Orchestrator 用户指南
管理凭据存储
创建凭据存储
-
在“凭据”页面的“存储”部分中,单击“添加凭据存储” 。系统将显示“添加凭据存储”对话框。
-
从“类型”下拉列表中,选择要使用的安全存储。
-
后续步骤将因您要创建的凭据存储而异。您的选项包括:
- Orchestrator 数据库
备注:您只能拥有一个 Orchestrator 数据库存储。
- CyberArk
- Azure 密钥保险库 – 在 Azure 密钥保险库和 Azure 密钥保险库(只读)之间进行选择
- HashiCorp 保险库 – 在 HashiCorp 保险库和 HashiCorp(只读)之间进行选择
- BeyondTrust – 在 BeyondTrust 密码保险箱 - 托管帐户和 BeyondTrust 密码保险箱 - 团队密码之间进行选择
- Thycotic Secret Server
- AWS Secrets Manager – 在AWS Secrets Manager和AWS Secrets Manager 之间选择(只读)
Orchestrator 数据库
单击“创建”,Orchestrator 数据库存储没有任何可配置的属性。
CyberArk CCP
使用相同的应用程序 ID、安全和文件夹名称在多个租户中配置 CyberArk® 存储,这将允许跨租户访问存储的凭据。为了维持租户级别的安全性和隔离性,请确保为每个租户的 CyberArk 存储使用不同的配置。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“应用程序 ID”字段中,在 CyberArk PVWA(密码保险库网页访问权限)界面中输入 Orchestrator 实例的应用程序 ID。
- 在“CyberArk 保险箱”字段中,输入在 CyberArk PVWA 中定义的保险箱名称。有关详细信息,请参阅此处。
- 在“CyberArk 文件夹”字段中,输入 CyberArk 存储您的凭据的位置。
- 在“中央证书提供者 URL”字段中,输入“中央证书提供者”的地址。
- 在“网页服务名称”字段中,输入中央凭据提供程序网页服务的名称。如果将此字段留空,则使用默认名称:AIMWebService。
- 当 CyberArk 应用程序使用 客户端证书身份验证方法 时,需要配置 客户端证书 。预期输入为
.pfx文件,该文件存储了证书的私钥和公钥。需要在部署了 CyberArk CCP AIMWebservice 的计算机上安装客户端证书。备注:客户端证书由 CyberArk 提供的凭据用于对 Orchestrator 凭据存储中定义的应用程序进行身份验证。客户端证书是 PKCS12 二进制格式的文件,用于存储证书链公钥和私钥。CyberArk CCP 使用 2048 位证书密钥。如果客户端证书以 Base 64 编码,则运行以下
certutil命令以二进制格式对其进行解码:certutil -decode client_certificate_encoded.pfx client_certificate.pfx - 在“客户端证书密码”字段中,输入客户端证书的密码。
- 当 CyberArk CCP AIMWebService 使用自签名根 CA 证书处理传入的 HTTP 请求时,需要配置服务器根证书。这一证书用于 HTTPS TLS 握手证书链验证。预期的输入是存储根 CA 证书公钥的
.crt或.cer文件。 - 仅当应用程序配置值
Plugins.SecureStores.CyberArkCCP.EnableOsUserAuthentication设置为true时, “允许操作系统用户身份验证”选项才可见。该选项允许使用当前登录到 Orchestrator 计算机的用户的凭据进行身份验证。
在 IIS 中为 Orchestrator 和 CyberArk 进行必要的更改,确保建立合适的基础架构。如需有关“允许操作系统用户身份验证”选项的更多支持,请联系 CyberArk。如需对插件进行任何其他修改,请联系我们的支持团队。::: 12. 单击“创建” 。新的凭据存储已准备就绪,可以使用。
Azure 密钥保管库
密钥保险库凭据存储使用RBAC类型身份验证。创建服务主体后,请执行以下步骤:
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“密钥保管库 Uri”字段中,输入 Azure 密钥保管库的地址。该地址是
https://<vault_name>.vault.azure.net/。 - 在“目录 ID”字段中,输入在 Azure 门户中找到的目录 ID。
图 1. 目录 ID
- 在“客户端 ID”字段中,输入在其中注册了 Orchestrator 应用程序的 Azure AD“应用注册”部分中的应用程序 ID。
- 在“客户端密码”字段中,输入对上一步中输入的客户端帐户进行身份验证所需的密码。
- 选择“创建” 。新的凭据存储已准备就绪,可以使用。
图 2. “添加凭据存储”页面
从公共云以外的云访问 Azure 密钥保管库时,必须将环境变量AZURE_AUTHORITY_HOST设置为相应的值(即"AZURE_AUTHORITY_HOST": "https://login.microsoftonline.us/" )。有关值的更多详细信息,请查看 [Microsoft Entra 身份验证和国家云
HashiCorp 保险库
- 在“类型”字段中,选择 HashiCorp 保险库或 HashiCorp 保险库(只读)作为您的凭据存储。
- 在“名称”字段中,指定 HashiCorp 保险库凭据存储的名称。
- 在“保险库 Uri”字段中,指定 HashiCorp 保险库的 HTTP API 的 URI。
- 在“身份验证类型”字段中,指明您的首选身份验证方法。根据您选择的选项,您必须配置其他字段:
- AppRole – 这是推荐的身份验证方法。如果选择此选项,请确保同时配置以下字段:
- 角色 ID – 指明要与 AppRole 身份验证方法一起使用的角色 ID
- 密码 ID – 输入要与 AppRole 身份验证类型一起使用的密码 ID。
- 用户名密码 – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 输入要与“用户名密码”一起使用的用户名。
- 密码 – 指明要与“用户名密码”身份验证类型一起使用的密码。
- LDAP – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 指定要与 LDAP 身份验证类型一起使用的用户名。
- 密码 – 指明要与 LDAP 身份验证类型一起使用的密码。
- 令牌 – 如果选择此选项,请确保同时配置以下字段:
- 令牌 – 输入要与“令牌”身份验证类型一起使用的令牌。
- 在“密码引擎”字段中,选择要使用的密码引擎。您的选项包括:
- KeyValueV1
- KeyValueV2
- Active Directory
- OpenLDAP
- AppRole – 这是推荐的身份验证方法。如果选择此选项,请确保同时配置以下字段:
- 在“身份验证装载路径”可选字段中,您可以指定自定义装载路径。您可以在两条不同的路径上装载具有两种不同配置的相同身份验证方法。
- 在密码引擎装载路径字段中,提供密码引擎的路径。如果未提供,则对于KeyValueV1 ,默认为
kv,对于KeyValueV2 ,默认为kv-v2,对于ActiveDirectory,默认为ad。 - 在“数据路径”字段中,输入要用于所有存储的密码的路径前缀。
- 在“命名空间”字段中,指定要使用的命名空间。仅在 HashiCorp 保险库企业版中可用。
- 对于“(LDAP) 使用动态凭据”(LDAP)选项,选择“True” (动态)或“False” (静态),以在动态和静态凭据之间切换。默认选项为False 。
- 选择“创建” 。新的凭据存储已准备就绪,可以使用。
图 3. 添加凭据存储
BeyondTrust
- 在“类型”字段中,选择以下选项之一:
- BeyondTrust 密码保险箱 - 托管帐户
- BeyondTrust 密码保险箱 - 团队密码
- 在“名称”字段中,指定 BeyondTrust 凭据存储的名称。
- 在“BeyondTrust 主机 URL”字段中,指定密码服务器实例的 URL。
- 在“API 注册密钥”字段中,指明来自 BeyondTrust 的 API 注册密钥的值。
- 在“API 用户名运行身份”字段中,指定要用于执行调用的 BeyondTrust 用户名。
BeyondTrust 密码保险箱 - 托管帐户
如果您选择了“BeyondTrust 密码保险箱 - 托管帐户” ,请继续执行以下步骤:
- (可选)在“默认托管系统名称”字段中,指明由 BeyondTrust 密码保险箱管理的系统名称。如果 Orchestrator 资产的“外部名称”字段不包含“系统名称”前缀,则此字段将用作回退“系统名称”。
- 在“系统-帐户分隔符”字段中,指定用于在 Orchestrator 资产中拆分托管系统名称和托管帐户名称的分隔符。
- 在“管理帐户类型”字段中,选择要从 BeyondTrust 检索的帐户类型:
- “系统”- 返回本地帐户
- “链接的域”- 返回链接到系统的域帐户
- 选择“创建” 。新的凭据存储已准备就绪,可以使用。
备注:
系统名称必须在凭据存储中以
SystemName格式指定,或在 Orchestrator 资产的“外部名称”字段中以SystemName/AccountName格式指定。
BeyondTrust 密码保险箱 - 团队密码
如果您选择了“BeyondTrust 密码保险箱 - 团队密码” ,请继续执行以下步骤:
- (可选)在“文件夹路径前缀”字段中,指定默认的文件夹路径前缀。这将添加到所有 Orchestrator 资产值之前。
- 在“文件夹/帐户分隔符”字段中,输入用于在 Orchestrator 资产中从标题拆分路径的分隔符。
- 选择“创建” 。新的凭据存储已准备就绪,可以使用。
图 4. 添加凭据存储
Thycotic Secret Server
- 在“类型”字段中,选择“Thycotic Secret Server”。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“Secret Server URL”字段中,指定密码服务器实例的 URL。
- 在“规则名称”字段中,提供客户端引导规则名称。
- (可选)在“规则键”字段中,指明引导规则中的键。虽然此为可选步骤,但我们建议指定规则密钥以提高安全性。
- 在“用户名字段”字段中,指定 Orchestrator 在从 Thycotic Secret Server 检索资产时将从中提取用户名的“密码模板”字段的缩略名名称。
- 在“密码字段”字段中,指定 Orchestrator 在从 Thycotic 密码服务器检索资产时将从中提取密码的“密码模板”字段的缩略名名称。
备注:
您可以在“管理员”>“密码模板”>“模板”>“字段”中找到“密码模板”字段的缩略名名称。
图 5. 添加凭据存储
在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与预先存在的密码相绑定。在本例中,此值为 Thycotic Secret Server 的真正密码 ID。
您可以在路由中找到密码 ID。在以下示例中,其值为 5。
图 6. 密钥 ID
AWS Secrets Manager
- 在“类型”字段中,选择 "AWS Secrets Manager" 或“AWS Secrets Manager(只读)”。选择只读还是读写版本取决于您的 IAM 策略权限。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“访问密钥”字段中,添加 AWS IAM 用户页面的“安全凭证” 选项卡上可用的访问密钥 ID。
- 在“密钥”字段中,添加在创建 AWS IAM 用户账户时提供给您的密钥 ID。
- 选择“使用默认凭据”字段 - 可用选项如下:
- “True” – 如果选中,则使用为计算机分配的 IAM 角色,并且“访问密钥”和“密钥”字段应留空。
- “False” – 如果选中,则您需要自己输入“访问密钥”和“密钥” 。
- 在“区域” 字段中,添加您希望存储密码的区域,如您的 AWS 账户中所示。
图 7. 添加凭据存储
编辑凭据存储
导航到“存储(租户)> “凭据” > “存储” ),然后从所需存储的“更多操作”菜单中选择“编辑” 。显示“编辑凭据存储”对话框。
Orchestrator 数据库存储没有任何可编辑的属性。
设置默认凭据存储
使用两个或更多凭据存储时,您可以选择用于机器人和资产的默认存储。可以同时将同一个存储用作两者的默认存储,也可以为两者选择不同的默认存储。
要选择默认存储,请从“更多操作”菜单中选择“设置为机器人默认存储”和/或“设置为资产默认存储”。
更改默认存储不会更改现有机器人或资产配置,它仅控制在创建新机器人或资产时在“凭据存储”下拉列表中预选的内容。机器人和资产始终从创建它们时使用的存储获取密码。要更改特定机器人或资产的凭据存储,您必须在机器人或资产级别进行更改。
删除凭据存储
要删除凭据存储,请从所需存储的“更多操作”菜单中选择“删除”。
如果所选存储正在使用,将出现一个警告对话框,列出将受影响的机器人和资产的数量。单击“删除”以确认删除,或单击“取消”中止。请注意,您必须始终至少有一个凭据存储处于活动状态。如果仅存在一个凭据存储,则不会出现对应的删除选项。
指定为默认的凭据存储无法删除。您必须首先针对凭证类型选择其他默认存储。