orchestrator
latest
false
UiPath logo, featuring letters U and I in white

Orchestrator 用户指南

Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
上次更新日期 2024年11月25日

管理凭据存储

创建凭据存储

  1. 在“凭据”页面的“存储”部分中,单击“添加凭据存储”。系统将显示“添加凭据存储”对话框。
  2. 从“代理”下拉列表中,选择所需的代理。本地包含所有 Orchestrator 内置存储。任何其他可用选项均构成您在“添加 Credentials Proxy”页面上创建的代理。因此,您还可以:
    • 连接的代理 - 由 Orchestrator 管理,意味着 Orchestrator 会从代理检索凭据,并将其传递给机器人。

    • 断开连接的代理 - 不受 Orchestrator 管理,意味着在将凭据传递到机器人之前,直接从代理检索凭据。

  3. 从“类型”下拉列表中,选择要使用的安全存储。
    可用选项取决于选定的代理。
    注意:如果未配置有效插件,则此字段为空。
  4. 后续步骤将因您要创建的凭据存储而异。您的选项包括:
    • Orchestrator 数据库
      注意:您只能拥有一个 Orchestrator 数据库存储。
    • CyberArk™ Conjur Cloud
    • Azure 密钥保险库 – 在 Azure 密钥保险库Azure 密钥保险库(只读)之间进行选择
    • HashiCorp 保险库 – 在 HashiCorp 保险库HashiCorp(只读)之间进行选择
    • BeyondTrust – 在 BeyondTrust 密码保险箱 - 托管帐户BeyondTrust 密码保险箱 - 团队密码之间进行选择
    • Thycotic Secret Server
    • AWS Secrets Manager – 在 AWS Secrets ManagerAWS Secrets Manager(只读)之间选择

Orchestrator 数据库

单击“创建”,Orchestrator 数据库存储没有任何可配置的属性。

CyberArk CCP

注意:使用相同的应用程序 ID、安全和文件夹名称在多个租户中配置 CyberArk 存储,这将允许跨租户访问存储的凭据。为了维持租户级别的安全性和隔离性,请确保为每个租户的 CyberArk 存储使用不同的配置。
  1. 在“名称”字段中,键入新的凭据存储的名称。
  2. 应用程序 ID字段中,从 CyberArk® PVWA (Password Vault Web Access) 界面输入 Orchestrator 实例的应用程序 ID。有关详细信息,请参阅此处
  3. 在“CyberArk Safe”字段中,输入在 CyberArk® PVWA 中定义的保险箱名称。有关详细信息,请参阅此处
  4. 在“CyberArk 文件夹”字段中,输入 CyberArk® 存储您的凭据的位置。
  5. 在“中央证书提供者 URL”字段中,输入“中央证书提供者”的地址。
  6. 网页服务名称字段中,输入中央凭据提供程序网页服务的名称。如果将此字段留空,则使用默认名称:AIMWebService
  7. 当 CyberArk 应用程序使用客户端 证书 身份验证方法时,需要配置客户端证书。 预期的输入是 .pfx 文件,该文件存储证书的私钥和公钥。 客户端证书需要安装在部署了 CyberArk CCP AIMWeb 服务的计算机上。
    备注:

    客户端证书由 CyberArk 提供的凭据用于对 Orchestrator 凭据存储中定义的应用程序进行身份验证。有关应用程序身份验证方法的详细信息,请参阅 CyberArk 官方文档。

    客户端证书是 PKCS12 二进制格式的文件,用于存储证书链公钥和私钥。

    CyberArk CCP 使用 2048 位证书密钥。

    如果客户端证书以 Base 64 编码,则运行以下 certutil 命令以二进制格式对其进行解码:

    certutil -decode client_certificate_encoded.pfx client_certificate.pfx

  8. 在“客户端证书密码”字段中,输入客户端证书的密码。
  9. 当 CyberArk CCP AIMWebService 使用自签名根 CA 证书处理传入的 HTTP 请求时,需要配置“服务器根证书”。这一证书用于 HTTPS TLS 握手证书链验证。预期的输入是存储根 CA 证书公钥的 .crt.cer 文件。
  10. 仅当参数 Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication 的值设置为 true 时,才会显示“允许操作系统用户身份验证”选项。该选项允许使用当前登录到 Orchestrator 计算机的用户的凭据进行身份验证。
    注意:通过在 IIS 中为 Orchestrator 和 CyberArk 同时进行必要的更改,确保建立适当的基础架构。
  11. 选择“创建”。新的凭据存储已准备就绪,可以使用。


CyberArk Conjur Cloud(只读)

备注:

跨租户配置有相同应用程序 ID、保险箱和文件夹名称的 CyberArk Conjur Cloud 存储允许跨租户凭据访问。为了维护租户级别的安全性和隔离性,请确保为每个 CyberArk™ Conjur Cloud 存储租户使用不同的配置。

  1. 在“名称”字段中,键入新的凭据存储的名称。
  2. 在“CyberArk Conjur Cloud URL”字段中,添加您的私有 CyberArk URL(例如 https://[your-company-name].secretsmgr.cyberark.cloud)。
  3. 在“登录名”字段中,从 CyberArk Conjur Cloud 复制完整的工作负载名称,并以 host/data/<Workload_name> 格式将其粘贴到 Orchestrator 中。
  4. 在“API 密钥”字段中,添加在创建工作负载时生成的 API 密钥。如果您忘记了 API 密钥,始终可以从 Conjur Cloud 生成一个新密钥,但也要确保在 Orchestrator 中进行更改。
  5. 在可选的“变量 ID 前缀”字段中,输入要添加到要访问的变量路径的前缀。例如 data/vault/<Safe_Name>
    注意:使用存储时,会在机器人或资产的“外部名称”字段中添加前缀。
    例如,如果我们使用前缀 /data/vault/Safe_Name 和外部名称 Machine,则要读取的变量为 /data/vault/Safe_Name/Machine/username/data/vault/Safe_Name/Machine/password

Azure 密钥保管库

密钥保险库凭据存储使用 RBAC 类型身份验证。创建服务主体后,请执行以下步骤:

  1. 在“名称”字段中,键入新的凭据存储的名称。

  2. 在“密钥保管库 Uri”字段中,输入 Azure Key Vault 的地址。这是 https://<vault_name>.vault.azure.net/
  3. 在“目录 ID”字段中,输入在 Azure 门户中找到的目录 ID。

  4. 在“客户端 ID”字段中,输入在其中注册了 Orchestrator 应用程序的 Azure AD“应用注册”部分中的应用程序 ID。

  5. 在“客户端密码”字段中,输入对上一步中输入的客户端帐户进行身份验证所需的密码。

  6. 单击创建。新的凭据存储已准备就绪,可以使用。



重要事项:只能使用由 Azure Government 托管的 Azure Key Vault。

HashiCorp 保险库

  1. 在“类型”字段中,选择“HashiCorp 保险库”或“HashiCorp 保险库 (只读)”作为您的凭据存储。
  2. 在“名称”字段中,指定 HashiCorp 保险库凭据存储的名称。
  3. 在“保险库 Uri”字段中,指定 HashiCorp 保险库的 HTTP API 的 URI。
  4. 在“身份验证类型”字段中,指明您的首选身份验证方法。根据您选择的选项,您必须配置其他字段:

    • AppRole这是推荐的身份验证方法。如果选择此选项,请确保同时配置以下字段:

      • 角色 ID – 指明要与 AppRole 身份验证方法一起使用的角色 ID
      • 密码 ID – 输入要与 AppRole 身份验证类型一起使用的密码 ID。
    • 用户名密码 – 如果选择此选项,请确保同时配置以下字段:

      • 用户名 – 输入要与“用户名密码”一起使用的用户名。
      • 密码 – 指明要与“用户名密码”身份验证类型一起使用的密码。
    • LDAP – 如果选择此选项,请确保同时配置以下字段:

      • 用户名 – 指定要与 LDAP 身份验证类型一起使用的用户名。
      • 密码 – 指明要与 LDAP 身份验证类型一起使用的密码。
    • 令牌 – 如果选择此选项,请确保同时配置以下字段:

      • 令牌 – 输入要与“令牌”身份验证类型一起使用的令牌。
    • 在“密码引擎”字段中,选择要使用的密码引擎。您的选项包括:
      • KeyValueV1
      • KeyValueV2
      • Active Directory
      • OpenLDAP
      • LDAP
  5. 在“身份验证装载路径”可选字段中,您可以指定自定义装载路径。您可以在两条不同的路径上装载具有两种不同配置的相同身份验证方法。

  6. 在“密码引擎装载路径”字段中,提供密码引擎的路径。如果未提供,则对于 KeyValueV1,默认为 kv,对于 KeyValueV2,默认为 kv-v2,对于 ActiveDirectory,默认为 ad
  7. 在“数据路径”字段中,输入要用于所有存储的密码的路径前缀。
  8. 在“命名空间”字段中,指定要使用的命名空间。仅在 HashiCorp 保险库企业版中可用。
  9. 对于“(LDAP) 使用动态凭据”选项,选择“True”(动态)或“False”(静态),在动态和静态凭据之间切换。默认选项为“False”。

  10. 选择“创建”。新的凭据存储已准备就绪,可以使用。



BeyondTrust

  1. 在“类型”字段中,选择以下选项之一:

    • BeyondTrust 密码保险箱 - 托管帐户
    • BeyondTrust 密码保险箱 - 团队密码
  2. 在“名称”字段中,指定 BeyondTrust 凭据存储的名称。
  3. 在“BeyondTrust 主机 URL”字段中,指定密码服务器实例的 URL。
  4. 在“API 注册密钥”字段中,指定来自 BeyondTrust 的 API 注册密钥的值。
  5. 在“API 用户名运行身份”字段中,指定要用于执行调用的 BeyondTrust 用户名。

BeyondTrust 密码保险箱 - 托管帐户

如果您选择的是“BeyondTrust 密码保险箱 - 托管帐户”,请继续执行以下步骤:

  1. (可选)在“默认托管系统名称”字段中,指明由 BeyondTrust 密码保险箱管理的系统名称。如果 Orchestrator 资产的“外部名称”字段不包含“系统名称”前缀,则此字段将用作回退“系统名称”。
  2. 在“系统-帐户分隔符”字段中,指定用于在 Orchestrator 资产中拆分托管系统名称和托管帐户名称的分隔符。
  3. 在“管理帐户类型”字段中,选择要从 BeyondTrust 检索的帐户类型:
    • “系统”- 返回本地帐户
    • “链接的域”- 返回链接到系统的域帐户
  4. 选择“创建”。新的凭据存储已准备就绪,可以使用。
注意:系统名称必须在凭据存储中以 SystemName 格式指定,或在 Orchestrator 资产的“外部名称”字段中以 SystemName/AccountName 格式指定。

BeyondTrust 密码保险箱 - 团队密码

如果您选择的是“BeyondTrust 密码保险箱 - 团队密码”,请继续执行以下步骤:

  1. (可选)在“文件夹路径前缀”字段中,指定默认的文件夹路径前缀。这将添加到所有 Orchestrator 资产值之前。

  2. 在“文件夹/帐户分隔符”字段中,输入用于在 Orchestrator 资产中从标题拆分路径的分隔符。
  3. 选择“创建”。新的凭据存储已准备就绪,可以使用。



Thycotic Secret Server

  1. 在“类型”字段中,选择“Thycotic Secret Server”。
  2. 在“名称”字段中,键入新的凭据存储的名称。
  3. 在“Secret Server URL”字段中,指定密码服务器实例的 URL。
  4. 在“规则名称”字段中,提供客户端引导规则名称。
  5. (可选)在“规则键”字段中,指定引导规则中的键。虽然此为可选步骤,但我们建议指定规则键以提高安全性。
  6. 在“用户名字段”字段中,指定 Orchestrator 在从 Thycotic Secret Server 检索资产时将从中提取用户名的“密码模板”字段的缩略名名称。
  7. 在“密码字段”字段中,指定 Orchestrator 在从 Thycotic 密码服务器检索资产时将从中提取密码的“密码模板”字段的缩略名名称。

    注意:您可以在“管理员”>“密码模板”>“模板”>“字段”中找到“密码模板”字段的缩略名名称。


在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与预先存在的密码相绑定。在本例中,此值为 Thycotic Secret Server 的真正密码 ID。

您可以在路由中找到密码 ID。在以下示例中,其值为 5




AWS Secrets Manager

  1. 在“类型”字段中,选择“AWS Secrets Manager”或“AWS Secrets Manager(只读)”

    在只读版本和读写版本之间进行选择取决于您的 IAM 策略权限。

  2. 在“名称”字段中,键入新的凭据存储的名称。
  3. 在“访问密钥”字段中,添加 AWS IAM 用户页面的“安全凭证”选项卡上可用的访问密钥 ID。
  4. 在“密钥”字段中,添加在创建 AWS IAM 用户帐户时提供给您的密钥 ID。
  5. 在“区域”字段中,添加要存储密码的区域,如 AWS 帐户中所示。


    如果要使用 AWS Secrets Manager(只读),您首先需要在 AWS Secrets Manager 中创建资产机器人凭证

编辑凭据存储

导航到“存储”(“租户”>“凭据”>“存储”),然后从所需存储的“更多操作”菜单中选择“编辑”。显示“编辑凭据存储”对话框。

注意Orchestrator 数据库存储没有任何可编辑的属性。

设置默认凭据存储

使用两个或更多凭据存储时,您可以选择用于机器人和资产的默认存储。可以同时将同一个存储用作两者的默认存储,也可以为两者选择不同的默认存储。

要选择默认存储,请从“更多操作”菜单中选择“设置为机器人默认存储”和/或“设置为资产默认存储”

备注:

更改默认存储不会更改现有机器人或资产配置,它仅控制在创建新机器人或资产时在“凭据存储”下拉列表中预选的内容。机器人和资产始终从创建它们时使用的存储获取密码。要更改特定机器人或资产的凭据存储,您必须在机器人或资产级别进行更改。

删除凭据存储

要删除凭据存储,请从所需存储的“更多操作”菜单中选择“删除”

如果所选存储正在使用,将出现一个警告对话框,列出将受影响的机器人和资产的数量。单击“删除”以确认删除,或单击“取消”以中止。请注意,您必须始终至少有一个凭据存储处于活动状态。如果仅存在一个凭据存储,则不会出现对应的删除选项。

注意:指定为默认的凭据存储无法删除。您必须首先针对此凭据类型选择另一种默认存储。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。