- Introdução
- Melhores práticas
- Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Gerenciamento de robôs
- Conectar Robôs ao Orchestrator
- Armazenamento de credenciais do robô no CyberArk
- Armazenamento de senhas do Unattended Robot no Azure Key Vault (somente leitura)
- Armazenamento de credenciais do Unattended Robot no HashiCorp Vault (somente leitura)
- Armazenando credenciais de Unattended Robots no AWS Secrets Manager (somente leitura)
- Exclusão de sessões não assistidas desconectadas e não responsivas
- Autenticação do robô
- Autenticação de robôs com credenciais de cliente
- Autenticação do SmartCard
- Auditar
- Gerenciar armazenamentos de credenciais
- Integração de repositórios de credenciais
- Configurações - Nível do tenant
- Serviço Catálogo de recursos
- Automation Suite Robots
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Integrações
- Robôs Clássicos
- Solução de problemas
Integração de repositórios de credenciais
O Provedor Central de Credenciais (CCP) é o método AAM sem agente usado para se integrar ao CyberArk permitindo que o UiPath® recupere com segurança credenciais de um cofre sem implantar um agente no servidor. Um certificado de cliente é necessário para garantir a recuperação segura da credencial.
Antes de poder começar a usar os armazenamentos de credenciais do CyberArk® CCP no Orchestrator, primeiramente você deve configurar o aplicativo correspondente e as configurações seguras na interface do PVWA (Password Vault Web Access) do CyberArk®.
- Uma rede que permite a interconectividade entre o serviço do Orchestrator e o servidor do CyberArk.
- O Central Credential Provider do CyberArk® deve ser instalado em uma máquina que permite conexões HTTP.
- CyberArk® Enterprise Password Vault
Para obter mais informações sobre a instalação e configuração de aplicativos do CyberArk®, visite sua página oficial.
No PVWA do CyberArk®, você deve executar as seguintes etapas:
Criação de um aplicativo do Orchestrator
Criação de um cofre do Orchestrator
Os seguros são necessários para ajudar você a gerenciar melhor suas contas. Além disso, você pode adicionar membros seguros para garantir a autorização adequada. O CyberArk® recomenda adicionar um provedor de credenciais (um usuário com direitos totais sobre as credenciais pode adicioná-las e gerenciá-las) e o aplicativo criado anteriormente como membros seguros. Este último permite que o Orchestrator encontre e recupere as senhas armazenadas no seguro.
O CyberArk® AAM não é suportado como uma solução pronta para uso, mas oferecemos uma alternativa: o Credentials Proxy do Orchestrator. Essa ferramenta permite conectar o Orchestrator e o armazenamento de credenciais de sua escolha por meio do proxy, em vez de diretamente, adicionando assim uma camada extra de segurança.
O Credentials Proxy do Orchestrator foi criado para cenários em Cloud , nos quais você pode precisar desenvolver e implantar seus próprios plug-ins de armazenamento de credenciais. Entretanto, ele também pode ser usado em configurações locais, como o Automation Suite . Isso é o que você precisa fazer:
-
Instale o proxy na máquina Windows onde seu cliente CyberArk® AAM está configurado. É possível encontrar detalhes na seção Credentials Proxy do Orchestrator.
-
Adicione o parâmetro
Features.CredentialStoreHost.Enabled
ao mapa de configuraçãoorchestrator-customconfig
e defina-o comotrue
. É possível encontrar detalhes na seção Preparação do Orchestrator do guia do Automation Suite. -
Configure o proxy seguindo as instruções descritas na seção Gerenciamento de proxies de credenciais.
O Azure Key Vault é um plug-in que pode ser usado como um repositório de credenciais com o Orchestrator.
Há dois plug-ins incluídos:
- Azure Key Vault — um plug-in de leitura/gravação (os segredos são criados por meio do Orchestrator)
- Azure Key Vault (somente leitura) — um plug-in somente leitura (é necessário provisionar os segredos no Vault diretamente)
- Os armazenamentos de credenciais do Azure Key Vault usam autenticação RBAC. O Azure Key Vault requer a função Key Vault Secrets Officer, e o Azure Key Vault (somente leitura) requer a função de usuário Key Vault Secrets.
- O plug-in do Cofre de Chaves é definido no seu arquivo
UiPath.Orchestrator.dll.config
do Orchestrator conforme descrito na seção Cofre de Senhas. - Crie o Cofre de Chaves a ser usado com o Orchestrator na sua conta do Azure. Veja a documentação oficial da Microsoft aqui para obter detalhes.
No painel Registros de aplicativos do Portal do Azure, siga estas etapas:
- Crie um novo registro do aplicativo.
- Copie o ID do aplicativo (cliente) para uso posterior.
- Acesse Gerenciar > Certificados e segredos > Novo segredo do cliente, e adicione um novo segredo do cliente. Anote a data de expiração escolhida e crie um novo segredo antes disso.
- Copie o Valor do segredo para uso posterior.
No Azure Key Vault, siga estas etapas:
- Acesse a página Visão geral do Key Vault, e copie o URI do Vault e o ID do diretório para uso posterior.
- Selecione Configurações > Políticas de acesso no menu à esquerda.
- Clique em Adicionar política de acesso.
As permissões de política de acesso necessárias são
Secret Get
eSecret Set
. - No menu suspenso Configurar a partir do modelo (opcional), selecione Gerenciamento de segredo.
- Clique em Nenhum selecionado na seção Aplicativo autorizado para habilitar o campo Selecionar principal.
- Insira o nome do registro do aplicativo, confirm se o ID do aplicativo está correto e selecione esse principal.
- Clique em Adicionar.
- Clique em Salvar.
Agora você está pronto para usar o URI do Vault, ID do diretório, ID do aplicativo (cliente) e o Valor do segredo para configurar um novo repositório de credenciais.
Usando Azure Key Vault (somente leitura)
Ao usar o plug-in do Azure Key Vault (somente leitura), o administrador do Vault é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.
Para obter instruções sobre como provisionar os segredos, consulte o seguinte:
O HashiCorp Vault é um plug-in que você pode usar como um repositório de credenciais com o Orchestrator.
Há dois plug-ins incluídos:
- HashiCorp Vault — um plug-in de leitura-gravação (os segredos são criados através do Orchestrator)
- HashiCorp Vault (somente leitura) — um plug-in somente leitura (você deve provisionar os segredos no cofre diretamente)
-
Uma rede que permite a interconectividade entre o serviço do Orchestrator e o servidor do HashiCorp Vault:
- A porta API usada pelo HashiCorp cofre para solicitações de API deve ser aberta por qualquer firewall e acessível pela Internet. A porta é
8200
em uma instalação típica. - Se o firewall do cliente não permitir De conectividade a partir de qualquer IP da Internet, os endereços IP do Orchestrator devem ser inseridos na lista de permissão.
- A porta API usada pelo HashiCorp cofre para solicitações de API deve ser aberta por qualquer firewall e acessível pela Internet. A porta é
-
Você deve configurar um dos métodos de autenticação compatíveis:
- AppRole (recomendado)
- UsernamePassword
- LDAP
-
Token
Consulte como configurar a autenticação.
-
Você deve configurar um dos mecanismos de segredos compatíveis:
- KeyValueV1 — disponível tanto para o plug-in HashiCorp Vault quanto o HashiCorp Vault (somente leitura)
- KeyValueV2 — disponível tanto para o plug-in HashiCorp Vault quanto o HashiCorp Vault (somente leitura)
- ActiveDirectory — disponível apenas para o plug-in HashiCorp Vault (somente leitura)
-
O método de autenticação escolhido deve ter uma política que permita os seguintes recursos no caminho em que você planeja armazenar seus segredos:
- Para o plug-in HashiCorp Vault (somente leitura):
read
- Para o plug-in HashiCorp Vault:
create
,read
,update
,delete
e, opcionalmente,delete
no caminho de metadados, caso esteja usando o mecanismo de segredosKeyValueV2
.
- Para o plug-in HashiCorp Vault (somente leitura):
A seguir, está um exemplo de como configurar uma versão de desenvolvimento do HashiCorp Vault, em execução num contêiner docker, a ser usado como um repositório de credenciais com o Orchestrator. Os exemplos devem ser adaptados para o seu próprio ambiente. Consulte a documentação oficial do HashiCorp Vault para obter mais detalhes.
Configuração da autenticação
Para começar a configurar e ler segredos, primeiro é necessário configurar o método de autenticação seguindo as seguintes etapas:
Saída deste comando:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
Você também pode habilitar o appRole do Orchestrator executando o seguinte comando:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
Agora, você terá um ID da função e ID do segredo para configurar no Orchestrator.
Configuração do mecanismo de segredos do Active Directory
Para configurar o mecanismo de segredos do Active Directory, siga as seguintes etapas:
Uso do HashiCorp Vault (somente leitura)
Ao usar o plug-in HashiCorp Vault (somente leitura), o administrador do cofre é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.
Para obter instruções sobre como provisionar os segredos, consulte o seguinte:
A integração do BeyondTrust é somente leitura e vem na forma de dois plug-ins para escolher: BeyondTrust Password Safe - Managed Accounts e BeyondTrust Password Safe - Team Passwords.
Embora o BeyondTrust Password Safe - Managed Accounts atenda às necessidades de organizações com contas locais e do Active Directory, o BeyondTrust Password Safe - Team Passwords é adequado para os cenários em que as credenciais de grupos pequenos devam ser armazenadas em um ambiente isolado.
A configuração dos dois plug-ins é praticamente idêntica, mas há algumas pequenas diferenças entre elas. Esta página aborda ambos os plug-ins.
- Uma instância do BeyondTrust Server Cloud ou uma instalação local similar
- Credenciais do Beyond Insight
BeyondTrust Password Safe - Managed Accounts
Se estiver usando o BeyondTrust Password Safe - Managed Accounts, continue com as seguintes etapas:
-
Adicione suas contas gerenciadas em Sistemas gerenciados.
-
Certifique-se de usar Habilitado para API para suas contas gerenciadas.
BeyondTrust Password Safe - Team Passwords
Se estiver usando o BeyondTrust Password Safe - Team Passwords, continue com as seguintes etapas:
-
Acesse a página Team Passwords.
-
Opcionalmente, crie uma nova Pasta.
- Selecione uma Pasta.
- Use a opção Criar nova credencial.
Certifique-se de ler a documentação do Delinea para obter informações atualizadas.
- Faça login em sua conta do Secret Server.
- Acesse Admin > Gerenciamento de usuário e clique em Criar usuário. Marque a caixa de seleção Conta do aplicativo para gerar uma conta do aplicativo.
- Navegue até Administrador > Ver todos > Ferramentas e integrações > Gerenciamento do cliente SDK e configure uma nova regra de integração em Integração do cliente. Anote o nome da regra de integração e a chave.
- Edite a regra de integração e atribua a Conta de aplicativo criada na Etapa 2.
- Certifique-se de que a Conta de aplicativo vinculada à regra de integração tenha permissões para os segredos acessados pelo Orchestrator. Você pode atribuir a Conta de aplicativo a um grupo e conceder a esse grupo acesso às pastas necessárias, ou conceder acesso explícito aos segredos.
O AWS Secrets Manager é uma ferramenta que pode ser usada como um armazenamento de credenciais no Orchestrator.
Ele possui dois plug-ins:
- AWS Secrets Manager
- AWS Secrets Manager (somente leitura)
O plug-in que você pode usar, ou seja, somente leitura ou escrita-leitura, é determinado pelas permissões de política do AWS Identity and Access Management (IAM).
Se você optar por usar o plug-in somente leitura, você deverá vincular um ativo para um conjunto de credenciais que já está disponível no AWS Secrets Manager.
Para usar esse serviço:
- Você precisa ter uma assinatura do AWS.
- Você precisa criar uma política do IAM específica para o Secrets Manager, que você atribuirá à função ou usuário do IAM da conta.
Para integrar o AWS Secrets Manager ao Orchestrator, você precisa da chave de acesso e da chave secreta que são geradas após você criar uma Conta do AWS IAM.
- O ID da chave de acesso pode ser encontrado na guia Credenciais de segurança de sua conta do AWS IAM.
-
O ID da chave secreta só é fornecido após você criar a conta. Portanto, é importante copiá-lo para uso futuro.
Se você extraviar ou se esquecer do seu ID da chave secreta, você poderá criar outra chave de acesso e, depois, substituir as informações necessárias no Orchestrator.
Além disso, você precisa verificar a região definida em sua conta da AWS, pois é ela que você inserirá no campo Região ao configurar o novo armazenamento de credenciais.
Ao usar o plug-in AWS Secrets Manager (somente leitura), o administrador é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.
Para obter instruções sobre como provisionar os segredos, consulte o seguinte:
- Integração com CyberArk® CCP
- Pré-requisitos
- Configuração da integração
- Alternativa ao AAM do CyberArk®
- Integração do Azure Key Vault
- Pré-requisitos
- Configuração
- Integração com o HashiCorp Vault
- Pré-requisitos
- Configuração da integração
- Integração com o BeyondTrust
- Pré-requisitos
- Configuração da integração
- Integração do Thycotic Secret Server
- Pré-requisitos
- Configuração da integração
- Integração do AWS Secrets Manager
- Sobre o AWS Secrets Manager
- Pré-requisitos
- Configuração
- Como usar o AWS Secrets Manager (somente leitura)