pois estamos trabalhando com um mecanismo de segredos KeyValueV2. Se um KeyValueV1 estivesse sendo usado, o caminho seria secret/applications/orchestrator/*.

A capacidade de excluir no caminho de metadados é necessária apenas se você quiser garantir que o Orchestrator não deixe para trás chaves de teste ao verificar a conectividade. Se essa capacidade não for concedida, uma chave será criada e deixada para trás ao criar o repositório de credenciais no Orchestrator.
Habilite a autenticação usando o método de autenticação userpass e, em seguida, crie um usuário para o Orchestrator e atribua a política criada anteriormente:
```
vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
```
Observação: o Orchestrator é compatível com vários modos de autenticação. Consulte a documentação do HashiCorp Vault para saber como configurá-los.

Confira se você configurou tudo corretamente fazendo logon e tentando ler o segredo criado anteriormente:

vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

Saída deste comando:

WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

Pegue esse token e use-o em vez do token raiz e, em seguida, tente ler o segredo do teste:

export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret

Saída deste comando:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

Observação:

Você também pode habilitar o appRole do Orchestrator executando o seguinte comando:

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

Agora, você terá um ID da função e ID do segredo para configurar no Orchestrator.

Configuração do mecanismo de segredos do Active Directory

Para configurar o mecanismo de segredos do Active Directory, siga as seguintes etapas:

Habilite o mecanismo de segredos Active Directory executando o seguinte comando:
```
vault secrets enable advault secrets enable ad
```

Configure as credenciais usadas pelo HashiCorp Vault para se comunicar com o Active Directory para gerar senhas:

vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'

Configure uma função que mapeie um nome no HashiCorp Vault para uma conta no Active Directory. Quando os aplicativos solicitarem senhas, as configurações de rotação de senha serão gerenciadas por essa função.
```
vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
```

Conceda a orchestrator acesso às suas credenciais em ad/creds/orchestrator usando um método de autenticação, como o AppRole.

cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOFcat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF

Uso do HashiCorp Vault (somente leitura)

Ao usar o plug-in HashiCorp Vault (somente leitura), o administrador do cofre é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.

Para obter instruções sobre como provisionar os segredos, consulte o seguinte:

Armazenamento de credenciais de robôs não assistidos no HashiCorp Vault (somente leitura)

Armazenamento de ativos no HashiCorp Vault (somente leitura)

Integração com o BeyondTrust

A integração do BeyondTrust é somente leitura e vem na forma de dois plug-ins para escolher: BeyondTrust Password Safe - Managed Accounts e BeyondTrust Password Safe - Team Passwords.

Embora o BeyondTrust Password Safe - Managed Accounts atenda às necessidades de organizações com contas locais e do Active Directory, o BeyondTrust Password Safe - Team Passwords é adequado para os cenários em que as credenciais de grupos pequenos devam ser armazenadas em um ambiente isolado.

A configuração dos dois plug-ins é praticamente idêntica, mas há algumas pequenas diferenças entre elas. Esta página aborda ambos os plug-ins.

Pré-requisitos

Uma instância do BeyondTrust Server Cloud ou uma instalação local similar
Credenciais do Beyond Insight

Configuração da integração

Faça login na instância do BeyondTrust Server Cloud ou uma instalação local similar usando suas credenciais do Beyond Insights.
Crie um Registro de API para o grupo ou contas de serviço da UiPath.
Crie uma Regra de autenticação para permitir conexões de API de entrada da UiPath.
Crie um novo grupo UiPath para as suas contas de serviço da UiPath e adicione as seguintes funcionalidades:
- Conta protegida por senha
- Função protegida por senha
Também é necessário atribuir Regras inteligentes:
- Managed Accounts/Read-Only/Requester são suficientes para solicitações de usuário regulares
- Para o acesso ISA, a função Assets/ISA é necessária.
Adicione o Registro de API ao grupo.
Crie um Usuário e o atribua ao grupo da UiPath.
As etapas a seguir variam conforme você esteja usando o BeyondTrust Password Safe - Managed Accounts ou BeyondTrust Password Safe - Team Passwords.

BeyondTrust Password Safe - Managed Accounts

Se estiver usando o BeyondTrust Password Safe - Managed Accounts, continue com as seguintes etapas:

Adicione suas contas gerenciadas em Sistemas gerenciados.
Certifique-se de usar Habilitado para API para suas contas gerenciadas.

BeyondTrust Password Safe - Team Passwords

Se estiver usando o BeyondTrust Password Safe - Team Passwords, continue com as seguintes etapas:

Acesse a página Team Passwords.
Opcionalmente, crie uma nova Pasta.
Selecione uma Pasta.
Use a opção Criar nova credencial.

Integração do Thycotic Secret Server

Observação: a marca Thycotic foi renomeada para Delinea como resultado de uma fusão. Tenha isso em mente ao configurar integrações de armazenamento de credenciais.

Pré-requisitos

Uma instância em nuvem do Thycotic Secret Server ou instalação local.

Configuração da integração

Importante:

Certifique-se de ler a documentação do Delinea para obter informações atualizadas.

Faça login em sua conta do Secret Server.
Acesse Admin > Gerenciamento de usuário e clique em Criar usuário. Marque a caixa de seleção Conta do aplicativo para gerar uma conta do aplicativo.
Navegue até Administrador > Ver todos > Ferramentas e integrações > Gerenciamento do cliente SDK e configure uma nova regra de integração em Integração do cliente. Anote o nome da regra de integração e a chave.
Edite a regra de integração e atribua a Conta de aplicativo criada na Etapa 2.
Certifique-se de que a Conta de aplicativo vinculada à regra de integração tenha permissões para os segredos acessados pelo Orchestrator. Você pode atribuir a Conta de aplicativo a um grupo e conceder a esse grupo acesso às pastas necessárias, ou conceder acesso explícito aos segredos.

Integração do AWS Secrets Manager

Sobre o AWS Secrets Manager

O AWS Secrets Manager é uma ferramenta que pode ser usada como um armazenamento de credenciais no Orchestrator.

Ele possui dois plug-ins:

AWS Secrets Manager
AWS Secrets Manager (somente leitura)

O plug-in que você pode usar, ou seja, somente leitura ou escrita-leitura, é determinado pelas permissões de política do AWS Identity and Access Management (IAM).

Se você optar por usar o plug-in somente leitura, você deverá vincular um ativo para um conjunto de credenciais que já está disponível no AWS Secrets Manager.

Pré-requisitos

Para usar esse serviço:

Você precisa ter uma assinatura do AWS.
Você precisa criar uma política do IAM específica para o Secrets Manager, que você atribuirá à função ou usuário do IAM da conta.

Configuração

Para integrar o AWS Secrets Manager ao Orchestrator, você precisa da chave de acesso e da chave secreta que são geradas após você criar uma Conta do AWS IAM.

O ID da chave de acesso pode ser encontrado na guia Credenciais de segurança de sua conta do AWS IAM.
O ID da chave secreta só é fornecido após você criar a conta. Portanto, é importante copiá-lo para uso futuro.

Se você extraviar ou se esquecer do seu ID da chave secreta, você poderá criar outra chave de acesso e, depois, substituir as informações necessárias no Orchestrator.

Além disso, você precisa verificar a região definida em sua conta da AWS, pois é ela que você inserirá no campo Região ao configurar o novo armazenamento de credenciais.

Como usar o AWS Secrets Manager (somente leitura)

Ao usar o plug-in AWS Secrets Manager (somente leitura), o administrador é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.

Para obter instruções sobre como provisionar os segredos, consulte o seguinte: