orchestrator
2023.10
false
UiPath logo, featuring letters U and I in white
Orchestrator 用户指南
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年10月17日

集成凭证存储

CyberArk® CCP integration

中央凭据提供程序 (CCP) 是用于与 CyberArk 集成的无代理方法,允许 UiPath™ 从保险库安全地检索凭据,而无需在服务器上部署代理。客户证书对于确保安全检索凭据是必需的。

在开始在 Orchestrator 中使用 CyberArk® CCP 凭据存储之前,必须首先在 CyberArk® PVWA (Password Vault Web Access) 界面中设置相应的应用程序和安全设置。

先决条件

  • 允许 Orchestrator 服务与 CyberArk 服务器之间互连的网络。
  • CyberArk® 中央凭据提供程序必须安装在允许 HTTP 连接的计算机上。
  • CyberArk® Enterprise Password Vault

有关安装和配置 CyberArk® 应用程序的更多信息,请访问其官方页面

配置集成

创建 Orchestrator 应用程序

  1. 在 CyberArk® 的 PVWA 中,以具有管理应用程序权限的用户身份登录(需要“管理用户”授权)。
  2. 在“应用程序”选项卡中,单击“添加应用程序”。显示“添加应用程序”窗口。


  3. 在“添加应用程序”窗口上,指定以下信息:
    • “名称”字段 - 应用程序的自定义名称,例如 Orchestrator。
    • “说明”- 简短说明,可帮助您指定新应用程序的用途。
    • 位置 - 保险库层次结构中应用程序的路径。如果未指定位置,则将应用程序添加到与创建此应用程序的用户相同的位置。



  4. 单击“添加”。该应用程序已添加,其详细信息显示在“应用程序详细信息”页面上
  5. 选择“允许扩展身份验证限制”复选框。

    支持的身份验证方法

    • 允许的计算机
    • 操作系统用户
    • 客户端证书 - 用于 CyberArk 身份验证的客户端证书应至少为 2048 位
  6. 配置身份验证方法。例如,在身份验证选项卡中,单击添加>证书序列号,然后添加客户端证书的唯一标识符,该标识符用于根据 CCP 对请求的应用程序进行身份验证。


创建 Orchestrator 保险箱

需要保险箱来帮助您更好地管理帐户。另外,您可以添加安全成员以确保适当的授权。CyberArk® 建议添加凭据提供者(对凭据具有完全权限的用户可以添加和管理凭据提供者)和以前创建的应用程序作为安全成员。后者使 Orchestrator 可以查找和检索存储在保险箱中的密码。

  1. 在“策略”选项卡的“访问控制(保险箱)”部分下,单击“添加保险箱”。系统显示“添加保险箱”页面。


  2. 填写“保险箱名称”字段和“说明”字段字段。
  3. 单击保存。系统将显示保险箱详细信息窗口。


  4. 成员部分中,单击添加成员系统将显示添加保险箱成员窗口。


  5. 搜索先前创建的应用程序(步骤 2-6),并为其选择以下权限:
    • 查看保险箱成员
    • 检索账户
    • 列出帐户
    • 无需确认即可访问保险箱 - 仅在使用双重控制环境和 v7.2 或更低版本的 PIM-PSM 时。

      如果您为此集成安装了多个凭据提供程序,建议为它们创建一个组,将该组添加到保险箱,并为其授予上述权限。



  6. 单击“添加”。您的集成已经完成,您可以开始在 Orchestrator 中配置 CyberArk® 凭据存储。有关存储机器人凭据的详细信息,请参见此处

CyberArk® AAM 替代方案

重要提示:我们不推荐此解决方案,并且建议仅将其用作迁移到 CyberArk® CCP 期间的临时解决方法。

不支持将 CyberArk® AAM 作为开箱即用的解决方案,但我们确实提供了替代方案:Orchestrator Credentials Proxy。 此工具允许您通过代理而不是直接连接 Orchestrator 和所选的凭据存储,从而增加了额外的安全性。

Orchestrator Credentials Proxy 专为您可能需要开发和部署自己的凭据存储插件的 Cloud 场景创建。 但是,它也可以在内部部署设置中使用,例如 Automation Suite 。 您需要执行以下操作:

  1. 在配置了 CyberArk® AAM 客户端的 Windows 计算机上安装代理。您可以在“Orchestrator 凭据代理”部分找到详细信息。

  2. Features.CredentialStoreHost.Enabled 参数添加到 orchestrator-customconfig 配置映射并将其设置为 true。您可以在 Automation Suite 指南的“准备 Orchestrator”部分找到详细信息。
  3. 按照“管理凭据代理”部分中列出的说明设置代理。

Azure Key Vault integration

Azure 密钥保险库是一个插件,可用作 Orchestrator 的凭据存储。

包含两个插件:

  • Azure 密钥保险库 – 读写插件(通过 Orchestrator 创建密码)
  • Azure 密钥保险库(只读) – 只读插件(必须直接在保险库中配置密码)

先决条件

  • Azure 密钥保险库凭据存储使用 RBAC 身份验证。Azure 密钥保险库需要密钥保险库密码管理员角色,而 Azure 密钥保险库(只读)需要密钥保险库密码用户角色。
  • 密钥保险库插件在 Orchestrator UiPath.Orchestrator.dll.config 文件中设计,如密码保险库部分所述。
  • 在您的 Azure 帐户中创建要与 Orchestrator 一起使用的密钥保险库。有关详细信息,请参见此处的 Microsoft 官方文档。

配置

在 Azure 门户的应用程序注册窗格中,按照以下步骤操作:

  1. 创建一个新的应用注册。
  2. 复制应用程序(客户端)ID,以供以后使用。
  3. 转到管理 > 证书和密码 > 新建客户端密码,然后添加新的客户端密码。记下您选择的过期时间,并在此之前创建一个新密码。
  4. 复制密码的以备后用。

在 Azure 密钥保管库中,请按照以下步骤操作:

  1. 访问密钥保险库的概述页面,并复制保险库 URI目录 ID 以供以后使用。
  2. 从左侧菜单中选择设置 > 访问策略
  3. 单击“添加访问策略”
    所需的访问策略权限为 Secret GetSecret Set
  4. 模板配置(可选)下拉菜单中,选择密码管理
  5. 单击“未授权的应用程序”部分中的“未选择”,以启用“选择主体”字段。
  6. 输入应用程序注册名称,确认应用程序 ID 正确,然后选择此主体。
  7. 单击“添加”
  8. 单击“保存”

现在,您可以使用保险库 URI目录 ID应用程序(客户端)ID 和密码的来配置新的凭据存储。

使用 Azure 密钥保管库(只读)

使用 Azure Key Vault(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。

有关如何配置密码的说明,请参阅以下内容:

HashiCorp 保险库集成

HashiCorp 保险库是一个插件,您可以将其用作 Orchestrator 的凭据存储。

包含两个插件:

  • HashiCorp 保险库 – 读写插件(通过 Orchestrator 创建密码)
  • HashiCorp 保险库(只读) – 只读插件(必须直接在保险库中配置密码)

先决条件

  • 允许 Orchestrator 服务和 HashiCorp 保险库服务器之间互连的网络:

    • HashiCorp 保险库用于 API 请求的 API 端口必须通过任何防火墙打开,并且可以从互联网访问。 在典型安装中,该端口为8200
    • 如果客户的防火墙不允许来自任何互联网 IP 的连接,则必须将 Orchestrator 的 IP 地址列入白名单。
  • 您必须配置其中一种受支持的身份验证方法:

  • 您必须配置其中一个受支持的密码引擎:

    • KeyValueV1 - 可用于 HashiCorp 保险库和 HashiCorp 保险库(只读)
    • KeyValueV2 - 可用于 HashiCorp 保险库和 HashiCorp 保险库(只读)
    • ActiveDirectory - 仅适用于 HashiCorp 保险库(只读)
    • OpenLDAP - 仅适用于 HashiCorp 保险库(只读)

  • 所选的身份验证方法必须具有允许在您计划存储密码的路径上使用以下功能的策略:

    • 对于 HashiCorp 保险库(只读)插件:read
    • 对于 HashiCorp 保险库插件:如果使用KeyValueV2密码引擎,则元数据路径上的createreadupdatedelete和可选的delete

配置集成

以下示例说明了如何配置在 Docker 容器中运行的 HashiCorp 保险库开发版本,以将其用作 Orchestrator 的凭据存储。这些示例应适合您自己的环境。详情请参阅 HashiCorp Vault 的官方文档

配置身份验证

要开始创建和读取密码,您首先需要通过以下步骤配置身份验证方法:

  1. 打开容器内的 Shell:
    docker exec -it dev-vault shdocker exec -it dev-vault sh
  2. 以根用户身份登录。通过运行以下命令,确保日志中显示了根令牌,以使用该令牌设置环境变量:
    export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1fexport VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
  3. 通过运行以下命令检查保险库状态:
    vault statusvault status
  4. 在 KV 存储中为 Orchestrator 添加虚拟密码:
    vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456vault kv put secret/applications/orchestrator/testSecret supersecretpassword=123456
  5. 向 Orchestrator 授予对新创建的 secret/applications/orchestrator 路径的访问权限。为此,您必须首先通过运行以下命令来创建用于读取和写入此路径及其所有子路径的策略
    cat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "secret/data/applications/orchestrator/*" {
      capabilities = ["create", "read", "update", "delete"]
    }
    path "secret/metadata/applications/orchestrator/*" {
      capabilities = ["delete"]
    }
    EOF
    备注:
    使用 KeyValueV2 密码引擎时,密码在路径 <mount>/data/<secret-path> 中写入和获取,而不是在 KeyValueV1 中的 <mount>/<secret-path>。它不会更改任何 CLI 命令(即,不在路径中指定数据)。
    但是,它确实会更改策略,因为功能已应用于实际路径。 在上一个示例中,路径为secret/data/applications/orchestrator/* ,因为我们使用的是 KeyValueV2 密码引擎。 如果使用了 KeyValueV1,则路径为secret/applications/orchestrator/*

    仅当您要确保 Orchestrator 在验证连接性时不会留下测试密钥时,才需要在元数据路径上使用删除功能。如果未授予此功能,则在 Orchestrator 中创建凭据存储时将创建并保留一个密钥。

  6. 使用 userpass 身份验证方法启用身份验证,然后为 Orchestrator 创建用户并分配先前创建的策略:
    vault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policyvault auth enable userpass
    vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
    注意:Orchestrator 支持多种身份验证模式。有关如何配置它们,请参阅 HashiCorp 保险库文档我们的文档
  7. 登录并尝试读取之前创建的密码,以检查您是否已正确配置所有内容:
    vault login -method=userpass username=orchestrator password=123456vault login -method=userpass username=orchestrator password=123456

    此命令的输出:

    WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
    over the value set by this command. To use the value set by this command,
    unset the VAULT_TOKEN environment variable or set it to the token displayed
    below.
    Success! You are now authenticated. The token information displayed below
    is already stored in the token helper. You do NOT need to run "vault login"
    again. Future Vault requests will automatically use this token.
    Key                    Value
    ---                    -----
    token                  s.nwombWQH3gGPDhJumRzxKqgI
    token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
    token_duration         768h
    token_renewable        true
    token_policies         ["default" "orchestrator-policy"]
    identity_policies      []
    policies               ["default" "orchestrator-policy"]
    token_meta_username    orchestrator
  8. 获取此令牌并将其设置为根令牌,然后尝试读取测试密码:
    export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecretexport VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
    vault kv get secret/applications/orchestrator/testSecret

此命令的输出:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
备注:

您还可以通过运行以下命令来启用 appRole Orchestrator:

/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id/ # vault auth enable approle 
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy 
/ # vault read auth/approle/role/orchestrator/role-id 
/ # vault write -f auth/approle/role/orchestrator/secret-id

现在,您将拥有可在 Orchestrator 中进行配置的角色 ID 和密码 ID。

配置 Active Directory 密码引擎

要配置 Active Directory 密码引擎,请执行以下步骤:

  1. 通过运行以下命令启用 Active Directory 密码引擎:
    vault secrets enable advault secrets enable ad
  2. 配置 HashiCorp 保险库用于与 Active Directory 通信以生成密码的凭据:
    vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'vault write ad/config \
        binddn=$USERNAME \
        bindpass=$PASSWORD \
        url=ldaps://138.91.247.105 \
        userdn='dc=example,dc=com'
  3. 配置将 HashiCorp 保险库中的名称映射到 Active Directory 中的帐户的角色。当应用程序请求密码时,密码轮换设置将由此角色管理。
    vault write ad/roles/orchestrator service_account_name="my-application@example.com"vault write ad/roles/orchestrator service_account_name="my-application@example.com"
  4. 使用身份验证方法(例如 AppRole)授予 orchestrator 访问其 ad/creds/orchestrator 凭据的权限。
    cat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOFcat <<EOF | vault policy write orchestrator-policy -
    path "ad/creds/orchestrator" {
      capabilities = ["read"]
    }
    EOF

使用 HashiCorp 保险库(只读)

使用 HashiCorp 保险库(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。

有关如何配置密码的说明,请参阅以下内容:

BeyondTrust 集成

BeyondTrust 集成是只读的,有两个插件可供您选择:BeyondTrust 密码保险箱 - 托管帐户BeyondTrust 密码保险箱 - 团队密码

虽然“BeyondTrust 密码保险箱 - 托管帐户”解决了拥有本地或 Active Directory 帐户的组织的需求,但“BeyondTrust 密码保险箱 - 团队密码”适用于必须将小组凭据存储在隔离环境中的情况。

这两个插件的配置大致相同,但也存在一些细微差别。此页面涵盖这两个插件的介绍。

先决条件

  • BeyondTrust Server Cloud 实例或类似的内部部署安装
  • Beyond Insight 凭据

配置集成

  1. 使用您的 Beyond Insight 凭据登录到 BeyondTrust Server Cloud 实例或类似的内部部署安装。
  2. 为 UiPath 服务帐户组创建 API 注册


  3. 创建身份验证规则以允许来自 UiPath 的传入 API 连接。


  4. 为 UiPath 服务帐户创建新的组并添加以下功能:
    • 密码保险箱帐户
    • 密码保险箱角色



  5. 您还需要分配智能规则
    • 托管帐户/只读/请求者足以满足常规用户请求
    • 对于 ISA 访问,需要资产/ISA 角色。



  6. API 注册添加到组中。


  7. 创建一个新用户并分配 UiPath 组。


  8. 以下步骤因您使用的是“BeyondTrust 密码保险箱 - 托管帐户”还是“BeyondTrust 密码保险箱 - 团队密码”而异。

BeyondTrust 密码保险箱 - 托管帐户

如果您使用的是“BeyondTrust 密码保险箱 - 托管帐户”,请继续执行以下步骤:

  1. 托管系统下添加您的托管帐户。

  2. 请确保为您的托管帐户 启用 API



BeyondTrust 密码保险箱 - 团队密码

如果您使用的是“BeyondTrust 密码保险箱 - 团队密码”,请继续执行以下步骤:

  1. 转到“团队密码”页面。

  2. (可选)创建新文件夹

  3. 选择一个文件夹
  4. 使用“创建新凭据”选项。

Thycotic Secret Server integration

注意: 由于合并,Thycotic 已 更名为 Delinea 。 在配置凭据存储集成时,请记住这一点。

先决条件

  • Thycotic Secret Server 云实例或内部部署安装。

配置集成

重要提示:

请务必通读 Delinea 文档以获取最新信息。

  1. 登录到您的 Secret Server 帐户。
  2. 转到“管理员”>“用户管理”,然后单击“创建用户”。选中“应用程序帐户”复选框以生成应用程序帐户。
  3. 导航到“ 管理员 ” > “查看全部” >“ 工具和集成 ” >“ SDK 客户端管理 ”,然后在“ 客户端引导”中设置新的引导规则。 记下载入规则名称和密钥。
  4. 编辑引导规则并分配在步骤 2 中创建的应用程序帐户。
  5. 确保链接到引导规则的应用程序帐户有权访问 Orchestrator 访问的密码。您可以将应用程序帐户分配给一个组,并授予该组访问所需文件夹的权限,或授予该组对密码的显式访问权限。

AWS Secrets Manager 集成

关于 AWS Secrets Manager

AWS Secrets Manager 是一个可在 Orchestrator 中用作凭据存储的工具。

它具有两个插件:

  • AWS Secrets Manager
  • AWS Secrets Manager(只读)

您可以使用的插件(即只读或读写)取决于您的 AWS Identity and Access Management (IAM) 策略权限。

如果您选择使用只读插件,则必须将资产链接到 AWS Secrets Manager 中已提供的一组凭证。

先决条件

要使用此服务:

  • 您需要订阅 AWS。
  • 您需要创建特定于 Secrets Manager 的 IAM 策略,并将其分配给账户的 IAM 角色或用户。

配置

要将 AWS Secrets Manager 与 Orchestrator 集成,您需要创建 AWS IAM 帐户后生成的访问密钥和密钥。

  • 可以在 AWS IAM 帐户的“安全凭证”选项卡上找到访问密钥 ID
  • 仅在创建帐户后系统才会提供密钥 ID。因此,复制该 ID 以备将来使用非常重要。

    如果您忘记了密钥 ID,则需要创建另一个访问密钥,然后替换 Orchestrator 中的必要信息。

除此之外,您还需要检查在 AWS 帐户中设置的区域,因为这是您在配置新凭据存储时将在“区域”字段中输入的内容。

使用 AWS Secrets Manager(只读)

使用 AWS Secrets Manager(只读)插件时,管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。

有关如何配置密码的说明,请参阅以下内容:

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。