Orchestrator 用户指南
管理凭据存储
- 在“名称”字段中,键入新的凭据存储的名称。
- 在应用程序 ID字段中,从 CyberArk® PVWA (Password Vault Web Access) 界面输入 Orchestrator 实例的应用程序 ID。有关详细信息,请参阅此处。
- 在“CyberArk Safe”字段中,输入在 CyberArk® PVWA 中定义的保险箱名称。有关详细信息,请参阅此处。
- 在“CyberArk 文件夹”字段中,输入 CyberArk® 存储您的凭据的位置。
- 在“中央证书提供者 URL”字段中,输入“中央证书提供者”的地址。
- 在网页服务名称字段中,输入中央凭据提供程序网页服务的名称。如果将此字段留空,则使用默认名称:AIMWebService。
-
当 CyberArk 应用程序使用客户端 证书 身份验证方法时,需要配置客户端证书。 预期的输入是
.pfx
文件,该文件存储证书的私钥和公钥。 客户端证书需要安装在部署了 CyberArk CCP AIMWeb 服务的计算机上。备注:客户端证书由 CyberArk 提供的凭据用于对 Orchestrator 凭据存储中定义的应用程序进行身份验证。有关应用程序身份验证方法的详细信息,请参阅 CyberArk 官方文档。
客户端证书是 PKCS12 二进制格式的文件,用于存储证书链公钥和私钥。
如果客户端证书以 Base 64 编码,则运行以下certutil
命令以二进制格式对其进行解码:certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- 在“客户端证书密码”字段中,输入客户端证书的密码。
- 当 CyberArk CCP AIMWebService 使用自签名根 CA 证书处理传入的 HTTP 请求时,需要配置“服务器根证书”。这一证书用于 HTTPS TLS 握手证书链验证。预期的输入是存储根 CA 证书公钥的
.crt
或.cer
文件。 - 仅当参数
Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication
的值设置为true
时,才会显示“允许操作系统用户身份验证”选项。该选项允许使用当前登录到 Orchestrator 计算机的用户的凭据进行身份验证。注意:通过在 IIS 中为 Orchestrator 和 CyberArk 同时进行必要的更改,确保建立适当的基础架构。 - 选择“创建”。新的凭据存储已准备就绪,可以使用。
密钥保险库凭据存储使用 RBAC 类型身份验证。创建服务主体后,请执行以下步骤:
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“密钥保管库 Uri”字段中,输入 Azure Key Vault 的地址。这是
https://<vault_name>.vault.azure.net/
。 - 在“目录 ID”字段中,输入在 Azure 门户中找到的目录 ID。
- 在“客户端 ID”字段中,输入在其中注册了 Orchestrator 应用程序的 Azure AD“应用注册”部分中的应用程序 ID。
- 在“客户端密码”字段中,输入对上一步中输入的客户端帐户进行身份验证所需的密码。
- 选择“创建”。新的凭据存储已准备就绪,可以使用。
AZURE_AUTHORITY_HOST
设置为相应的值(即 "AZURE_AUTHORITY_HOST": "https://login.microsoftonline.us/"
)。有关值的更多详细信息,请查看 Microsoft Entra 身份验证和国家云 - Microsoft 身份平台文档。
- 在“类型”字段中,选择“HashiCorp 保险库”或“HashiCorp 保险库 (只读)”作为您的凭据存储。
- 在“名称”字段中,指定 HashiCorp 保险库凭据存储的名称。
- 在“保险库 Uri”字段中,指定 HashiCorp 保险库的 HTTP API 的 URI。
-
在“身份验证类型”字段中,指明您的首选身份验证方法。根据您选择的选项,您必须配置其他字段:
-
AppRole – 这是推荐的身份验证方法。如果选择此选项,请确保同时配置以下字段:
- 角色 ID – 指明要与 AppRole 身份验证方法一起使用的角色 ID
- 密码 ID – 输入要与 AppRole 身份验证类型一起使用的密码 ID。
-
用户名密码 – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 输入要与“用户名密码”一起使用的用户名。
- 密码 – 指明要与“用户名密码”身份验证类型一起使用的密码。
-
LDAP – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 指定要与 LDAP 身份验证类型一起使用的用户名。
- 密码 – 指明要与 LDAP 身份验证类型一起使用的密码。
-
令牌 – 如果选择此选项,请确保同时配置以下字段:
- 令牌 – 输入要与“令牌”身份验证类型一起使用的令牌。
- 在“密码引擎”字段中,选择要使用的密码引擎。您的选项包括:
- KeyValueV1
- KeyValueV2
- Active Directory
- OpenLDAP
-
-
在“身份验证装载路径”可选字段中,您可以指定自定义装载路径。您可以在两条不同的路径上装载具有两种不同配置的相同身份验证方法。
- 在“密码引擎装载路径”字段中,提供密码引擎的路径。如果未提供,则对于 KeyValueV1,默认为
kv
,对于 KeyValueV2,默认为kv-v2
,对于 ActiveDirectory,默认为ad
。 - 在“数据路径”字段中,输入要用于所有存储的密码的路径前缀。
- 在“命名空间”字段中,指定要使用的命名空间。仅在 HashiCorp 保险库企业版中可用。
-
对于“(LDAP) 使用动态凭据”选项,选择“True”(动态)或“False”(静态),在动态和静态凭据之间切换。默认选项为“False”。
-
选择“创建”。新的凭据存储已准备就绪,可以使用。
-
在“类型”字段中,选择以下选项之一:
- BeyondTrust 密码保险箱 - 托管帐户
- BeyondTrust 密码保险箱 - 团队密码
- 在“名称”字段中,指定 BeyondTrust 凭据存储的名称。
- 在“BeyondTrust 主机 URL”字段中,指定密码服务器实例的 URL。
- 在“API 注册密钥”字段中,指定来自 BeyondTrust 的 API 注册密钥的值。
-
在“API 用户名运行身份”字段中,指定要用于执行调用的 BeyondTrust 用户名。
如果您选择的是“BeyondTrust 密码保险箱 - 托管帐户”,请继续执行以下步骤:
- (可选)在“默认托管系统名称”字段中,指明由 BeyondTrust 密码保险箱管理的系统名称。如果 Orchestrator 资产的“外部名称”字段不包含“系统名称”前缀,则此字段将用作回退“系统名称”。
- 在“系统-帐户分隔符”字段中,指定用于在 Orchestrator 资产中拆分托管系统名称和托管帐户名称的分隔符。
- 在“管理帐户类型”字段中,选择要从 BeyondTrust 检索的帐户类型:
- “系统”- 返回本地帐户
- “链接的域”- 返回链接到系统的域帐户
- 选择“创建”。新的凭据存储已准备就绪,可以使用。
SystemName
格式指定,或在 Orchestrator 资产的“外部名称”字段中以 SystemName/AccountName
格式指定。
如果您选择的是“BeyondTrust 密码保险箱 - 团队密码”,请继续执行以下步骤:
-
(可选)在“文件夹路径前缀”字段中,指定默认的文件夹路径前缀。这将添加到所有 Orchestrator 资产值之前。
- 在“文件夹/帐户分隔符”字段中,输入用于在 Orchestrator 资产中从标题拆分路径的分隔符。
-
选择“创建”。新的凭据存储已准备就绪,可以使用。
- 在“类型”字段中,选择“Thycotic Secret Server”。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“Secret Server URL”字段中,指定密码服务器实例的 URL。
- 在“规则名称”字段中,提供客户端引导规则名称。
- (可选)在“规则键”字段中,指定引导规则中的键。虽然此为可选步骤,但我们建议指定规则键以提高安全性。
- 在“用户名字段”字段中,指定 Orchestrator 在从 Thycotic Secret Server 检索资产时将从中提取用户名的“密码模板”字段的缩略名名称。
-
在“密码字段”字段中,指定 Orchestrator 在从 Thycotic 密码服务器检索资产时将从中提取密码的“密码模板”字段的缩略名名称。
注意:您可以在“管理员”>“密码模板”>“模板”>“字段”中找到“密码模板”字段的缩略名名称。
在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与预先存在的密码相绑定。在本例中,此值为 Thycotic Secret Server 的真正密码 ID。
5
。
- 在“类型”字段中,选择“AWS Secrets Manager”或“AWS Secrets Manager(只读)”。
在只读版本和读写版本之间进行选择取决于您的 IAM 策略权限。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“访问密钥”字段中,添加 AWS IAM 用户页面的“安全凭证”选项卡上可用的访问密钥 ID。
- 在“密钥”字段中,添加在创建 AWS IAM 用户帐户时提供给您的密钥 ID。
- 选择“使用默认凭据”字段 - 可用选项如下:
- “True”– 如果选中,则使用为计算机分配的 IAM 角色,并且“访问密钥”和“密钥”字段应留空。
- “False”– 如果选中,则您需要自己输入“访问密钥”和“密钥”。
- 在“区域”字段中,添加要存储密码的区域,如 AWS 帐户中所示。
导航到“存储”(“租户”>“凭据”>“存储”),然后从所需存储的“更多操作”菜单中选择“编辑”。显示“编辑凭据存储”对话框。
使用两个或更多凭据存储时,您可以选择用于机器人和资产的默认存储。可以同时将同一个存储用作两者的默认存储,也可以为两者选择不同的默认存储。
要选择默认存储,请从“更多操作”菜单中选择“设置为机器人默认存储”和/或“设置为资产默认存储”。
更改默认存储不会更改现有机器人或资产配置,它仅控制在创建新机器人或资产时在“凭据存储”下拉列表中预选的内容。机器人和资产始终从创建它们时使用的存储获取密码。要更改特定机器人或资产的凭据存储,您必须在机器人或资产级别进行更改。