- Introdução
- Melhores práticas
- Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Gerenciamento de robôs
- Conectar Robôs ao Orchestrator
- Armazenamento de credenciais do robô no CyberArk
- Armazenando senhas de Unattended Robots no Azure Key Vault (somente leitura)
- Armazenamento de credenciais de robôs não assistidos no HashiCorp Vault (somente leitura)
- Exclusão de sessões não assistidas desconectadas e não responsivas
- Autenticação do robô
- Autenticação de robôs com credenciais de cliente
- Autenticação do SmartCard
- Atribuição de funções
- Gerenciamento de funções
- Funções padrão
- Perguntas frequentes
- Habilitando usuários para executar automações pessoais
- Habilitando usuários para executar automações em infraestrutura Unattended por meio de Unattended Robots
- Configurando contas de Robôs para executar automações Unattended
- Auditar
- Serviço Catálogo de recursos
- Automation Suite Robots
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Integrações
- Robôs Clássicos
- Solução de problemas
Guia do usuário do Orchestrator
Integração com o HashiCorp Vault
O HashiCorp Vault é um plug-in que você pode usar como um repositório de credenciais com o Orchestrator.
Há dois plug-ins incluídos:
- HashiCorp Vault — um plug-in de leitura-gravação (os segredos são criados através do Orchestrator)
- HashiCorp Vault (somente leitura) — um plug-in somente leitura (você deve provisionar os segredos no cofre diretamente)
-
Você deve configurar um dos métodos de autenticação compatíveis:
- AppRole (recomendado)
- UsernamePassword
- LDAP
-
Token
Consulte como configurar a autenticação.
-
Você deve configurar um dos mecanismos de segredos compatíveis:
- KeyValueV1 — disponível tanto para o plug-in HashiCorp Vault quanto o HashiCorp Vault (somente leitura)
- KeyValueV2 — disponível tanto para o plug-in HashiCorp Vault quanto o HashiCorp Vault (somente leitura)
- ActiveDirectory — disponível apenas para o plug-in HashiCorp Vault (somente leitura)
-
O método de autenticação escolhido deve ter uma política que permita os seguintes recursos no caminho em que você planeja armazenar seus segredos:
- Para o plug-in HashiCorp Vault (somente leitura):
read
- Para o plug-in HashiCorp Vault:
create
,read
,update
,delete
e, opcionalmente,delete
no caminho de metadados, caso esteja usando o mecanismo de segredosKeyValueV2
- Para o plug-in HashiCorp Vault (somente leitura):
A seguir, está um exemplo de como configurar uma versão de desenvolvimento do HashiCorp Vault, em execução num contêiner docker, a ser usado como um repositório de credenciais com o Orchestrator. Os exemplos devem ser adaptados para o seu próprio ambiente. Consulte a documentação oficial do HashiCorp Vault para obter mais detalhes.
Para começar a configurar e ler segredos, primeiro é necessário configurar o método de autenticação seguindo as seguintes etapas:
Saída deste comando:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
Você também pode habilitar o appRole do Orchestrator executando o seguinte comando:
/# vault auth enable approle
/# vault write auth/approle/role/orchestrator policies=orchestrator-policy
/# vault read auth/approle/role/orchestrator/role-id
/# vault write -f auth/approle/role/orchestrator/secret-id
/# vault auth enable approle
/# vault write auth/approle/role/orchestrator policies=orchestrator-policy
/# vault read auth/approle/role/orchestrator/role-id
/# vault write -f auth/approle/role/orchestrator/secret-id
Agora, você terá um ID da função e ID do segredo para configurar no Orchestrator.
Para configurar o mecanismo de segredos do Active Directory, siga as seguintes etapas:
Ao usar o plug-in HashiCorp Vault (somente leitura), o administrador do cofre é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.
Para obter instruções sobre como provisionar os segredos, consulte o seguinte: