Orchestrator 用户指南

管理凭据存储

link

1. 在“凭据”页面的“存储”部分中，单击“添加凭据存储” 。系统将显示“添加凭据存储”对话框。
2. 从“代理”下拉列表中，选择所需的代理。本地包含所有 Orchestrator 内置存储。任何其他可用选项均构成您在“添加 Credentials Proxy”页面上创建的代理。因此，您还可以：
   • 连接的代理 - 由 Orchestrator 管理，这意味着 Orchestrator 会从代理重新获取凭据，并将其传递给机器人。
   • 断开连接的代理 - 不受 Orchestrator 管理，意味着在将凭据传递到机器人之前，直接从代理检索凭据。
3. 从“类型”下拉列表中，选择要使用的安全存储。

4. 后续步骤将因您要创建的凭据存储而异。您的选项包括：

   • Orchestrator 数据库

     备注：

     您只能拥有一个 Orchestrator 数据库存储。

   • CyberArk™ Conjur Cloud

   • Azure 密钥保险库 – 在 Azure 密钥保险库和 Azure 密钥保险库（只读）之间进行选择

   • HashiCorp 保险库 – 在 HashiCorp 保险库和 HashiCorp（只读）之间进行选择

   • BeyondTrust – 在 BeyondTrust 密码保险箱 - 托管帐户和 BeyondTrust 密码保险箱 - 团队密码之间进行选择

   • Thycotic Secret Server

   • AWS Secrets Manager – 在AWS Secrets Manager和AWS Secrets Manager 之间选择（只读）

   • Google Secret Manager – 在 Google Secret Manager 和 Google Secret Manager（只读）之间选择

Orchestrator 数据库​

CyberArk CCP​

1. 在“名称”字段中，键入新的凭据存储的名称。
2. 在“应用程序 ID”字段中，从 CyberArk® PVWA (Password Vault Web Access) 界面输入 Orchestrator 实例的应用程序 ID。有关详细信息，请参阅此处。
3. 在“CyberArk Safe”字段中，输入在 CyberArk® PVWA 中定义的保险箱名称。有关详细信息，请参阅此处。
4. 在“CyberArk 文件夹”字段中，输入 CyberArk® 存储您的凭据的位置。
5. 在“中央证书提供者 URL”字段中，输入“中央证书提供者”的地址。
6. 在“网页服务名称”字段中，输入中央凭据提供程序网页服务的名称。如果将此字段留空，则使用默认名称：AIMWebService。
7. 当 CyberArk 应用程序使用 客户端证书身份验证方法 时，需要配置 客户端证书 。预期输入为.pfx文件，该文件存储了证书的私钥和公钥。需要在部署了 CyberArk CCP AIMWebservice 的计算机上安装客户端证书。
   备注：

   客户端证书由 CyberArk 提供的凭据用于对 Orchestrator 凭据存储中定义的应用程序进行身份验证。有关应用程序身份验证方法的详细信息，请参阅 CyberArk 官方文档。客户端证书是 PKCS12 二进制格式的文件，用于存储证书链公钥和私钥。CyberArk CCP 使用 2048 位证书密钥。如果客户端证书以 Base 64 编码，则运行以下certutil命令以二进制格式对其进行解码： certutil -decode client_certificate_encoded.pfx client_certificate.pfx

8. 在“客户端证书密码”字段中，输入客户端证书的密码。
9. 当 CyberArk CCP AIMWebService 使用自签名根 CA 证书处理传入的 HTTP 请求时，需要配置服务器根证书。这一证书用于 HTTPS TLS 握手证书链验证。预期的输入是存储根 CA 证书公钥的 .crt 或 .cer 文件。
10. 仅当参数Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication的值设置为true时，才会显示“允许操作系统用户身份验证”选项。该选项允许使用当前登录到 Orchestrator 计算机的用户的凭据进行身份验证。
    备注：

    通过在 IIS 中为 Orchestrator 和 CyberArk 进行必要的更改，确保建立适当的基础架构。

11. 选择“创建” 。新的凭据存储已准备就绪，可以使用。

CyberArk Conjur（只读）​

1. 在“名称”字段中，键入新的凭据存储的名称。
2. 在“设备 URL”字段中，添加您的私有 CyberArk URL。
   备注：

   如果您使用的是 CyberArk Secrets Manager SaaS，请在 URL 末尾添加/api（例如：https://[your-company-name].secretsmgr.cyberark.cloud/api）。 如果您使用的是 CyberArk Secrets Manager Self-Hosted，请使用已配置的 DNS。

3. 在“帐户”字段中，输入帐户名称。默认值为 conjur。
4. 在“身份验证类型”字段中，从下拉列表中选择所需的身份验证类型。
   • API 密钥：使用与用户 ID 关联的 Secrets Manager API 密钥进行身份验证。
   • JWT ：使用 JSON 网页令牌 (JWT) 进行身份验证。此方法支持基于令牌的安全身份验证，无需 API 密钥，是使用短期凭据的环境的理想之选。
   1. 如果选择 ApiKey 作为身份验证类型，请配置以下字段：
      • 登录名（ “管理员”>“帐户”）：从 CyberArk Secrets Manager 中复制完整的工作负载名称，并以host/data/<Workload_name>格式将其粘贴到 Orchestrator 中。
      • API 密钥：添加在创建工作负载时生成的 API 密钥。如果您忘记了 API 密钥，始终可以从 Secrets Manager 生成一个新密钥，但也要确保在 Orchestrator 中进行更改。
   2. 如果选择 Jwt 作为身份验证类型，请配置以下字段：
      • JWT 服务 ID（可选）:从 CyberArk Secrets Manager 中的身份验证器字段复制服务 ID。
      • 身份提供程序令牌 URL（可选） ：复制身份提供程序令牌 URL。您可以使用 UiPath Identity Server（例如https://cloud.uipath.com/identity_/connect/token ）或外部身份提供程序。
      • 客户端 ID : 复制在身份提供程序中定义的客户端 ID。
      • 客户端密码: 复制在身份提供程序中定义的客户端密码。
      • 作用域（作用域） ：提供已配置的凭据存储的作用域。例如，您可以使用OR.Assets.Read来检查存储在 Orchestrator 中的所有资产。
5. 在可选的“主机 ID”字段中，复制使用的 CyberArk 工作负载。
6. 在可选的“变量 ID 前缀”字段中，输入要添加到要访问的变量路径的前缀。例如，data/vault/<Safe_Name>。
   备注：

   使用存储时，会在机器人或资产的“外部名称”字段中添加前缀。例如，如果我们使用前缀/data/vault/Safe_Name和外部名称Machine ，则要读取的变量为/data/vault/Safe_Name/Machine/username和/data/vault/Safe_Name/Machine/password 。

CyberArk Conjur Cloud（只读）​

1. 在“名称”字段中，键入新的凭据存储的名称。
2. 在“CyberArk Conjur Cloud URL”字段中，添加您的私有 CyberArk URL（例如https://[your-company-name].secretsmgr.cyberark.cloud）。
3. 在“登录名”字段中，从 CyberArk Conjur Cloud 复制完整的工作负载名称，并以host/data/<Workload_name>格式将其粘贴到 Orchestrator 中。
4. 在“API 密钥”字段中，添加在创建工作负载时生成的 API 密钥。如果您忘记了 API 密钥，始终可以从 Conjur Cloud 生成一个新密钥，但也要确保在 Orchestrator 中进行更改。
5. 在可选的“变量 ID 前缀”字段中，输入要添加到要访问的变量路径的前缀。例如，data/vault/<Safe_Name>。
   备注：

   使用存储时，会在机器人或资产的“外部名称”字段中添加前缀。例如，如果我们使用前缀/data/vault/Safe_Name和外部名称Machine ，则要读取的变量为/data/vault/Safe_Name/Machine/username和/data/vault/Safe_Name/Machine/password 。

Azure 密钥保管库​

1. 在“名称”字段中，键入新的凭据存储的名称。
2. 在“密钥保管库 Uri”字段中，输入 Azure 密钥保管库的地址。该地址是 https://<vault_name>.vault.azure.net/。
3. 在“目录 ID”字段中，输入在 Azure 门户中找到的目录 ID。

4. 在“客户端 ID”字段中，输入在其中注册了 Orchestrator 应用程序的 Azure AD“应用注册”部分中的应用程序 ID。
5. 在“客户端密码”字段中，输入对上一步中输入的客户端帐户进行身份验证所需的密码。
6. 选择“创建” 。新的凭据存储已准备就绪，可以使用。

HashiCorp 保险库​

1. 在“类型”字段中，选择 HashiCorp 保险库或 HashiCorp 保险库（只读）作为您的凭据存储。
2. 在“名称”字段中，指定 HashiCorp 保险库凭据存储的名称。
3. 在“保险库 Uri”字段中，指定 HashiCorp 保险库的 HTTP API 的 URI。
4. 在“身份验证类型”字段中，指明您的首选身份验证方法。根据您选择的选项，您必须配置其他字段：
   • AppRole – 这是推荐的身份验证方法。如果选择此选项，请确保同时配置以下字段：
     • 角色 ID – 指明要与 AppRole 身份验证方法一起使用的角色 ID
     • 密码 ID – 输入要与 AppRole 身份验证类型一起使用的密码 ID。
   • 用户名密码 – 如果选择此选项，请确保同时配置以下字段：
     • 用户名 – 输入要与“用户名密码”一起使用的用户名。
     • 密码 – 指明要与“用户名密码”身份验证类型一起使用的密码。
   • LDAP – 如果选择此选项，请确保同时配置以下字段：
     • 用户名 – 指定要与 LDAP 身份验证类型一起使用的用户名。
     • 密码 – 指明要与 LDAP 身份验证类型一起使用的密码。
   • 令牌 – 如果选择此选项，请确保同时配置以下字段：
     • 令牌 – 输入要与“令牌”身份验证类型一起使用的令牌。
   • 在“密码引擎”字段中，选择要使用的密码引擎。您的选项包括：
     • KeyValueV1
     • KeyValueV2
     • Active Directory
     • OpenLDAP
     • LDAP
5. 在“身份验证装载路径”可选字段中，您可以指定自定义装载路径。您可以在两条不同的路径上装载具有两种不同配置的相同身份验证方法。
6. 在密码引擎装载路径字段中，提供密码引擎的路径。如果未提供，则对于KeyValueV1 ，默认为kv ，对于KeyValueV2 ，默认为kv-v2 ，对于ActiveDirectory，默认为ad 。
7. 在“数据路径”字段中，输入要用于所有存储的密码的路径前缀。
8. 在“命名空间”字段中，指定要使用的命名空间。仅在 HashiCorp 保险库企业版中可用。
9. 对于“(LDAP) 使用动态凭据”(LDAP)选项，选择“True” （动态）或“False” （静态），以在动态和静态凭据之间切换。默认选项为False 。
10. 选择“创建” 。新的凭据存储已准备就绪，可以使用。

BeyondTrust​

1. 在“类型”字段中，选择以下选项之一：
   • BeyondTrust 密码保险箱 - 托管帐户
   • BeyondTrust 密码保险箱 - 团队密码
2. 在“名称”字段中，指定 BeyondTrust 凭据存储的名称。
3. 在“BeyondTrust 主机 URL”字段中，指定密码服务器实例的 URL。
4. 在“API 注册密钥”字段中，指明来自 BeyondTrust 的 API 注册密钥的值。
5. 在“API 用户名运行身份”字段中，指定要用于执行调用的 BeyondTrust 用户名。

BeyondTrust 密码保险箱 - 托管帐户​

1. （可选）在“默认托管系统名称”字段中，指明由 BeyondTrust 密码保险箱管理的系统名称。如果 Orchestrator 资产的“外部名称”字段不包含“系统名称”前缀，则此字段将用作回退“系统名称”。
2. 在“系统-帐户分隔符”字段中，指定用于在 Orchestrator 资产中拆分托管系统名称和托管帐户名称的分隔符。
3. 在“管理帐户类型”字段中，选择要从 BeyondTrust 检索的帐户类型：
   • “系统”- 返回本地帐户
   • “链接的域”- 返回链接到系统的域帐户
4. 选择“创建” 。新的凭据存储已准备就绪，可以使用。
   备注：

   系统名称必须在凭据存储中以SystemName格式指定，或在 Orchestrator 资产的“外部名称”字段中以SystemName/AccountName格式指定。

BeyondTrust 密码保险箱 - 团队密码​

1. （可选）在“文件夹路径前缀”字段中，指定默认的文件夹路径前缀。这将添加到所有 Orchestrator 资产值之前。
2. 在“文件夹/帐户分隔符”字段中，输入用于在 Orchestrator 资产中从标题拆分路径的分隔符。
3. 选择“创建” 。新的凭据存储已准备就绪，可以使用。

Thycotic Secret Server​

1. 在“类型”字段中，选择“Thycotic Secret Server”。
2. 在“名称”字段中，键入新的凭据存储的名称。
3. 在“Secret Server URL”字段中，指定密码服务器实例的 URL。
4. 在“规则名称”字段中，提供客户端引导规则名称。
5. （可选）在“规则键”字段中，指明引导规则中的键。虽然此为可选步骤，但我们建议指定规则密钥以提高安全性。
6. 在“用户名字段”字段中，指定 Orchestrator 在从 Thycotic Secret Server 检索资产时将从中提取用户名的“密码模板”字段的缩略名名称。
7. 在“密码字段”字段中，指定 Orchestrator 在从 Thycotic 密码服务器检索资产时将从中提取密码的“密码模板”字段的缩略名名称。
   备注：

   您可以在“管理员”>“密码模板”>“模板”>“字段”中找到“密码模板”字段的缩略名名称。

AWS Secrets Manager​

1. 在“类型”字段中，选择 "AWS Secrets Manager" 或“AWS Secrets Manager（只读）”。选择只读还是读写版本取决于您的 IAM 策略权限。
2. 在“名称”字段中，键入新的凭据存储的名称。
3. 在“访问密钥”字段中，添加 AWS IAM 用户页面的“安全凭证” 选项卡上可用的访问密钥 ID。
4. 在“密钥”字段中，添加在创建 AWS IAM 用户账户时提供给您的密钥 ID。
5. 在“区域” 字段中，添加您希望存储密码的区域，如您的 AWS 账户中所示。

Google Secret Manager​

1. 在 Orchestrator 中导航到租户页面。
2. 选择“凭据”，然后转到“存储”选项卡。
3. 选择“添加凭据存储”。
4. 从“类型”下拉菜单中选择 Google Secret Manager 或 Google Secret Manager（只读）。
5. 输入凭据存储的名称。
6. 在 Google Cloud Project ID 字段中，输入 Google Cloud 项目的项目 ID。
7. 在 Service Account Key json（服务帐户密钥 json）字段中，上传在上一步中下载的 JSON。
8. 选择“创建”。
   重要提示：

   • 在从 Google Secret Manager 凭据存储（读取-写入或只读）中检索资产时，系统将总是检索最新的密码版本。确保最新版本是正确的。
   • 如果禁用最新的密码版本，检索将失败。确保已启用最新的密码版本。