Orchestrator 用户指南
集成凭证存储
在开始在 Orchestrator 中使用 CyberArk® 凭据存储之前,必须首先在 CyberArk® PVWA (Password Vault Web Access) 界面中设置相应的应用程序和安全设置。
- CyberArk® Enterprise Password Vault 必须安装在可以直接与安装了 Orchestrator 的计算机通信的计算机上。
-
CyberArk® AAM (Application Access Manager) 必须与 Orchestrator 安装在同一台计算机上。对于多节点 Orchestrator 配置,必须在每个 Orchestrator 节点上安装一个 AAM 实例。
有关安装和配置 CyberArk® 应用程序的更多信息,请访问其官方页面。
需要保险箱来帮助您更好地管理帐户。另外,您可以添加安全成员以确保适当的授权。CyberArk® 建议添加凭据提供者(对凭据具有完全权限的用户可以添加和管理凭据提供者)和以前创建的应用程序作为安全成员。后者使 Orchestrator 可以查找和检索存储在保险箱中的密码。
您的集成已经完成,您可以开始在 Orchestrator 中配置 CyberArk® 凭据存储。有关存储机器人凭据的详细信息,请参见此处。
中央凭据提供程序 (CCP) 是用于与 CyberArk 集成的无代理方法,允许 UiPath™ 从保险库安全地检索凭据,而无需在服务器上部署代理。客户证书对于确保安全检索凭据是必需的。
在开始在 Orchestrator 中使用 CyberArk® CCP 凭据存储之前,必须首先在 CyberArk® PVWA (Password Vault Web Access) 界面中设置相应的应用程序和安全设置。
- 允许 Orchestrator 服务与 CyberArk 服务器之间互连的网络。
- CyberArk® 中央凭据提供程序必须安装在允许 HTTP 连接的计算机上。
- CyberArk® Enterprise Password Vault
有关安装和配置 CyberArk® 应用程序的更多信息,请访问其官方页面。
不支持将 CyberArk® AAM 作为开箱即用的解决方案,但我们确实提供了替代方案:Orchestrator Credentials Proxy。 此工具允许您通过代理而不是直接连接 Orchestrator 和所选的凭据存储,从而增加了额外的安全性。
Orchestrator Credentials Proxy 专为您可能需要开发和部署自己的凭据存储插件的 Cloud 场景创建。 但是,它也可以在内部部署设置中使用,例如 Automation Suite 。 您需要执行以下操作:
-
在配置了 CyberArk® AAM 客户端的 Windows 计算机上安装代理。您可以在“Orchestrator 凭据代理”部分找到详细信息。
-
将
Features.CredentialStoreHost.Enabled
参数添加到orchestrator-customconfig
配置映射并将其设置为true
。您可以在 Automation Suite 指南的“准备 Orchestrator”部分找到详细信息。 -
按照“管理凭据代理”部分中列出的说明设置代理。
CyberArk™ Conjur Cloud 是一个基于 SaaS 的与云无关的密码管理解决方案。它允许组织保护对密码的非人类访问,并消除零密码问题。要在 Orchestrator 中使用 CyberArk™ Conjur Cloud 凭据存储,必须在 CyberArk™ Priilege Cloud 界面中进行相应的安全设置。
-
允许 Orchestrator 计算机与 CyberArk™ 云服务器之间互连的网络。
-
有权创建用户和创建保险箱的 CyberArk™ Privilege Cloud 用户。
-
CyberArk™ Privillee Cloud 用户,拥有所需保险箱的权限,并能够创建工作负载。
有关配置 CyberArk® Cloud 应用程序的更多信息,请访问其官方文档。
Azure 密钥保险库是一个插件,可用作 Orchestrator 的凭据存储。
包含两个插件:
- Azure 密钥保险库 – 读写插件(通过 Orchestrator 创建密码)
- Azure 密钥保险库(只读) – 只读插件(必须直接在保险库中配置密码)
在 Azure 门户的应用程序注册窗格中,按照以下步骤操作:
- 创建一个新的应用注册。
- 复制应用程序(客户端)ID,以供以后使用。
- 转到管理 > 证书和密码 > 新建客户端密码,然后添加新的客户端密码。记下您选择的过期时间,并在此之前创建一个新密码。
- 复制密码的值以备后用。
在 Azure 密钥保管库中,请按照以下步骤操作:
- 访问密钥保险库的概述页面,并复制保险库 URI 和目录 ID 以供以后使用。
- 从左侧菜单中选择设置 > 访问策略。
- 单击“添加访问策略”。
所需的访问策略权限为
Secret Get
和Secret Set
。 - 从模板配置(可选)下拉菜单中,选择密码管理。
- 单击“未授权的应用程序”部分中的“未选择”,以启用“选择主体”字段。
- 输入应用程序注册名称,确认应用程序 ID 正确,然后选择此主体。
- 单击“添加”。
- 单击“保存”。
现在,您可以使用保险库 URI、目录 ID、应用程序(客户端)ID 和密码的值来配置新的凭据存储。
使用 Azure 密钥保管库(只读)
使用 Azure Key Vault(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容:
HashiCorp 保险库是一个插件,您可以将其用作 Orchestrator 的凭据存储。
包含两个插件:
- HashiCorp 保险库 – 读写插件(通过 Orchestrator 创建密码)
- HashiCorp 保险库(只读) – 只读插件(必须直接在保险库中配置密码)
-
允许 Orchestrator 服务和 HashiCorp 保险库服务器之间互连的网络:
- HashiCorp 保险库用于 API 请求的 API 端口必须通过任何防火墙打开,并且可以从互联网访问。 在典型安装中,该端口为
8200
。 - 如果客户的防火墙不允许来自任何互联网 IP 的连接,则必须将 Orchestrator 的 IP 地址列入白名单。
- HashiCorp 保险库用于 API 请求的 API 端口必须通过任何防火墙打开,并且可以从互联网访问。 在典型安装中,该端口为
-
您必须配置其中一种受支持的身份验证方法:
- AppRole(推荐)
- 用户名密码
- LDAP
- 令牌
了解如何配置身份验证。
-
您必须配置其中一个受支持的密码引擎:
- KeyValueV1 - 可用于 HashiCorp 保险库和 HashiCorp 保险库(只读)
- KeyValueV2 - 可用于 HashiCorp 保险库和 HashiCorp 保险库(只读)
- ActiveDirectory - 仅适用于 HashiCorp 保险库(只读)
-
OpenLDAP - 仅适用于 HashiCorp 保险库(只读)
-
所选的身份验证方法必须具有允许在您计划存储密码的路径上使用以下功能的策略:
- 对于 HashiCorp 保险库(只读)插件:
read
- 对于 HashiCorp 保险库插件:如果使用
KeyValueV2
密码引擎,则元数据路径上的create
、read
、update
、delete
和可选的delete
。
- 对于 HashiCorp 保险库(只读)插件:
以下示例说明了如何配置在 Docker 容器中运行的 HashiCorp 保险库开发版本,以将其用作 Orchestrator 的凭据存储。这些示例应适合您自己的环境。详情请参阅 HashiCorp Vault 的官方文档。
配置身份验证
要开始创建和读取密码,您首先需要通过以下步骤配置身份验证方法:
此命令的输出:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
您还可以通过运行以下命令来启用 appRole Orchestrator:
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
现在,您将拥有可在 Orchestrator 中进行配置的角色 ID 和密码 ID。
配置 Active Directory 密码引擎
要配置 Active Directory 密码引擎,请执行以下步骤:
使用 HashiCorp 保险库(只读)
使用 HashiCorp 保险库(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容:
BeyondTrust 集成是只读的,有两个插件可供您选择:BeyondTrust 密码保险箱 - 托管帐户和 BeyondTrust 密码保险箱 - 团队密码。
虽然“BeyondTrust 密码保险箱 - 托管帐户”解决了拥有本地或 Active Directory 帐户的组织的需求,但“BeyondTrust 密码保险箱 - 团队密码”适用于必须将小组凭据存储在隔离环境中的情况。
这两个插件的配置大致相同,但也存在一些细微差别。此页面涵盖这两个插件的介绍。
请务必通读 Delinea 文档以获取最新信息。
- 登录到您的 Secret Server 帐户。
- 转到“管理员”>“用户管理”,然后单击“创建用户”。选中“应用程序帐户”复选框以生成应用程序帐户。
- 导航到“ 管理员 ” > “查看全部” >“ 工具和集成 ” >“ SDK 客户端管理 ”,然后在“ 客户端引导”中设置新的引导规则。 记下载入规则名称和密钥。
- 编辑引导规则并分配在步骤 2 中创建的应用程序帐户。
- 确保链接到引导规则的应用程序帐户有权访问 Orchestrator 访问的密码。您可以将应用程序帐户分配给一个组,并授予该组访问所需文件夹的权限,或授予该组对密码的显式访问权限。
AWS Secrets Manager 是一个可在 Orchestrator 中用作凭据存储的工具。
它具有两个插件:
- AWS Secrets Manager
- AWS Secrets Manager(只读)
您可以使用的插件(即只读或读写)取决于您的 AWS Identity and Access Management (IAM) 策略权限。
如果您选择使用只读插件,则必须将资产链接到 AWS Secrets Manager 中已提供的一组凭证。
要将 AWS Secrets Manager 与 Orchestrator 集成,您需要创建 AWS IAM 帐户后生成的访问密钥和密钥。
- 可以在 AWS IAM 帐户的“安全凭证”选项卡上找到访问密钥 ID。
-
仅在创建帐户后系统才会提供密钥 ID。因此,复制该 ID 以备将来使用非常重要。
如果您忘记了密钥 ID,则需要创建另一个访问密钥,然后替换 Orchestrator 中的必要信息。
除此之外,您还需要检查在 AWS 帐户中设置的区域,因为这是您在配置新凭据存储时将在“区域”字段中输入的内容。
使用 AWS Secrets Manager(只读)插件时,管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容:
- CyberArk® 集成
- 先决条件
- 创建 Orchestrator 应用程序
- 创建 Orchestrator 保险箱
- CyberArk® CCP integration
- 先决条件
- 创建 Orchestrator 应用程序
- 创建 Orchestrator 保险箱
- CyberArk® AAM 替代方案
- CyberArk™ Conjur Cloud(只读)
- 先决条件
- 创建用于存储凭据的 Orchestrator 保险箱
- 创建帐户和工作负载以访问凭据
- Azure Key Vault integration
- 先决条件
- 配置
- HashiCorp 保险库集成
- 先决条件
- 配置集成
- BeyondTrust 集成
- 先决条件
- 配置集成
- Thycotic Secret Server integration
- 先决条件
- 配置集成
- AWS Secrets Manager 集成
- 关于 AWS Secrets Manager
- 先决条件
- 配置
- 使用 AWS Secrets Manager(只读)