管理凭据存储
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“应用程序 ID”字段中,从 CyberArk PVWA (Password Vault Web Access) 界面输入 Orchestrator 实例的应用程序 ID。有关详细信息,请参阅此处。
- 在“CyberArk 保险箱”字段中,输入在 CyberArk PVWA 中定义的保险箱名称。有关详细信息,请参阅此处。
- 在“CyberArk 文件夹”字段中,输入 CyberArk 存储您的凭据的位置。
- 在“中央证书提供者 URL”字段中,输入“中央证书提供者”的地址。
- 在网页服务名称字段中,输入中央凭据提供程序网页服务的名称。如果将此字段留空,则使用默认名称:AIMWebService。
-
当 CyberArk 应用程序使用客户端 证书 身份验证方法时,需要配置客户端证书。 预期的输入是
.pfx
文件,该文件存储证书的私钥和公钥。 客户端证书需要安装在部署了 CyberArk CCP AIMWeb 服务的计算机上。备注:客户端证书由 CyberArk 提供的凭据用于对 Orchestrator 凭据存储中定义的应用程序进行身份验证。有关应用程序身份验证方法的详细信息,请参阅 CyberArk 官方文档。
客户端证书是 PKCS12 二进制格式的文件,用于存储证书链公钥和私钥。
CyberArk CCP 使用 2048 位证书密钥。
如果客户端证书以 Base 64 编码,则运行以下certutil
命令以二进制格式对其进行解码:certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- 在“客户端证书密码”字段中,输入客户端证书的密码。
- 当 CyberArk CCP AIMWebService 使用自签名根 CA 证书处理传入的 HTTP 请求时,需要配置“服务器根证书”。这一证书用于 HTTPS TLS 握手证书链验证。预期的输入是存储根 CA 证书公钥的
.crt
或.cer
文件。 -
仅当应用程序配置值
Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication
设置为true
时,“允许操作系统用户身份验证”选项才可见。该选项允许使用当前登录到 Orchestrator 计算机的用户的凭据进行身份验证。 -
备注:
通过在 IIS 中为 Orchestrator 和 CyberArk 进行必要的更改,确保建立适当的基础架构。
如需有关“允许操作系统用户身份验证”选项的更多支持,请联系 CyberArk。
如需对插件进行任何其他修改,请联系我们的支持团队。
-
单击创建。新的凭据存储已准备就绪,可以使用。
跨租户配置有相同应用程序 ID、保险箱和文件夹名称的 CyberArk Conjur Cloud 存储允许跨租户凭据访问。为了维护租户级别的安全性和隔离性,请确保为每个 CyberArk™ Conjur Cloud 存储租户使用不同的配置。
密钥保险库凭据存储使用 RBAC 类型身份验证。创建服务主体后,请执行以下步骤:
-
在“名称”字段中,键入新的凭据存储的名称。
-
在“密钥保管库 Uri”字段中,输入 Azure Key Vault 的地址。这是
https://<vault_name>.vault.azure.net/
。 -
在“目录 ID”字段中,输入在 Azure 门户中找到的目录 ID。
-
在“客户端 ID”字段中,输入在其中注册了 Orchestrator 应用程序的 Azure AD“应用注册”部分中的应用程序 ID。
-
在“客户端密码”字段中,输入对上一步中输入的客户端帐户进行身份验证所需的密码。
-
单击创建。新的凭据存储已准备就绪,可以使用。
- 在“类型”字段中,选择“HashiCorp 保险库”或“HashiCorp 保险库 (只读)”作为您的凭据存储。
- 在“名称”字段中,指定 HashiCorp 保险库凭据存储的名称。
- 在“保险库 Uri”字段中,指定 HashiCorp 保险库的 HTTP API 的 URI。
-
在“身份验证类型”字段中,指明您的首选身份验证方法。根据您选择的选项,您必须配置其他字段:
-
AppRole – 这是推荐的身份验证方法。如果选择此选项,请确保同时配置以下字段:
- 角色 ID – 指明要与 AppRole 身份验证方法一起使用的角色 ID
- 密码 ID – 输入要与 AppRole 身份验证类型一起使用的密码 ID。
-
用户名密码 – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 输入要与“用户名密码”一起使用的用户名。
- 密码 – 指明要与“用户名密码”身份验证类型一起使用的密码。
-
LDAP – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 指定要与 LDAP 身份验证类型一起使用的用户名。
- 密码 – 指明要与 LDAP 身份验证类型一起使用的密码。
-
令牌 – 如果选择此选项,请确保同时配置以下字段:
- 令牌 – 输入要与“令牌”身份验证类型一起使用的令牌。
- 在“密码引擎”字段中,指定要使用的密码引擎。您的选项包括:
- KeyValueV1
- KeyValueV2
- Active Directory
-
- 在“密码引擎装载路径”字段中,提供密码引擎的路径。如果未提供,则对于 KeyValueV1,默认为
kv
,对于 KeyValueV2,默认为kv-v2
,对于 ActiveDirectory,默认为ad
。 - 在“数据路径”字段中,输入要用于所有存储的密码的路径前缀。
- 在“命名空间”字段中,指定要使用的命名空间。仅在 HashiCorp 保险库企业版中可用。
-
单击创建。新的凭据存储已准备就绪,可以使用。
-
在“类型”字段中,选择以下选项之一:
- BeyondTrust 密码保险箱 - 托管帐户
- BeyondTrust 密码保险箱 - 团队密码
- 在“名称”字段中,指定 BeyondTrust 凭据存储的名称。
- 在“BeyondTrust 主机 URL”字段中,指定密码服务器实例的 URL。
- 在“API 注册密钥”字段中,指定来自 BeyondTrust 的 API 注册密钥的值。
-
在“API 用户名运行身份”字段中,指定要用于执行调用的 BeyondTrust 用户名。
如果您选择的是“BeyondTrust 密码保险箱 - 托管帐户”,请继续执行以下步骤:
- (可选)在“默认托管系统名称”字段中,指明由 BeyondTrust 密码保险箱管理的系统名称。如果 Orchestrator 资产的“外部名称”字段不包含“系统名称”前缀,则此字段将用作回退“系统名称”。
- 在“系统-帐户分隔符”字段中,指定用于在 Orchestrator 资产中拆分托管系统名称和托管帐户名称的分隔符。
- 在“管理帐户类型”字段中,选择要从 BeyondTrust 检索的帐户类型:
- “系统”- 返回本地帐户
- “链接的域”- 返回链接到系统的域帐户
- 选择“创建”。新的凭据存储已准备就绪,可以使用。
SystemName
格式指定,或在 Orchestrator 资产的“外部名称”字段中以 SystemName/AccountName
格式指定。
如果您选择的是“BeyondTrust 密码保险箱 - 团队密码”,请继续执行以下步骤:
-
(可选)在“文件夹路径前缀”字段中,指定默认的文件夹路径前缀。这将添加到所有 Orchestrator 资产值之前。
- 在“文件夹/帐户分隔符”字段中,输入用于在 Orchestrator 资产中从标题拆分路径的分隔符。
-
选择“创建”。新的凭据存储已准备就绪,可以使用。
- 在“类型”字段中,选择“Thycotic Secret Server”。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“Secret Server URL”字段中,指定密码服务器实例的 URL。
- 在“规则名称”字段中,提供客户端引导规则名称。
- (可选)在“规则键”字段中,指定引导规则中的键。虽然此为可选步骤,但我们建议指定规则键以提高安全性。
- 在“用户名字段”字段中,指定 Orchestrator 在从 Thycotic Secret Server 检索资产时将从中提取用户名的“密码模板”字段的缩略名名称。
-
在“密码字段”字段中,指定 Orchestrator 在从 Thycotic 密码服务器检索资产时将从中提取密码的“密码模板”字段的缩略名名称。
注意:您可以在“管理员”>“密码模板”>“模板”>“字段”中找到“密码模板”字段的缩略名名称。
在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与预先存在的密码相绑定。在本例中,此值为 Thycotic Secret Server 的真正密码 ID。
5
。
- 在“类型”字段中,选择“AWS Secrets Manager”或“AWS Secrets Manager(只读)”。
在只读版本和读写版本之间进行选择取决于您的 IAM 策略权限。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“访问密钥”字段中,添加 AWS IAM 用户页面的“安全凭证”选项卡上可用的访问密钥 ID。
- 在“密钥”字段中,添加在创建 AWS IAM 用户帐户时提供给您的密钥 ID。
- 在“区域”字段中,添加要存储密码的区域,如 AWS 帐户中所示。
导航到“存储”(“租户”>“凭据”>“存储”),然后从所需存储的“更多操作”菜单中选择“编辑”。显示“编辑凭据存储”对话框。
使用两个或更多凭据存储时,您可以选择用于机器人和资产的默认存储。可以同时将同一个存储用作两者的默认存储,也可以为两者选择不同的默认存储。
要选择默认存储,请从“更多操作”菜单中选择“设置为机器人默认存储”和/或“设置为资产默认存储”。
更改默认存储不会更改现有机器人或资产配置,它仅控制在创建新机器人或资产时在“凭据存储”下拉列表中预选的内容。机器人和资产始终从创建它们时使用的存储获取密码。要更改特定机器人或资产的凭据存储,您必须在机器人或资产级别进行更改。