- 入门指南
- 最佳实践
- 租户
- 注册表
- Cloud Robots
- Automation Suite 机器人
- 文件夹上下文
- 流程
- 作业
- Apps
- 触发器
- 日志
- 监控
- 索引
- 队列
- 资产
- 连接
- 业务规则
- 存储桶
- MCP 服务器
- Orchestrator 测试
- 资源目录服务
- 集成
- 故障排除
Orchestrator 用户指南
CyberArk® CCP integration
中央凭据提供程序 (CCP) 是用于与 CyberArk 集成的无代理方法,允许 UiPath™ 从保险库安全地检索凭据,而无需在服务器上部署代理。客户证书对于确保安全检索凭据是必需的。
在开始在 Orchestrator 中使用 CyberArk® CCP 凭据存储之前,必须首先在 CyberArk® PVWA (Password Vault Web Access) 界面中设置相应的应用程序和安全设置。
先决条件
- 允许 Orchestrator 服务与 CyberArk 服务器之间互连的网络。
- CyberArk® 中央凭据提供程序必须安装在允许 HTTP 连接的计算机上。
- CyberArk® Enterprise Password Vault
有关安装和配置 CyberArk® 应用程序的更多信息,请访问其官方页面。
创建 Orchestrator 应用程序
- 在 CyberArk® 的 PVWA 中,以具有管理应用程序权限的用户身份登录(需要“管理用户”授权)。
- 在“应用程序”选项卡中,单击“添加应用程序”。显示“添加应用程序”窗口。
图 1. “添加应用程序”窗口
- 在“添加应用程序”窗口上,指定以下信息:
- “名称”字段 - 应用程序的自定义名称,例如 Orchestrator。
- “说明”- 简短说明,可帮助您指定新应用程序的用途。
- 位置 - 保险库层次结构中应用程序的路径。如果未指定位置,则将应用程序添加到与创建此应用程序的用户相同的位置。
- 选择“添加”。 已添加应用程序,其详细信息将显示在“应用程序详细信息”页面上。
- 选择“允许扩展身份验证限制”复选框。
支持的身份验证方法:
- 客户端证书 - 用于 CyberArk 身份验证的客户端证书应至少为 2048 位
- 配置身份验证方法。例如,在“身份验证”选项卡中,选择“添加”>“证书序列号”,然后添加用于对照 CCP 对请求应用程序进行身份验证的客户端证书唯一标识符。
图 2. 证书序列号
创建 Orchestrator 保险箱
需要保险箱来帮助您更好地管理帐户。另外,您可以添加安全成员以确保适当的授权。CyberArk® 建议添加凭据提供者(对凭据具有完全权限的用户可以添加和管理凭据提供者)和以前创建的应用程序作为安全成员。后者使 Orchestrator 可以查找和检索存储在保险箱中的密码。
- 在“策略”选项卡的“访问控制(保险箱)”部分下,单击“添加保险箱”。系统显示“添加保险箱”页面。
图 3. “添加安全”页面
- 填写“保险箱名称”字段和“说明”字段字段。
- 单击“保存”。系统将显示“保险箱详细信息”窗口。
图 4. “安全详细信息”窗口
- 在“成员”部分中,单击“添加成员”。系统将显示“添加保险箱成员”窗口。
图 5. “成员”窗口
- 搜索先前创建的应用程序(步骤 2-6),并为其选择以下权限:
- 查看保险箱成员
- 检索账户
- 列出帐户
- 无需确认即可访问保险箱 - 仅在使用双重控制环境和 v7.2 或更低版本的 PIM-PSM 时。
如果您为此集成安装了多个凭据提供程序,建议为它们创建一个组,将该组添加到保险箱,并为其授予上述权限。
图 6. “添加安全成员”窗口
- 单击“添加” 。您的集成已经完成,您可以开始在 Orchestrator 中配置 CyberArk® 凭据存储。有关存储机器人凭据的详细信息,请参阅此处。
CyberArk® Conjur(只读)
与CyberArk Conjur Cloud(只读)相比,此凭据存储支持额外的身份验证方法JWT 。您也可以将此插件用于CyberArk Secrets Manager SaaS和CyberArk Secrets Manager 自托管。这使您可以与身份提供程序集成,并使用基于令牌的身份验证来提高安全性和灵活性。
您可以将此插件用于 CyberArk Secrets Manager - SaaS 和 CyberArk Secrets Manager, Self-Hosted。 它允许组织保护对密码的非人类访问,并消除零密码问题。要在 Orchestrator 中使用 CyberArk® Conjur(只读)插件,必须在 CyberArk® Privilege 界面中进行相应的安全设置。
先决条件
- 允许在 Orchestrator 计算机和 CyberArk® 服务器之间互连的网络。
- 有权创建用户和保险箱的 CyberArk® Privilege 用户。
- 拥有所需保险箱的操作权限并能创建工作负载的 CyberArk® Privilege 用户。
有关配置 CyberArk® 应用程序的更多信息,请访问其官方文档。
创建用于存储凭据的 Orchestrator 保险箱
- 在 CyberArk® Privilege Cloud 中,以具有管理应用程序权限的用户身份登录(需要“管理用户”授权)。
- 选择“用户门户”旁边的“主页”。
- 在“特权云”下,依次选择“策略”、“保险箱”和“创建保险箱”,然后添加以下信息:
- 在“定义属性”步骤中,为保险箱添加自定义名称,然后选择“下一步”。
- 在“选择成员”步骤中,将“来源”设为“系统组件用户”,搜索 “Conjur 同步”,选择 “Conjur Cloud” 用户,然后选择“下一步”。
- 在“设置保险箱权限”步骤中,为“权限预设”选择“完全”,然后选择“创建保险箱”。
- 选择“保险箱”后,新的保险箱现在显示在“策略”下。
创建帐户和工作负载以访问凭据
要访问您在 CyberArk® 中创建的保险箱,您还需要 Privilege Cloud 中的帐户和 Secrets Manager 中的工作负载。
- 在“权限云”下,选择“帐户”,然后选择“添加帐户”:
- 在“选择系统类型”步骤中,选择“Windows”,再选择“Windows 域帐户”,然后选择一个现有保险箱。
- 在“定义帐户属性”步骤中,填写“地址”、“用户名”和“密码”字段。
- 如果要为帐户添加自定义名称,请启用“自定义帐户名称”选项。
备注:
在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与现有密码相关联。确保在 Orchestrator 中的“外部名称”字段中设置了生成的帐户名称或自定义的帐户名称,以与 CyberArk™ 帐户详细信息进行映射。例如,
data/vault/OrchestratorQA/companyname-john.doe/username格式表示自定义的帐户名称,而data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address格式表示生成的帐户名称。
- 创建保险箱和帐户后,请转到“密码管理器”服务,选择“工作负载”,然后选择“创建工作负载”。
- 在“工作负载类型”步骤中,选择“其他”。
- 在“工作负载详细信息”步骤中,在“名称”字段中输入工作负载的自定义名称,然后在“分支”字段中选择数据。
- 在“身份验证”下,从“身份验证器类型”下拉列表中选择 "Jwt"。
- 在“访问保险箱”步骤中,选择先前创建的保险箱。
- 查看配置摘要,然后选择“完成”。
- 您可以复制 API 密钥,然后选择“完成”。
有关如何配置密码的说明,请查看以下页面:
CyberArk™ Conjur Cloud(只读)
CyberArk™ Secrets Manager - SaaS 是一款基于 SaaS、与云无关的密码管理解决方案。它允许组织保护对密码的非人类访问,并消除零密码问题。要在 Orchestrator 中使用 CyberArk™ Conjur Cloud(只读)插件,必须在 CyberArk™ Privilege Cloud 界面中进行相应的安全设置。
先决条件
- 允许在 Orchestrator 计算机和 CyberArk® 服务器之间互连的网络。
- 有权创建用户和创建保险箱的 CyberArk™ Privilege Cloud 用户。
- CyberArk™ Privillee Cloud 用户,拥有所需保险箱的权限,并能够创建工作负载。
如需进一步了解如何配置 CyberArk® Secrets Manager - SaaS 应用程序,请访问其官方文档。
创建用于存储凭据的 Orchestrator 保险箱
- 在 CyberArk® Privilege Cloud 中,以具有管理应用程序权限的用户身份登录(需要“管理用户”授权)。
- 选择“用户门户”旁边的“主页”。
- 在“特权云”下,依次选择“策略”、“保险箱”和“创建保险箱”,然后添加以下信息:
- 在“定义属性”步骤中,为保险箱添加自定义名称,然后选择“下一步”。
- 在“选择成员”步骤中,将“来源”设为“系统组件用户”,搜索 “Conjur 同步”,选择 “Conjur Cloud” 用户,然后选择“下一步”。
- 在“设置保险箱权限”步骤中,为“权限预设”选择“完全”,然后选择“创建保险箱”。
- 选择“保险箱”后,新的保险箱现在显示在“策略”下。
创建帐户和工作负载以访问凭据
要访问您在 CyberArk® 中创建的保险箱,您还需要 Privilege Cloud 中的帐户和 Secrets Manager 中的工作负载。
- 在“权限云”下,选择“帐户”,然后选择“添加帐户”:
- 在“选择系统类型”步骤中,选择“Windows”,再选择“Windows 域帐户”,然后选择一个现有保险箱。
- 在“定义帐户属性”步骤中,填写“地址”、“用户名”和“密码”字段。
- 如果要为帐户添加自定义名称,请启用“自定义帐户名称”选项。
备注:
在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与现有密码相关联。确保在 Orchestrator 中的“外部名称”字段中设置了生成的帐户名称或自定义的帐户名称,以与 CyberArk™ 帐户详细信息进行映射。例如,
data/vault/OrchestratorQA/companyname-john.doe/username格式表示自定义的帐户名称,而data/vault/OrchestratorQA/Operating System-WinDomain-adress-test (1)/address格式表示生成的帐户名称。
- 创建保险箱和帐户后,请转到“密码管理器”服务,选择“工作负载”,然后选择“创建工作负载”。
- 在“工作负载类型”步骤中,选择“其他”。
- 在“工作负载详细信息”步骤中,在“名称”字段中为工作负载输入自定义名称,然后为“位置”字段选择数据。
- 在“身份验证”下,选择“API 密钥”。
- 在“访问保险箱”步骤中,选择先前创建的保险箱。
- 查看配置摘要,然后选择“完成”。
- 您可以复制 API 密钥,然后选择“完成”。
有关如何配置密码的说明,请查看以下页面:
Azure Key Vault integration
Azure 密钥保险库是一个插件,可用作 Orchestrator 的凭据存储。
包含两个插件:
- Azure 密钥保险库 – 读写插件(通过 Orchestrator 创建密码)
- Azure 密钥保险库(只读) – 只读插件(必须直接在保险库中配置密码)
先决条件
- Azure 密钥保险库凭据存储使用 Azure 基于角色的访问控制 (RBAC) 身份验证。根据凭据存储的类型,为与您的应用程序注册关联的服务主体分配适当的角色:
- 对于读写凭据存储,请分配密钥保险库密钥专员角色。
- 对于只读凭据存储,请分配密钥保险库密钥用户角色。
- 在 Automation Cloud 公共部门和 Test Cloud 公共部门中,只能使用由Azure Government托管的 Azure 密钥保险库 。
配置
在 Azure 门户的“应用程序注册”窗格中,按照以下步骤操作:
- 创建一个新的应用注册。
- 复制应用程序(客户端)ID,以供以后使用。
- 转到“管理” > “证书和密码” > “新建客户端密码”,然后添加新的客户端密码。记下您选择的过期时间,并在此之前创建一个新密码。
- 复制密码的值以备后用。
在 Azure 密钥保管库中,请按照以下步骤操作:
- 访问密钥保险库的“概述”页面,并复制保险库 URI 和目录 ID 以供以后使用。
- 从左侧菜单中选择“访问控制 (IAM)”。
- 选择“添加”,然后选择“添加角色分配”。
- 根据您的凭据存储类型,选择以下角色之一:
- 若为读写凭据存储,请选择密钥保险库密钥专员。
- 若为只读凭据存储,请选择密钥保险库密钥用户。
- 将角色分配给与您的应用程序注册关联的服务主体。
- 选择“审核 + 分配”,以保存角色分配。
使用 Azure 密钥保管库(只读)
使用 Azure Key Vault(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容:
HashiCorp 保险库集成
HashiCorp 保险库是一个插件,您可以将其用作 Orchestrator 的凭据存储。
包含两个插件:
- HashiCorp 保险库 – 读写插件(通过 Orchestrator 创建密码)
- HashiCorp 保险库(只读) – 只读插件(必须直接在保险库中配置密码)
先决条件
- 允许 Orchestrator 服务和 HashiCorp 保险库服务器之间互连的网络:
- HashiCorp 保险库用于 API 请求的 API 端口必须通过任何防火墙打开,并且可以从互联网访问。 在典型安装中,该端口为
8200。 - 如果客户的防火墙不允许来自任何互联网 IP 的连接,则必须将 Orchestrator 的 IP 地址列入白名单。您可以在“Orchestrator 出站 IP 地址”页面上找到最新的 IP 列表。
- HashiCorp 保险库用于 API 请求的 API 端口必须通过任何防火墙打开,并且可以从互联网访问。 在典型安装中,该端口为
- 您必须配置其中一种受支持的身份验证方法:
- AppRole(推荐)
- 用户名密码
- LDAP
- 令牌了解如何配置身份验证。
- 您必须配置其中一个受支持的密码引擎:
- KeyValueV1 - 可用于 HashiCorp 保险库和 HashiCorp 保险库(只读)
- KeyValueV2 - 可用于 HashiCorp 保险库和 HashiCorp 保险库(只读)
- ActiveDirectory - 仅适用于 HashiCorp 保险库(只读)
- OpenLDAP - 仅适用于 HashiCorp 保险库(只读)
- 所选的身份验证方法必须具有允许在您计划存储密码的路径上使用以下功能的策略:
- 对于 HashiCorp 保险库(只读)插件:
read - 对于 HashiCorp 保险库插件:如果使用
KeyValueV2密码引擎,则元数据路径上的create、read、update、delete和可选的delete。
- 对于 HashiCorp 保险库(只读)插件:
配置集成
以下示例说明了如何配置在 Docker 容器中运行的 HashiCorp 保险库开发版本,以将其用作 Orchestrator 的凭据存储。这些示例应适合您自己的环境。详情请参阅 HashiCorp Vault 的官方文档。
配置身份验证
要开始创建和读取密码,您首先需要通过以下步骤配置身份验证方法:
-
打开容器内的 Shell:
docker exec -it dev-vault shdocker exec -it dev-vault sh -
以根用户身份登录。通过运行以下命令,确保日志中显示了根令牌,以使用该令牌设置环境变量:
export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f -
通过运行以下命令检查保险库状态:
vault statusvault status -
在 KV 存储中为 Orchestrator 添加虚拟密码:
vault kv put secret/applications/orchestrator/testSecret Value=123456vault kv put secret/applications/orchestrator/testSecret Value=123456 -
向 Orchestrator 授予对新创建的
secret/applications/orchestrator路径的访问权限。为此,您必须首先通过运行以下命令来创建用于读取和写入此路径及其所有子路径的策略:cat <<EOF | vault policy write orchestrator-policy - path "secret/data/applications/orchestrator/*" { capabilities = ["create", "read", "update", "delete"] } path "secret/metadata/applications/orchestrator/*" { capabilities = ["delete"] } EOFcat <<EOF | vault policy write orchestrator-policy - path "secret/data/applications/orchestrator/*" { capabilities = ["create", "read", "update", "delete"] } path "secret/metadata/applications/orchestrator/*" { capabilities = ["delete"] } EOF备注:使用 KeyValueV2 密码引擎时,密码在路径
<mount>/data/<secret-path>中写入和获取,而不是在 KeyValueV1 中的<mount>/<secret-path>。它不会更改任何 CLI 命令(即,不会在路径中指定数据)。但是,它确实会更改策略,因为功能已应用于实际路径。在上一个示例中,路径为secret/data/applications/orchestrator/*,因为我们使用的是 KeyValueV2 密码引擎。如果使用 KeyValueV1,则路径将为secret/applications/orchestrator/*。仅当您要确保 Orchestrator 在验证连接性时不会留下测试密钥时,才需要在元数据路径上使用删除功能。如果未授予此功能,则在 Orchestrator 中创建凭据存储时将创建并保留一个密钥。
-
使用
userpass身份验证方法启用身份验证,然后为 Orchestrator 创建用户并分配先前创建的策略:vault auth enable userpass vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy备注:Orchestrator 支持多种身份验证模式。有关如何配置它们,请参阅 HashiCorp 保险库文档。
-
登录并尝试读取之前创建的密码,以检查您是否已正确配置所有内容:
vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456
此命令的输出:
WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key Value
--- -----
token s.nwombWQH3gGPDhJumRzxKqgI
token_accessor aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration 768h
token_renewable true
token_policies ["default" "orchestrator-policy"]
identity_policies []
policies ["default" "orchestrator-policy"]
token_meta_username orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key Value
--- -----
token s.nwombWQH3gGPDhJumRzxKqgI
token_accessor aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration 768h
token_renewable true
token_policies ["default" "orchestrator-policy"]
identity_policies []
policies ["default" "orchestrator-policy"]
token_meta_username orchestrator
WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key Value
--- -----
token s.nwombWQH3gGPDhJumRzxKqgI
token_accessor aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration 768h
token_renewable true
token_policies ["default" "orchestrator-policy"]
identity_policies []
policies ["default" "orchestrator-policy"]
token_meta_username orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
over the value set by this command. To use the value set by this command,
unset the VAULT_TOKEN environment variable or set it to the token displayed
below.
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.
Key Value
--- -----
token s.nwombWQH3gGPDhJumRzxKqgI
token_accessor aGJL6Pzc6fRRuP8d8tTjS2Kj
token_duration 768h
token_renewable true
token_policies ["default" "orchestrator-policy"]
identity_policies []
policies ["default" "orchestrator-policy"]
token_meta_username orchestrator
- 获取此令牌并将其设置为根令牌,然后尝试读取测试密码:
export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI vault kv get secret/applications/orchestrator/testSecret
此命令的输出:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
您还可以通过运行以下命令来启用 appRole Orchestrator:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
现在,您将拥有可在 Orchestrator 中进行配置的角色 ID 和密码 ID。
配置 Active Directory 密码引擎
要配置 Active Directory 密码引擎,请执行以下步骤:
- 通过运行以下命令启用 Active Directory 密码引擎:
vault secrets enable advault secrets enable ad - 配置 HashiCorp 保险库用于与 Active Directory 通信以生成密码的凭据:
vault write ad/config \ binddn=$USERNAME \ bindpass=$PASSWORD \ url=ldaps://138.91.247.105 \ userdn='dc=example,dc=com'vault write ad/config \ binddn=$USERNAME \ bindpass=$PASSWORD \ url=ldaps://138.91.247.105 \ userdn='dc=example,dc=com' - 配置将 HashiCorp 保险库中的名称映射到 Active Directory 中的帐户的角色。当应用程序请求密码时,密码轮换设置将由此角色管理。
vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com" - 使用身份验证方法(例如 AppRole)授予
orchestrator访问其ad/creds/orchestrator凭据的权限。cat <<EOF | vault policy write orchestrator-policy - path "ad/creds/orchestrator" { capabilities = ["read"] } EOFcat <<EOF | vault policy write orchestrator-policy - path "ad/creds/orchestrator" { capabilities = ["read"] } EOF
使用 HashiCorp 保险库(只读)
使用 HashiCorp 保险库(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容:
BeyondTrust 集成
“BeyondTrust”集成是只读的,有两个插件可供您选择:“BeyondTrust 密码保险箱 - 托管帐户”和“BeyondTrust 密码保险箱 - 团队密码”。
虽然“BeyondTrust 密码保险箱 - 托管帐户”解决了拥有本地或 Active Directory 帐户的组织的需求,但“BeyondTrust 密码保险箱 - 团队密码”适用于必须将小组凭据存储在隔离环境中的情况。
这两个插件的配置大致相同,但也存在一些细微差别。此页面涵盖这两个插件的介绍。
先决条件
- BeyondTrust Server Cloud 实例或类似的内部部署安装
- Beyond Insight 凭据
配置集成
- 使用您的 Beyond Insight 凭据登录到 BeyondTrust Server Cloud 实例或类似的内部部署安装。
- 为 UiPath 服务帐户组创建 API 注册。
图 7. 创建 API 注册
- 创建身份验证规则以允许来自 UiPath 的传入 API 连接。
图 8. 创建身份验证规则
- 为 UiPath 服务帐户创建新的组并添加以下功能:
- 密码保险箱帐户
- 密码保险箱角色
图 9. 创建新组
- 您还需要分配智能规则:
- 托管帐户/只读/请求者足以满足常规用户请求
- 对于 ISA 访问,需要资产/ISA 角色。
图 10. 分配智能规则
- 将 API 注册添加到组中。
图 11. 将 API 注册添加到组中
- 创建一个新用户并分配 UiPath 组。
图 12. 创建新用户
- 以下步骤因您使用的是“BeyondTrust 密码保险箱 - 托管帐户”或“BeyondTrust 密码保险箱 - 团队密码”而异。
BeyondTrust 密码保险箱 - 托管帐户
如果您使用的是“BeyondTrust 密码保险箱 - 托管帐户”,请继续执行以下步骤
- 在托管系统下添加您的托管帐户。
图 13. “托管系统”页面
- 请确保为您的托管帐户 启用 API。
图 14. “托管帐户”页面
BeyondTrust 密码保险箱 - 团队密码
如果您使用的是“BeyondTrust 密码保险箱 - 团队密码”,请继续执行以下步骤:
- 转到“团队密码”页面。
图 15. “团队密码”页面
- (可选)创建新文件夹。
- 选择一个文件夹。
- 使用“创建新凭据”选项。
Thycotic Secret Server integration
由于合并,Thycotic 已更名为 Delinea 。在配置凭据存储集成时,请牢记这一点。
先决条件
- Thycotic Secret Server 云实例或内部部署安装。
配置集成
请务必通读 Delinea 文档以获取最新信息。
- 登录到您的 Secret Server 帐户。
- 转到“管理员” > “用户管理” ,然后单击“创建用户” 。选中“应用程序帐户”复选框以生成应用程序帐户。
- 导航到“管理员” > “查看全部” >“工具和集成” >“ SDK 客户端管理”,然后在“客户端引导”中设置新的引导规则。 记下载入规则名称和密钥。
- 编辑引导规则并分配在步骤 2 中创建的应用程序帐户。
- 确保链接到引导规则的应用程序帐户有权访问 Orchestrator 访问的密码。您可以将应用程序帐户分配给一个组,并授予该组访问所需文件夹的权限,或授予该组对密码的显式访问权限。
AWS Secrets Manager 集成
关于 AWS Secrets Manager
AWS Secrets Manager是可在 Orchestrator 中用作凭据存储的工具。
它具有两个插件:
- AWS Secrets Manager
- AWS Secrets Manager(只读)
您可以使用的插件(即只读或读写)取决于您的 AWS Identity and Access Management (IAM) 策略权限。
如果您选择使用只读插件,则必须将资产链接到 AWS Secrets Manager 中已提供的一组凭证。
先决条件
要使用此服务:
- 您需要订阅 AWS。
- 您需要创建特定于 Secrets Manager 的 IAM 策略,并将其分配给账户的 IAM 角色或用户。
配置
要将 AWS Secrets Manager 与 Orchestrator 集成,您需要创建 AWS IAM 帐户后生成的访问密钥和密钥。
- 可以在 AWS IAM 帐户的“安全凭证” 选项卡上找到访问密钥 ID 。
- 只有在创建帐户后,才会提供密钥 ID。因此,务必将其复制以备将来使用。如果您将密钥 ID 放错位置或将其忘记,则需要创建另一个访问密钥,然后在 Orchestrator 中替换必要信息。
除此之外,您还需要检查在 AWS 帐户中设置的区域,因为这是您在配置新凭据存储时将在“区域”字段中输入的内容。
使用 AWS Secrets Manager(只读)
使用 AWS Secrets Manager(只读)插件时,管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容:
Google Secret Manager
Google Secret Manager 是一个插件,可供您配合 Orchestrator 使用,用于凭据存储。
包含两个插件:
- 借助 Google Secret Manager - 读写插件,您可以直接在 Orchestrator 中创建和管理密码。
- Google 密码管理器(只读) - 一个只读插件,仅允许您使用现有密码。必须直接在 Google 密码管理器中配置密码。
先决条件
您需要一个包含 Secret Manager 组件的 Google Cloud 项目,才能将 Orchestrator 连接到 Google Secret Manager。
配置集成
要将 Orchestrator 连接到 Google Secret Manager,请继续执行以下步骤:
- 启用 Secret Manager API。
- 创建服务帐户并生成服务帐户密钥。
- 在 Orchestrator 中添加 Google Secret Manager 凭据存储。
步骤 1:启用 Secret Manager API
- 选择 Select a project(选择项目)进入项目列表,然后选择所需的项目。
- 在搜索栏中,搜索 Secret Manager(密码管理器),然后从结果列表中打开 Secret Manager。
- 选择“密码管理器 API”下的“启用”。
步骤 2:创建服务帐户并生成服务帐户密钥
- 在搜索栏中,搜索“服务帐户”,然后从结果列表中打开“服务帐户”。
- 选择“创建服务帐户”。
- 键入新服务帐户的名称,然后选择 Create and continue(创建并继续)。
- 在“权限(可选)”步骤中,将“密码管理器管理员”角色分配给新服务帐户。
- 选择“继续”,然后选择“完成”。
- 从服务帐户列表中,选择新帐户。
- 导航到“密钥”选项卡。
- 选择“添加密钥”,然后选择“创建新密钥”。
- 选择 JSON。
- 选择“创建” 。在此步骤结束时,将下载 JSON 文件。保存此文件,因为配置凭据存储时需要它。
步骤 3:将 Google Secret Manager 添加到 Orchestrator。
- 在 Orchestrator 中导航到租户页面。
- 选择“凭据”,然后转到“存储”选项卡。
- 选择“添加凭据存储”。
- 从“类型”下拉菜单中选择 Google Secret Manager。
- 输入凭据存储的名称。
- 在 Google Cloud Project ID 字段中,输入 Google Cloud 项目的项目 ID。
- 在 Service Account Key json(服务帐户密钥 json)字段中,上传在上一步中下载的 JSON。
- 选择“创建”。
重要提示:
- 在从 Google Secret Manager 凭据存储(读取-写入或只读)中检索资产时,系统将总是检索最新的密码版本。确保最新版本是正确的。
- 如果禁用最新的密码版本,检索将失败。确保已启用最新的密码版本。
使用 Google Secret Manager
在读取-写入凭据存储中创建资产时,资产名称只能包含英文字符 (A-Z, a-z)、数字 (0-9)、短划线 (-) 和下划线 (_)。
无效字符会自动替换为 _。
使用 Google Secret Manager(只读)
将资产存储在只读凭据存储中
在将凭据类型资产存储在 Google Secret Manager(只读)凭据存储中时,您必须使用以下信息在 Secret Manager 中创建密码:
- 密钥的资产名称必须与 Google Secret Manager 中配置的外部名称完全匹配。
- Google Secret Manager 只能包含字母 (
A-Z, a-z)、数字 (0-9)、短划线 (-) 和下划线 (_)。 - 密码值必须使用以下 JSON 结构保存为“密码版本”:
{"Username": "user", "Password": "pass"}{"Username": "user", "Password": "pass"}
存储 Unattended Robot 密码
在将无人值守机器人密码存储在 Google Secret Manager(只读)凭据存储中时,您必须使用以下信息在 Secret Manager 中创建密码:
- 密码名称必须与该机器人的外部名称匹配。
- 如果未配置外部名称,则使用“用户名”字段,并将无效字符替换为
_。 - 密码值必须仅包含机器人的密码。
- CyberArk® CCP integration
- 先决条件
- 创建 Orchestrator 应用程序
- 创建 Orchestrator 保险箱
- CyberArk® Conjur(只读)
- 先决条件
- 创建用于存储凭据的 Orchestrator 保险箱
- 创建帐户和工作负载以访问凭据
- CyberArk™ Conjur Cloud(只读)
- 先决条件
- 创建用于存储凭据的 Orchestrator 保险箱
- 创建帐户和工作负载以访问凭据
- Azure Key Vault integration
- 先决条件
- 配置
- HashiCorp 保险库集成
- 先决条件
- 配置集成
- BeyondTrust 集成
- 先决条件
- 配置集成
- Thycotic Secret Server integration
- 先决条件
- 配置集成
- AWS Secrets Manager 集成
- 关于 AWS Secrets Manager
- 先决条件
- 配置
- 使用 AWS Secrets Manager(只读)
- Google Secret Manager
- 先决条件
- 配置集成
- 使用 Google Secret Manager
- 使用 Google Secret Manager(只读)