UiPath Documentation
orchestrator
2024.10
false
Importante :
A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.
UiPath logo, featuring letters U and I in white

Guia do usuário do Orchestrator

Última atualização 30 de mar de 2026

Integração de repositórios de credenciais

Integração CyberArk®

Antes que possa iniciar o uso do armazenamento de credenciais do CyberArk® no Orchestrator, você deve primeiro configurar o aplicativo correspondente e as configurações seguras na interface do CyberArk® PVWA (Password Vault Web Access).

Pré-requisitos

  • O CyberArk® Enterprise Password Vault deve ser instalado em uma máquina que possa se comunicar diretamente com aquela na qual o Orchestrator está instalado.
  • O CyberArk® AAM (Application Access Manager) deve estar instalado na mesma máquina que o Orchestrator. Para configurações de vários nós do Orchestrator, uma instância do AAM deve ser instalada em cada nó do Orchestrator.

Para obter mais informações sobre a instalação e configuração de aplicativos do CyberArk®, visite sua página oficial.

Criação de um aplicativo do Orchestrator

  1. No PVWA da CyberArk®, faça logon com um usuário com permissões para gerenciar aplicativos (requer Gerenciar autorização de usuários).

  2. Na guia Aplicativos, clique em Adicionar aplicativo. A página Adicionar aplicativo é exibida.

    Figura 1. Página Adicionar aplicativo

    CapturaDeTela da página Adicionar aplicativo

  3. Especifique as seguintes informações:

    • Campo Name - Um nome personalizado para o aplicativo, como Orchestrator.
    • Descrição – Uma descrição curta para ajudar a especificar o propósito do novo aplicativo.
    • Seção Proprietário de negóciosopcionalmente, adicione informações sobre o proprietário de negócios do aplicativo.
    • Local - o caminho do aplicativo dentro da hierarquia do Vault. Se um Local não for especificado, o aplicativo será adicionado no mesmo local do usuário que está criando esse aplicativo.

  4. Clique em Adicionar. O aplicativo é adicionado, e seus detalhes são exibidos na página Detalhes do aplicativo.

  5. Na guia Autenticação, marque a caixa de seleção Permitir restrições de autenticação estendidas.

    Supported authentication methods:

    • Máquinas permitidas
    • Usuário do SO
    • Path

  6. Configure o método de autenticação. Por exemplo, na guia Máquinas permitidas, clique em Adicionar. A janela Adicionar máquina permitida é exibida. Aqui, você deve adicionar informações sobre a(s) máquina(s) na(s) qual(is) o Orchestrator está instalado.

  7. No campo Endereço, especifique o endereço de uma máquina usando o formato IP/hostname/DNS.

  8. Clique em Adicionar. O endereço IP está listado na guia Máquinas permitidas. Essa informações permite que o Provedor de Credenciais se certifique de que apenas os aplicativos que são executados nas máquinas especificadas possam acessar suas senhas.

  9. Execute as etapas 6 a 8 quantas vezes forem necessárias para garantir que os servidores permitidos incluam todos os servidores da camada média ou todos os pontos de extremidade nos quais os provedores de credenciais do AAM foram instalados. Esse pode ser o caso, se você instalou o Orchestrator em vários nós.

Criação de um cofre do Orchestrator

Os seguros são necessários para ajudar você a gerenciar melhor suas contas. Além disso, você pode adicionar membros seguros para garantir a autorização adequada. O CyberArk® recomenda adicionar um provedor de credenciais (um usuário com direitos totais sobre as credenciais pode adicioná-las e gerenciá-las) e o aplicativo criado anteriormente como membros seguros. Este último permite que o Orchestrator encontre e recupere as senhas armazenadas no seguro.

  1. Na guia Políticas, a seção Controle de acesso (Cofre), clique em Adicionar cofre. A página Adicionar cofre será exibida.

    Figura 2. Página Adicionar cofre

    CapturaDeTela da página Adicionar cofre

  2. Preencha os campos Nome do cofre e Descrição.

  3. Clique em Salvar. A janela Detalhes do cofre é exibida.

    Figura 3. Página Detalhes do cofre

    CapturaDeTela da página Detalhes do cofre

  4. Na seção Membros, clique em Adicionar membros. A janela Adicionar membros do cofre é exibida.

  5. Procure o aplicativo criado anteriormente (etapas 2 a 5) para que você possa adicioná-lo.

  6. Adicione um provedor de credenciais e selecione as seguintes permissões para ele:

    • Exibir membros do cofre

    • Recuperar contas

    • Listar contas

    • Acesso ao cofre sem confirmaçãoApenas se você estiver usando um ambiente de controle duplo e um PIM-PSM v7.2 ou inferior.

      Se você instalar vários provedores de credenciais para essa integração, é recomendável criar um grupo para eles e adicionar o grupo ao Safe uma vez com a autorização acima.

  7. Clique em Adicionar. Uma mensagem de confirmação será exibida na janela Adicionar membro do cofre.

  8. Adicione o aplicativo criado anteriormente como um membro do cofre, com a permissão Recuperar contas.

  9. Clique em Adicionar. Uma mensagem de confirmação será exibida na janela Adicionar membro do cofre.

Sua integração está concluída e você pode começar a provisionar armazenamentos de credenciais do CyberArk® no Orchestrator. Para detalhes sobre como armazenar credenciais dos robôs, consulte aqui.

Integração com CyberArk® CCP

O Provedor Central de Credenciais (CCP) é o método AAM sem agente usado para se integrar ao CyberArk permitindo que o UiPath® recupere com segurança credenciais de um cofre sem implantar um agente no servidor. Um certificado de cliente é necessário para garantir a recuperação segura da credencial.

Antes de poder começar a usar os armazenamentos de credenciais do CyberArk® CCP no Orchestrator, primeiramente você deve configurar o aplicativo correspondente e as configurações seguras na interface do PVWA (Password Vault Web Access) do CyberArk®.

Pré-requisitos

  • Uma rede que permite a interconectividade entre o serviço do Orchestrator e o servidor do CyberArk.
  • O Central Credential Provider do CyberArk® deve ser instalado em uma máquina que permite conexões HTTP.
  • CyberArk® Enterprise Password Vault

Para obter mais informações sobre a instalação e configuração de aplicativos do CyberArk®, visite sua página oficial.

Criação de um aplicativo do Orchestrator

  1. No PVWA da CyberArk®, faça logon com um usuário com permissões para gerenciar aplicativos (requer Gerenciar autorização de usuários).

  2. Na guia Aplicativos, clique em Adicionar aplicativo. A janela Adicionar aplicativo será exibida.

    Figura 4. Janela Adicionar aplicativo

    CapturaDeTela da Janela Adicionar Aplicativo

  3. Na janela Adicionar aplicativo, especifique as seguintes informações:

    • Campo Name - Um nome personalizado para o aplicativo, como Orchestrator.
    • Descrição – Uma descrição curta para ajudar a especificar o propósito do novo aplicativo.
    • Local - o caminho do aplicativo dentro da hierarquia do Vault. Se um Local não for especificado, o aplicativo será adicionado no mesmo local do usuário que está criando esse aplicativo.

  4. Selecione Adicionar. O aplicativo é adicionado, e seus detalhes são exibidos na página Detalhes do aplicativo.

  5. Marque a caixa de seleção Permitir restrições de autenticação estendida.

    Método de autenticação compatível:

    • Máquinas permitidas
    • Usuário do SO
    • Certificados de cliente: o certificado de cliente usado para a autenticação CyberArk deve ter pelo menos 2048 bits

  6. Configure o método de autenticação. Por exemplo, na aba Autenticação, selecione Adicionar > Número de série do certificado e adicione o identificador exclusivo do certificado do cliente, usado para autenticar o aplicativo solicitante contra o CCP.

    Figura 5. Número de série do certificado

    CapturaDeTela do número de série do certificado

Criação de um cofre do Orchestrator

Os seguros são necessários para ajudar você a gerenciar melhor suas contas. Além disso, você pode adicionar membros seguros para garantir a autorização adequada. O CyberArk® recomenda adicionar um provedor de credenciais (um usuário com direitos totais sobre as credenciais pode adicioná-las e gerenciá-las) e o aplicativo criado anteriormente como membros seguros. Este último permite que o Orchestrator encontre e recupere as senhas armazenadas no seguro.

  1. Na guia Políticas, a seção Controle de acesso (seguros), clique em Adicionar seguro. A página Adicionar seguro será exibida.

    Figura 6. Página Adicionar cofre

    CapturaDeTela da página Adicionar cofre

  2. Preencha os campos Nome do cofre e Descrição.

  3. Clique em Salvar. A janela Detalhes do cofre é exibida.

    Figura 7. Janela de Detalhes do Cofre

    CapturaDeTela da Janela Detalhes do cofre

  4. Na seção Membros, clique em Adicionar membros. A janela Adicionar membros do cofre é exibida.

    Figura 8. Janela Membros

    CapturaDeTela da Janela Membros

  5. Procure o aplicativo criado anteriormente (etapas 2-6) e selecione as seguintes permissões para ele:

    • Exibir membros do cofre

    • Recuperar contas

    • Listar contas

    • Acesso seguro sem confirmação - Apenas se você estiver usando um ambiente de controle duplo e um PIM-PSM v7.2 ou inferior.

      Se você instalar vários provedores de credenciais para essa integração, é recomendável criar um grupo para eles e adicionar o grupo ao Safe uma vez com a autorização acima.

      Figura 9. Janela Adicionar membros do cofre

    CapturaDeTela da Janela Adicionar membros do cofre

  6. Clique em Adicionar.Sua integração está concluída e você pode começar a provisionar armazenamentos de credenciais do CyberArk® no Orchestrator. Para detalhes sobre como armazenar credenciais dos robôs, consulte aqui.

Alternativa ao AAM do CyberArk®

Importante:

Não recomendamos essa solução e aconselhamos que ela seja usada apenas como uma solução temporária ao migrar para o CyberArk® CCP.

O CyberArk® AAM não é suportado como uma solução pronta para uso, mas oferecemos uma alternativa: o Credentials Proxy do Orchestrator. Essa ferramenta permite conectar o Orchestrator e o armazenamento de credenciais de sua escolha por meio do proxy, em vez de diretamente, adicionando assim uma camada extra de segurança.

O Credentials Proxy do Orchestrator foi criado para cenários em Cloud , nos quais você pode precisar desenvolver e implantar seus próprios plug-ins de armazenamento de credenciais. Entretanto, ele também pode ser usado em configurações locais, como o Automation Suite . Isso é o que você precisa fazer:

  1. Instale o proxy na máquina Windows onde seu cliente CyberArk® AAM está configurado. Você pode encontrar detalhes na seção Credentials Proxy do Orchestrator .
  2. Adicione o parâmetro Features.CredentialStoreHost.Enabled ao mapa de configuração orchestrator-customconfig e defina-o como true. É possível encontrar detalhes na seção Preparação do Orchestrator do guia do Automation Suite.
  3. Configure o proxy seguindo as instruções descritas na seção Gerenciamento de proxies de credenciais.

CyberArk® Conjur (SomenteLeitura)

Você pode usar esse plugin para o CyberArk Secrets Manager - SaaS e o CyberArk Secrets Manager, Self-Hosted. Permite que as organizações protejam o acesso não humano aos segredos e eliminem o problema do segredo zero. Para usar o plug-in CyberArk® Conjur (SomenteLeitura) no Orchestrator, você deve definir as configurações dos cofres correspondentes na interface do CyberArk® Privilege.

Pré-requisitos

  • Uma rede que permite a interconectividade entre as máquinas do Orchestrator e o servidor CyberArk®.
  • Um usuário CyberArk® Privilege com acesso para criar usuários e cofres.
  • Um usuário CyberArk® Privilege com permissões para os cofres necessários e a capacidade de criar cargas de trabalho.

Para obter mais informações sobre a configuração de aplicativos CyberArk®, acesse a documentação oficial.

Criar um cofre do Orchestrator para armazenar credenciais

  1. No CyberArk® Privilege Cloud, faça login com uma conta com permissões para gerenciar aplicativos (requer autorização para Gerenciar usuários).
  2. Ao lado do Portal do Usuário, selecione Início.
  3. Em Privilege Cloud, selecione Políticas, depois Cofres e, em seguida, Criar cofre e adicione as seguintes informações:
    1. Na etapa Definir propriedades, adicione um nome personalizado para o cofre e selecione Avançar.
    2. Na etapa Selecionar membros, selecione Usuários de componentes do sistema para Origem, pesquise Conjur Sync, selecione o usuário Conjur Cloud, e selecione Avançar.
    3. Na etapa Definir permissões do cofre, selecione Completo para Predefinições de permissões e, em seguida, selecione Criar cofre.
  4. O novo cofre agora é visível em Políticas, após selecionar Cofres.

Criar uma conta e carga de trabalho para acessar as credenciais

Para acessar os cofres que você criou no CyberArk®, você também precisa de uma conta no Privilege Cloud e uma carga de trabalho no Secrets Manager.

  1. Em Privilege Cloud, selecione Contas, depois Adicionar conta e, em seguida:
    1. Na etapa Selecionar tipo de sistema, selecione Windows, depois Conta de domínio do Windows e, em seguida, selecione um cofre existente.
    2. Na etapa Definir propriedades da conta, preencha os campos Endereço, Nome de usuário e Senha.
    3. Habilite a opção Personalizar nome da conta, se você quiser adicionar um nome personalizado para a conta.
      Observação:

      Quando um ativo ou UiPath Robot é criado no Orchestrator, ele é vinculado a um segredo existente usando o Nome externo. Certifique-se de que, no Orchestrator, o nome da conta gerada ou personalizada seja definido no campo Nome externo , para ser mapeado com os detalhes da conta do CyberArk®. Por exemplo, o formato data/vault/OrchestratorQA/companyname-john.doe/username representa um nome de conta personalizado, enquanto o formato data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address representa um nome de conta gerado.

  2. Após criar um cofre e uma conta, acesse o serviço Secrets Manager, selecione Cargas de trabalho e depois Criar carga de trabalho.

    1. Na etapa Tipo de carga de trabalho, selecione Outras.

    2. Na etapa Detalhes da carga de trabalho, insira um nome personalizado para a carga de trabalho no campo Nome e selecionar dados para o campo Filial.

    3. Em Autenticação, selecione Jwt na lista suspensa Tipo de autenticador.

    4. Na etapa Acesso aos cofres, selecione o cofre criado anteriormente.

    5. Verifique o resumo de sua configuração e, em seguida, selecione Concluído.

    6. Você pode copiar a chave de API e, em seguida, selecione Concluído.

      Para obter instruções sobre como provisionar os segredos, consulte a seguinte página:

CyberArk® Conjur Cloud (somente leitura)

O CyberArk® Secrets Manager - SaaS é uma solução baseada em SaaS e independente de cloud para gerenciamento de segredos. Permite que as organizações protejam o acesso não humano aos segredos e eliminem o problema do segredo zero. Para usar o plug-in CyberArk® Conjur Cloud (SomenteLeitura) no Orchestrator, você deve definir as configurações do cofre correspondente na interface do CyberArk® Privilege Cloud.

Pré-requisitos

  • Uma rede que permite a interconectividade entre as máquinas do Orchestrator e o servidor CyberArk®.
  • Um usuário do CyberArk® Privilege Cloud com acesso para criar usuários e cofres.
  • Um usuário do CyberArk® Privilege Cloud com permissões para os cofres necessários e a capacidade de criar cargas de trabalho.

Para obter mais informações sobre a configuração do CyberArk® Secrets Manager - SaaS, acesse a documentação oficial.

Criar um cofre do Orchestrator para armazenar credenciais

  1. No CyberArk® Privilege Cloud, faça login com uma conta com permissões para gerenciar aplicativos (requer autorização para Gerenciar usuários).
  2. Ao lado do Portal do Usuário, selecione Início.
  3. Em Privilege Cloud, selecione Políticas, depois Cofres e, em seguida, Criar cofre e adicione as seguintes informações:
    1. Na etapa Definir propriedades, adicione um nome personalizado para o cofre e selecione Avançar.
    2. Na etapa Selecionar membros, selecione Usuários de componentes do sistema para Origem, pesquise Conjur Sync, selecione o usuário Conjur Cloud, e selecione Avançar.
    3. Na etapa Definir permissões do cofre, selecione Completo para Predefinições de permissões e, em seguida, selecione Criar cofre.
  4. O novo cofre agora é visível em Políticas, após selecionar Cofres.

Criar uma conta e carga de trabalho para acessar as credenciais

Para acessar os cofres que você criou no CyberArk®, você também precisa de uma conta no Privilege Cloud e uma carga de trabalho no Secrets Manager.

  1. Em Privilege Cloud, selecione Contas, depois Adicionar conta e, em seguida:
    1. Na etapa Selecionar tipo de sistema, selecione Windows, depois Conta de domínio do Windows e, em seguida, selecione um cofre existente.
    2. Na etapa Definir propriedades da conta, preencha os campos Endereço, Nome de usuário e Senha.
    3. Habilite a opção Personalizar nome da conta, se você quiser adicionar um nome personalizado para a conta.
      Observação:

      Quando um ativo ou UiPath Robot é criado no Orchestrator, ele é vinculado a um segredo existente usando o Nome externo. Certifique-se de que, no Orchestrator, o nome da conta gerada ou personalizada seja definido no campo Nome externo , para ser mapeado com os detalhes da conta do CyberArk®. Por exemplo, o formato data/vault/OrchestratorQA/companyname-john.doe/username representa um nome de conta personalizado, enquanto o formato data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address representa um nome de conta gerado.

  2. Após criar um cofre e uma conta, acesse o serviço Secrets Manager, selecione Cargas de trabalho, e em seguida, Criar carga de trabalho.

    1. Na etapa Tipo de carga de trabalho, selecione Outras.

    2. Na etapa Detalhes da carga de trabalho, insira um nome personalizado para a carga de trabalho no campo Nome e selecione dados para o campo Local.

    3. Em Autenticação, selecione Chave de API.

    4. Na etapa Acesso aos cofres, selecione o cofre criado anteriormente.

    5. Verifique o resumo de sua configuração e, em seguida, selecione Concluído.

    6. Você pode copiar a chave de API e, em seguida, selecione Concluído.

      Para obter instruções sobre como provisionar os segredos, consulte a seguinte página:

Integração do Azure Key Vault

O Azure Key Vault é um plug-in que pode ser usado como um repositório de credenciais com o Orchestrator.

Há dois plug-ins incluídos:

  • Azure Key Vault — um plug-in de leitura/gravação (os segredos são criados por meio do Orchestrator)
  • Azure Key Vault (somente leitura) — um plug-in somente leitura (é necessário provisionar os segredos no Vault diretamente)

Pré-requisitos

  • Os armazenamentos de credenciais do Azure Key Vault utilizam autenticação baseada em controle de acesso por função do Azure (RBAC). Atribua a função apropriada ao service principal associado ao registro do seu aplicativo, dependendo do tipo de armazenamento de credenciais:
    • Para armazenamentos de credenciais de leitura e gravação, atribua a função Key Vault Secrets Officer.
    • Para armazenamentos de credenciais somente leitura, atribua a função Key Vault Secrets User.
  • O plug-in do Cofre de Chaves é definido no seu UiPath.Orchestrator.dll.config arquivo do Orchestrator conforme descrito na seção Cofre de Senhas.
  • Crie o Cofre de Chaves a ser usado com o Orchestrator na sua conta do Azure. Veja a documentação oficial da Microsoft aqui para obter detalhes.

Configuração

No painel Registros de aplicativos do Portal do Azure, siga estas etapas:

  1. Crie um novo registro do aplicativo.
  2. Copie o ID do aplicativo (cliente) para uso posterior.
  3. Acesse Gerenciar > Certificados e segredos > Novo segredo do cliente, e adicione um novo segredo do cliente. Anote a data de expiração escolhida e crie um novo segredo antes disso.
  4. Copie o Valor do segredo para uso posterior.

No Azure Key Vault, siga estas etapas:

  1. Acesse a página Visão geral do Key Vault, e copie o URI do Vault e o ID do diretório para uso posterior.

  2. Selecione Controle de acesso (IAM) no menu à esquerda.

  3. Selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.

  4. Selecione uma das seguintes funções, dependendo do tipo de armazenamento de credenciais:

    • Diretor de segredos do Key Vault para armazenamentos de credenciais de leitura-gravação.
    • Usuário de segredos do Key Vault para armazenamentos de credenciais somente leitura.

  5. Atribua a função para o service principal associado ao registro do seu aplicativo.

  6. Selecione Revisar + atribuir para salvar a atribuição de função.

    As permissões de política de acesso necessárias são Secret Get e Secret Set.

  7. No menu suspenso Configurar a partir do modelo (opcional), selecione Gerenciamento de segredo.

  8. Clique em Nenhum selecionado na seção Aplicativo autorizado para habilitar o campo Selecionar principal.

  9. Insira o nome do registro do aplicativo, confirm se o ID do aplicativo está correto e selecione esse principal.

  10. Clique em Adicionar.

  11. Clique em Salvar.

Agora você está pronto para usar o URI do Vault, ID do diretório, ID do aplicativo (cliente) e o Valor do segredo para configurar um novo repositório de credenciais.

Usando Azure Key Vault (somente leitura)

Ao usar o plug-in do Azure Key Vault (somente leitura), o administrador do Vault é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.

Para obter instruções sobre como provisionar os segredos, consulte o seguinte:

Integração com o HashiCorp Vault

O HashiCorp Vault é um plug-in que você pode usar como um repositório de credenciais com o Orchestrator.

Há dois plug-ins incluídos:

  • HashiCorp Vault — um plug-in de leitura-gravação (os segredos são criados através do Orchestrator)
  • HashiCorp Vault (somente leitura) — um plug-in somente leitura (você deve provisionar os segredos no cofre diretamente)

Pré-requisitos

  • Uma rede que permite a interconectividade entre o serviço do Orchestrator e o servidor do HashiCorp Vault:
    • A porta API usada pelo HashiCorp cofre para solicitações de API deve ser aberta por qualquer firewall e acessível pela Internet. A porta é 8200 em uma instalação típica.
    • Se o firewall do cliente não permitir De conectividade a partir de qualquer IP da Internet, os endereços IP do Orchestrator devem ser inseridos na lista de permissão.
  • Você deve configurar um dos métodos de autenticação compatíveis:
  • Você deve configurar um dos mecanismos de segredos compatíveis:
    • KeyValueV1 — disponível para HashiCorp Vault e HashiCorp Vault (somente leitura)
    • KeyValueV2 - Disponível para HashiCorp Vault e HashiCorp Vault (somente leitura)
    • ActiveDirectory - Disponível apenas para HashiCorp Vault (somente leitura)
    • OpenLDAP - Disponível apenas para HashiCorp Vault (somente leitura)
  • O método de autenticação escolhido deve ter uma política que permita os seguintes recursos no caminho em que você planeja armazenar seus segredos:
    • Para o plug-in HashiCorp Vault (somente leitura): read
    • Para o plug-in HashiCorp Vault: create, read, update, delete e, opcionalmente, delete no caminho de metadados, caso esteja usando o mecanismo de segredos KeyValueV2.

Configuração da integração

A seguir, está um exemplo de como configurar uma versão de desenvolvimento do HashiCorp Vault, em execução num contêiner docker, a ser usado como um repositório de credenciais com o Orchestrator. Os exemplos devem ser adaptados para o seu próprio ambiente. Consulte a documentação oficial do HashiCorp Vault para obter mais detalhes.

Configuração da autenticação

Para começar a configurar e ler segredos, primeiro é necessário configurar o método de autenticação seguindo as seguintes etapas:

  1. Abra um shell dentro do contêiner:

    docker exec -it dev-vault sh
docker exec -it dev-vault sh

  2. Faça logon como raiz. Certifique-se de ter o token raiz exibido nos logs para definir uma variável de ambiente com ele, executando o seguinte comando:

    export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f

  3. Consulte o status do cofre executando o seguinte comando:

    vault status
vault status

  4. Adicione um segredo fictício para o Orchestrator no repositório KV:

    vault kv put secret/applications/orchestrator/testSecret Value=123456
vault kv put secret/applications/orchestrator/testSecret Value=123456

  5. Dê ao Orchestrator acesso ao caminho secret/applications/orchestrator recém-criado. Para isso, primeiro, é necessário criar uma política de leitura e gravação para esse caminho e todos os seus subcaminhos, executando o seguinte comando:

    cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
cat <<EOF | vault policy write orchestrator-policy -
path "secret/data/applications/orchestrator/*" {
  capabilities = ["create", "read", "update", "delete"]
}
path "secret/metadata/applications/orchestrator/*" {
  capabilities = ["delete"]
}
EOF
    Observação:

    Ao usar um mecanismo de segredos KeyValueV2, os segredos são gravados e extraídos no caminho &lt;mount&gt;/data/&lt;secret-path&gt;, em vez de &lt;mount&gt;/&lt;secret-path&gt; como no KeyValueV1. Ele não altera nenhum dos comandos de CLI (ou seja, você não especifica dados em seu caminho). No entanto, ele altera as políticas, pois os recursos são aplicados no caminho real. No exemplo anterior, o caminho é secret/data/applications/orchestrator/* pois estamos trabalhando com um mecanismo de segredos KeyValueV2. Se um KeyValueV1 estivesse sendo usado, o caminho seria secret/applications/orchestrator/*. A capacidade de excluir no caminho de metadados é necessária apenas se você quiser garantir que o Orchestrator não deixe para trás chaves de teste ao verificar a conectividade. Se essa capacidade não for concedida, uma chave será criada e deixada para trás ao criar o repositório de credenciais no Orchestrator.

  6. Habilite a autenticação usando o método de autenticação userpass e, em seguida, crie um usuário para o Orchestrator e atribua a política criada anteriormente:

    vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
vault auth enable userpass
vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
    Observação:

    O Orchestrator é compatível com vários modos de autenticação. Consulte a documentação do HashiCorp Vault para saber como configurá-los.

  7. Confira se você configurou tudo corretamente fazendo logon e tentando ler o segredo criado anteriormente:

    vault login -method=userpass username=orchestrator password=123456
vault login -method=userpass username=orchestrator password=123456

    Saída deste comando:

    WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator
WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key                    Value
---                    -----
token                  s.nwombWQH3gGPDhJumRzxKqgI
token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration         768h
token_renewable        true
token_policies         ["default" "orchestrator-policy"]
identity_policies      []
policies               ["default" "orchestrator-policy"]
token_meta_username    orchestrator

  8. Pegue esse token e use-o em vez do token raiz e, em seguida, tente ler o segredo do teste:

    export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret
export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
vault kv get secret/applications/orchestrator/testSecret

    Saída deste comando:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
Observação:

Você também pode habilitar o appRole do Orchestrator executando o seguinte comando:

/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id

Agora, você terá um ID da função e ID do segredo para configurar no Orchestrator.

Configuração do mecanismo de segredos do Active Directory

Para configurar o mecanismo de segredos do Active Directory, siga as seguintes etapas:

  1. Habilite o mecanismo de segredos Active Directory executando o seguinte comando: 
    vault secrets enable ad
vault secrets enable ad
  2. Configure as credenciais usadas pelo HashiCorp Vault para se comunicar com o Active Directory para gerar senhas: 
    vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'
vault write ad/config \
    binddn=$USERNAME \
    bindpass=$PASSWORD \
    url=ldaps://138.91.247.105 \
    userdn='dc=example,dc=com'
  3. Configure uma função que mapeie um nome no HashiCorp Vault para uma conta no Active Directory. Quando os aplicativos solicitarem senhas, as configurações de rotação de senha serão gerenciadas por essa função. 
    vault write ad/roles/orchestrator service_account_name="my-application@example.com"
vault write ad/roles/orchestrator service_account_name="my-application@example.com"
  4. Conceda a orchestrator acesso às suas credenciais em ad/creds/orchestrator usando um método de autenticação, como o AppRole. 
    cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF
cat <<EOF | vault policy write orchestrator-policy -
path "ad/creds/orchestrator" {
  capabilities = ["read"]
}
EOF
Usando o HashiCorp Vault (somente leitura)

Ao usar o plug-in HashiCorp Vault (somente leitura), o administrador do cofre é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.

Para obter instruções sobre como provisionar os segredos, consulte o seguinte:

Integração com o BeyondTrust

A integração do BeyondTrust é somente leitura e vem na forma de dois plug-ins para escolher: BeyondTrust Password Safe - Managed Accounts e BeyondTrust Password Safe - Team Passwords.

Embora o BeyondTrust Password Safe - Managed Accounts atenda às necessidades de organizações com contas locais e do Active Directory, o BeyondTrust Password Safe - Team Passwords é adequado para os cenários em que as credenciais de grupos pequenos devam ser armazenadas em um ambiente isolado.

A configuração dos dois plug-ins é praticamente idêntica, mas há algumas pequenas diferenças entre elas. Esta página aborda ambos os plug-ins.

Pré-requisitos

  • Uma instância do BeyondTrust Server Cloud ou uma instalação local similar
  • Credenciais do Beyond Insight

Configuração da integração

  1. Faça login na instância do BeyondTrust Server Cloud ou uma instalação local similar usando suas credenciais do Beyond Insights.

  2. Crie um Registro de API para o grupo ou contas de serviço da UiPath.

    Figura 10. Criando um registro de API

    CapturaDeTela da Página de configuração do BeyondTrust

  3. Crie uma Regra de autenticação para permitir conexões de API de entrada da UiPath.

    Figura 11. Criação de uma Regra de autenticação

    CapturaDeTela da Página de configuração do BeyondTrust

  4. Crie um novo grupo UiPath para as suas contas de serviço da UiPath e adicione as seguintes funcionalidades:

    • Conta protegida por senha

    • Função protegida por senha

      Figura 12. Criação de um novo Grupo

      CapturaDeTela da página Detalhes do grupo BeyondTrust

  5. Também é necessário atribuir Regras inteligentes:

    • Managed Accounts/Read-Only/Requester são suficientes para solicitações de usuário regulares

    • Para o acesso ISA, a função Assets/ISA é necessária.

      Figura 13. Atribuição de regras inteligentes

      CapturaDeTela da página Permissões do grupo BeyondTrust

  6. Adicione o Registro de API ao grupo.

    Figura 14. Adicionando o registro de API ao grupo

    CapturaDeTela da página Detalhes do grupo BeyondTrust

  7. Crie um Usuário e o atribua ao grupo da UiPath.

    Figura 15. Criação de um novo usuário

    CapturaDeTela da página grupos BeyondTrust

  8. As etapas a seguir variam conforme você esteja usando o BeyondTrust Password Safe - Managed Accounts ou BeyondTrust Password Safe - Team Passwords.

BeyondTrust Password Safe - Managed Accounts

Se estiver usando o BeyondTrust Password Safe - Managed Accounts, continue com as seguintes etapas:

  1. Adicione suas contas gerenciadas em Sistemas gerenciados.

    Figura 16. Página de Sistemas gerenciados

    CapturaDeTela da página Sistemas gerenciados pelo BeyondTrust

  2. Certifique-se de usar Habilitado para API para suas contas gerenciadas.

Figura 17. Página Contas gerenciadas

CapturaDeTela da página Contas gerenciadas pelo BeyondTrust

BeyondTrust Password Safe - Team Passwords

Se estiver usando o BeyondTrust Password Safe - Team Passwords, continue com as seguintes etapas:

  1. Acesse a página Team Passwords.

    Figura 18. Página Senhas da equipe

    CapturaDeTela da página Credenciais do BeyondTrust

  2. Opcionalmente, crie uma nova Pasta.

  3. Selecione uma Pasta.

  4. Use a opção Criar nova credencial.

Integração do Thycotic Secret Server

Observação:

A marca Thycotic foi renomeado como Delinea como resultado de uma fusão. Tenha isso em mente ao configurar integrações de armazenamento de credenciais.

Pré-requisitos

  • Uma instância em nuvem do Thycotic Secret Server ou instalação local.

Configuração da integração

Importante:

Certifique-se de ler a documentação do Delinea para obter informações atualizadas.

  1. Faça login em sua conta do Secret Server.
  2. Acesse Admin > Gerenciamento de usuário e clique em Criar usuário. Marque a caixa de seleção Conta do aplicativo para gerar uma conta do aplicativo.
  3. Navegue até Administrador > Ver todos > Ferramentas e integrações > Gerenciamento do cliente SDK e configure uma nova regra de integração em Integração do cliente. Anote o nome da regra de integração e a chave.
  4. Edite a regra de integração e atribua a Conta de aplicativo criada na Etapa 2.
  5. Certifique-se de que a Conta de aplicativo vinculada à regra de integração tenha permissões para os segredos acessados pelo Orchestrator. Você pode atribuir a Conta de aplicativo a um grupo e conceder a esse grupo acesso às pastas necessárias, ou conceder acesso explícito aos segredos.

Integração do AWS Secrets Manager

Sobre o AWS Secrets Manager

O AWS Secrets Manager é uma ferramenta que pode ser usada como um armazenamento de credenciais do Orchestrator.

Ele possui dois plug-ins:

  • AWS Secrets Manager
  • AWS Secrets Manager (somente leitura)

O plug-in que você pode usar, ou seja, somente leitura ou escrita-leitura, é determinado pelas permissões de política do AWS Identity and Access Management (IAM).

Se você optar por usar o plug-in somente leitura, você deverá vincular um ativo para um conjunto de credenciais que já está disponível no AWS Secrets Manager.

Pré-requisitos

Para usar esse serviço:

  • Você precisa ter uma assinatura do AWS.
  • Você precisa criar uma política do IAM específica para o Secrets Manager, que você atribuirá à função ou usuário do IAM da conta.

Configuração

Para integrar o AWS Secrets Manager ao Orchestrator, você precisa da chave de acesso e da chave secreta que são geradas após você criar uma Conta do AWS IAM.

  • O ID da chave de acesso pode ser encontrado na guia Credenciais de segurança de sua conta do AWS IAM.
  • O ID da chave secreta só é fornecido após você criar a conta. Portanto, é importante copiá-lo para uso futuro. Se você extraviar ou se esquecer do seu ID da chave secreta, você poderá criar outra chave de acesso e, depois, substituir as informações necessárias no Orchestrator.

In addition to that, you need to check the region you set in your AWS account, as this is what you will enter in the Region field while configuring the new credential store.

Como usar o AWS Secrets Manager (somente leitura)

Ao usar o plug-in AWS Secrets Manager (somente leitura), o administrador é responsável por provisionar corretamente os segredos que o Orchestrator usará. O formato no qual esses segredos devem ser provisionados difere entre os tipos de segredo (ativo versus senha de robô) e entre mecanismos de segredo.

Para obter instruções sobre como provisionar os segredos, consulte o seguinte:

Esta página foi útil?

Conectar

Precisa de ajuda? Suporte

Quer aprender? Academia UiPath

Tem perguntas? Fórum do UiPath

Fique por dentro das novidades