- Introdução
- Melhores práticas
- Tenant
- Sobre o contexto do tenant
- Pesquisa de recursos em um tenant
- Gerenciamento de robôs
- Conectar Robôs ao Orchestrator
- Exemplos de configuração
- Armazenamento de credenciais do robô no CyberArk
- Configuração de robôs assistidos
- Configuração de robôs não assistidos
- Armazenando senhas de Unattended Robots no Azure Key Vault (somente leitura)
- Armazenamento de credenciais de robôs não assistidos no HashiCorp Vault (somente leitura)
- Exclusão de sessões não assistidas desconectadas e não responsivas
- Autenticação do robô
- Autenticação de robôs com credenciais de cliente
- Autenticação do SmartCard
- Auditar
- Gerenciar armazenamentos de credenciais
- Integração CyberArk®
- Integração com CyberArk® CCP
- Integração do Azure Key Vault
- Integração com o HashiCorp Vault
- Integração com o BeyondTrust
- Serviço Catálogo de recursos
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Outras configurações
- Integrações
- Robôs Clássicos
- Administração do host
- Sobre o nível do host
- Gerenciamento dos administradores do sistema
- Gerenciando Tenants
- Configurando notificações de e-mail do sistema
- Logs de auditoria para o portal do host
- Modo de Manutenção
- Administração da organização
- Solução de problemas
Gerenciar armazenamentos de credenciais
Banco de Dados do Orchestrator
- Clique em Criar. Os arquivos do banco de dados do Orchestrator não têm propriedades configuráveis.
CyberArk
- No campo Nome, digite um nome para o novo armazenamento de credenciais.
- No campo ID do aplicativo, insira o ID do aplicativo para sua instância do Orchestrator na interface do CyberArk® PVWA (Password Vault Web Access). Consulte aqui para mais detalhes.
- No campo Seguro do CyberArk, insira o nome seguro conforme definido no CyberArk® PVWA. Consulte aqui para mais detalhes.
- No campo Pasta do CyberArk, insira o local no qual o CyberArk® armazena suas credenciais.
-
Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
CyberArk CCP
- No campo Nome, digite um nome para o novo armazenamento de credenciais.
- No campo ID do aplicativo, insira o ID do aplicativo para sua instância do Orchestrator na interface do CyberArk® PVWA (Password Vault Web Access). Consulte aqui para mais detalhes.
- No campo CyberArk Safe, insira o nome seguro definido no CyberArk® PVWA. Consulte aqui para mais detalhes.
- No campo Pasta do CyberArk, insira o local no qual o CyberArk® armazena suas credenciais.
- No campo URL do Central Credential Provider, insira o endereço do Central Credential Provider.
-
No campo Nome do serviço web, insira o serviço web do Central Credential Provider. Se você deixar esse campo vazio, o nome padrão será usado: AIMWebService.
10.O Certificado do Cliente deve ser configurado quando o Aplicativo CyberArk usa o método de autenticação do certificado do cliente. A entrada esperada é um arquivo.pfx
que armazena as chaves particular e pública do certificado. O certificado do cliente deve ser instalado na máquina onde o CyberArk CCP AIMWebservice está implantado.Observação:O certificado do cliente é usado pela credencial do CyberArk fornecida para autenticar o aplicativo definido no repositório de credenciais do Orchestrator. Consulte a documentação oficial do CyberArk para obter detalhes sobre métodos de autenticação do aplicativo.
O certificado do cliente é um arquivo PKCS12 de formato binário que armazena a(s) chave(s) pública(s) da cadeia de certificados e a chave privada.
Se o certificado do cliente estiver codificado na base 64, execute o seguinte comandocertutil
para decodificá-lo no formato binário:certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- No campo Senha do certificado do cliente, insira a senha do certificado do cliente.
- O Certificado raiz do servidor precisa ser configurado quando um certificado raiz da CA autoassinado é usado pelo CyberArk CCP AIMWebService para solicitações HTTP de entrada. Ele é usado na validação de via dupla https TLS da cadeia de certificados. A entrada esperada é um arquivo
.crt
que armazena a chave pública do certificado raiz da CA. -
Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
Azure Key Vault
Os armazenamentos de credenciais do Key Vault usam a autenticação do tipo RBAC. Após você ter criado uma entidade de serviço, execute estas etapas:
-
No campo Nome, digite um nome para o novo armazenamento de credenciais.
-
No campo Uri do cofre de chaves, insira o endereço do seu Azure Key Vault. É
https://<vault_name>.vault.azure.net/
. -
No campo ID do Diretório, insira a ID do diretório encontrado no portal do Azure.
-
No campo ID do cliente, insira o ID do aplicativo a partir de sua seção Registros de aplicativos do Azure AD onde o aplicativo do Orchestrator foi registrado.
-
No campo Segredo do cliente, insira o segredo necessário para autenticar a conta do cliente inserida na etapa anterior.
-
Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
HashiCorp Vault
- No campo Tipo, selecione HashiCorp Vault ou HashiCorp Vault (somente leitura) como seu repositório de credenciais.
- No campo Nome, especifique um nome para o novo repositório de credenciais HashiCorp Vault.
- No campo Uri do Vault, indique o URI para a API HTTP do HashiCorp Vault.
-
No campo Tipo de autenticação, indique seu método de autenticação preferido. Dependendo da opção que escolher, será preciso configurar campos adicionais:
-
AppRole — esse é o método de autenticação recomendado. Se escolher essa opção, certifique-se de configurar também os seguintes campos:
- ID da função — indique o ID da função a ser usada com o método de autenticação do AppRole
- ID do segredo — insira o ID do segredo a ser usado com o tipo de autenticação AppRole.
-
UsernamePassword — se escolher essa opção, certifique-se de configurar também os seguintes campos:
- Nome de usuário — insira o nome de usuário a ser usado com o UsernamePassword.
- Senha — indique a senha a ser usada com o tipo de autenticação UsernamePassword.
-
Ldap — se escolher essa opção, certifique-se de configurar também os seguintes campos:
- Nome de usuário — especifique o nome de usuário a ser usado com o tipo de autenticação LDAP.
- Senha — indique a senha a ser usada com o tipo de autenticação LDAP.
-
Token — se escolher essa opção, certifique-se de configurar também o seguinte campo:
- Token — insira o token a ser usado com o tipo de autenticação do Token.
-
- No campo Mecanismo de segredos, indique o mecanismo de segredos a ser usado. Suas opções são:
- KeyValueV1
- KeyValueV2
- Active Directory
- No campo Caminho de montagem do mecanismo de segredos, forneça o caminho do mecanismo de segredos. Se não for fornecido, os valores padrão são usados:
kv
para KeyValueV1,kv-v2
para KeyValueV2 ead
para o Active Directory. - No campo Caminho de dados, insira o prefixo do caminho a ser usado para todos os segredos armazenados.
- No campo Namespace, especifique o namespace a ser usado. Disponível apenas para o HashiCorp Vault Enterprise.
-
Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
BeyondTrust
-
No campo Tipo, selecione uma das seguintes opções:
- BeyondTrust Password Safe - Managed Accounts
- BeyondTrust Password Safe - Team Passwords
- No campo Nome, especifique o nome do repositório de credenciais do BeyondTrust.
- No campo URL do host do BeyondTrust, especifique o URL da sua instância do servidor de segredos.
- No campo Chave de registro de API, indique o valor da chave de registro da API do BeyondTrust.
-
No campo Nome de usuário para Executar a API, especifique o nome de usuário no qual você deseja executar as chamadas.
BeyondTrust Password Safe - Managed Accounts
Se você escolheu BeyondTrust Password Safe - Contas gerenciadas, continue com as seguintes etapas:
-
Opcionalmente, no campo Nome do sistema gerenciado padrão, indique um sistema gerenciado reserva a ser usado caso nenhum outro sistema gerenciado seja fornecido no ativo do Orchestrator.
- No campo Delimitador sistema-conta, especifique o delimitador usado para dividir o nome do sistema gerenciado do nome da conta gerenciada no ativo do Orchestrator.
- No campo Tipo de conta gerenciada, indique o tipo de conta gerenciada do BeyondTrust.
-
Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
BeyondTrust Password Safe - Team Passwords
Se você escolheu BeyondTrust Password Safe - Team passwords, continue com as seguintes etapas:
-
Opcionalmente, no campo Prefixo do caminho da pasta, indique um prefixo de caminho de pasta padrão. Isso será adicionado na frente de todos os valores de ativo do Orchestrator.
- No campo Delimitador de pasta/conta, insira o delimitador usado para dividir o Caminho do Título no ativo do Orchestrator.
-
Clique em Criar. Seu novo armazenamento de credenciais está pronto para ser usado.
Navegue até Armazenamentos de credenciais (Tenant > Armazenamentos de credenciais) e, no menu Mais ações do armazenamento desejado, selecione Editar .A caixa de diálogo Editar armazenamento de credenciais é exibida.
Ao usar dois ou mais armazenamentos de credenciais, você tem a capacidade de selecionar qual é o armazenamento padrão usado para robôs e ativos. O mesmo armazenamento pode ser usado como padrão para ambos ou você pode selecionar um armazenamento padrão diferente para cada um.
Para selecionar um armazenamento padrão, no menu Mais ações, selecione Definir como o armazenamento padrão de robôs e/ou Definir como armazenamento padrão de ativos.
Para excluir um armazenamento de credenciais, selecione Remover no menu Mais ações do armazenamento desejado.
Se o armazenamento selecionado estiver em uso, uma caixa de diálogo de aviso aparecerá listando o número de robôs e ativos que serão afetados. Clique em Excluir para confirmar a remoção ou em Cancelar para anular. Observe que você deve ter pelo menos um armazenamento de credenciais ativo todo o tempo.Se apenas um estiver presente, então não aparecerá a opção de excluir.