管理凭据存储
Orchestrator 数据库
- 单击“创建”,Orchestrator 数据库存储没有任何可配置的属性。
CyberArk
- 在“名称”字段中,键入新的凭据存储的名称。
- 在应用程序 ID字段中,从 CyberArk® PVWA (Password Vault Web Access) 界面输入 Orchestrator 实例的应用程序 ID。有关详细信息,请参阅此处。
- 在CyberArk 保险箱字段中,输入在 CyberArk® PVWA 中定义的保险箱名称。有关详细信息,请参阅此处。
- 在“CyberArk 文件夹”字段中,输入 CyberArk® 存储您的凭据的位置。
-
单击创建。新的凭据存储已准备就绪,可以使用。
CyberArk CCP
- 在“名称”字段中,键入新的凭据存储的名称。
- 在应用程序 ID字段中,从 CyberArk® PVWA (Password Vault Web Access) 界面输入 Orchestrator 实例的应用程序 ID。有关详细信息,请参阅此处。
- 在“CyberArk Safe”字段中,输入在 CyberArk® PVWA 中定义的保险箱名称。有关详细信息,请参阅此处。
- 在“CyberArk 文件夹”字段中,输入 CyberArk® 存储您的凭据的位置。
- 在“中央证书提供者 URL”字段中,输入“中央证书提供者”的地址。
-
在网页服务名称字段中,输入中央凭据提供程序网页服务的名称。如果将此字段留空,则使用默认名称:AIMWebService。
-
当 CyberArk 应用程序使用客户端 证书 身份验证方法时,需要配置客户端证书。 预期的输入是
.pfx
文件,该文件存储证书的私钥和公钥。 客户端证书需要安装在部署了 CyberArk CCP AIMWeb 服务的计算机上。备注:客户端证书由 CyberArk 提供的凭据用于对 Orchestrator 凭据存储中定义的应用程序进行身份验证。有关应用程序身份验证方法的详细信息,请参阅 CyberArk 官方文档。
客户端证书是 PKCS12 二进制格式的文件,用于存储证书链公钥和私钥。
如果客户端证书以 Base 64 编码,则运行以下certutil
命令以二进制格式对其进行解码:certutil -decode client_certificate_encoded.pfx client_certificate.pfx
- 在“客户端证书密码”字段中,输入客户端证书的密码。
- 当 CyberArk CCP AIMWebService 使用自签名根 CA 证书处理传入的 HTTP 请求时,需要配置“服务器根证书”。这一证书用于 HTTPS TLS 握手证书链验证。预期的输入是存储根 CA 证书公钥的
.crt
或.cer
文件。 -
单击创建。新的凭据存储已准备就绪,可以使用。
Azure 密钥保管库
密钥保险库凭据存储使用 RBAC 类型身份验证。创建服务主体后,请执行以下步骤:
-
在“名称”字段中,键入新的凭据存储的名称。
-
在“密钥保管库 Uri”字段中,输入 Azure Key Vault 的地址。这是
https://<vault_name>.vault.azure.net/
。 -
在“目录 ID”字段中,输入在 Azure 门户中找到的目录 ID。
-
在“客户端 ID”字段中,输入在其中注册了 Orchestrator 应用程序的 Azure AD“应用注册”部分中的应用程序 ID。
-
在“客户端密码”字段中,输入对上一步中输入的客户端帐户进行身份验证所需的密码。
-
单击创建。新的凭据存储已准备就绪,可以使用。
HashiCorp 保险库
- 在“类型”字段中,选择“HashiCorp 保险库”或“HashiCorp 保险库 (只读)”作为您的凭据存储。
- 在“名称”字段中,指定 HashiCorp 保险库凭据存储的名称。
- 在“保险库 Uri”字段中,指定 HashiCorp 保险库的 HTTP API 的 URI。
-
在“身份验证类型”字段中,指明您的首选身份验证方法。根据您选择的选项,您必须配置其他字段:
-
AppRole – 这是推荐的身份验证方法。如果选择此选项,请确保同时配置以下字段:
- 角色 ID – 指明要与 AppRole 身份验证方法一起使用的角色 ID
- 密码 ID – 输入要与 AppRole 身份验证类型一起使用的密码 ID。
-
用户名密码 – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 输入要与“用户名密码”一起使用的用户名。
- 密码 – 指明要与“用户名密码”身份验证类型一起使用的密码。
-
LDAP – 如果选择此选项,请确保同时配置以下字段:
- 用户名 – 指定要与 LDAP 身份验证类型一起使用的用户名。
- 密码 – 指明要与 LDAP 身份验证类型一起使用的密码。
-
令牌 – 如果选择此选项,请确保同时配置以下字段:
- 令牌 – 输入要与“令牌”身份验证类型一起使用的令牌。
-
- 在“密码引擎”字段中,指定要使用的密码引擎。您的选项包括:
- KeyValueV1
- KeyValueV2
- Active Directory
- 在“密码引擎装载路径”字段中,提供密码引擎的路径。如果未提供,则对于 KeyValueV1,默认为
kv
,对于 KeyValueV2,默认为kv-v2
,对于 ActiveDirectory,默认为ad
。 - 在“数据路径”字段中,输入要用于所有存储的密码的路径前缀。
- 在“命名空间”字段中,指定要使用的命名空间。仅在 HashiCorp 保险库企业版中可用。
-
单击创建。新的凭据存储已准备就绪,可以使用。
BeyondTrust
-
在“类型”字段中,选择以下选项之一:
- BeyondTrust 密码保险箱 - 托管帐户
- BeyondTrust 密码保险箱 - 团队密码
- 在“名称”字段中,指定 BeyondTrust 凭据存储的名称。
- 在“BeyondTrust 主机 URL”字段中,指定密码服务器实例的 URL。
- 在“API 注册密钥”字段中,指定来自 BeyondTrust 的 API 注册密钥的值。
-
在“API 用户名运行身份”字段中,指定要用于执行调用的 BeyondTrust 用户名。
BeyondTrust 密码保险箱 - 托管帐户
如果您选择的是“BeyondTrust 密码保险箱 - 托管帐户”,请继续执行以下步骤:
-
(可选)在“默认托管系统名称”字段中,指明在 Orchestrator 资产中未提供其他托管系统时要使用的回退托管系统。
- 在“系统-帐户分隔符”字段中,指定用于在 Orchestrator 资产中拆分托管系统名称和托管帐户名称的分隔符。
- 在“托管帐户类型”字段中,指定“BeyondTrust”托管帐户类型。
-
单击创建。新的凭据存储已准备就绪,可以使用。
BeyondTrust 密码保险箱 - 团队密码
如果您选择的是“BeyondTrust 密码保险箱 - 团队密码”,请继续执行以下步骤:
-
(可选)在“文件夹路径前缀”字段中,指定默认的文件夹路径前缀。这将添加到所有 Orchestrator 资产值之前。
- 在“文件夹/帐户分隔符”字段中,输入用于在 Orchestrator 资产中从标题拆分路径的分隔符。
-
单击创建。新的凭据存储已准备就绪,可以使用。
Thycotic Secret Server
- 在“类型”字段中,选择“Thycotic Secret Server”。
- 在“名称”字段中,键入新的凭据存储的名称。
- 在“Secret Server URL”字段中,指定密码服务器实例的 URL。
- 在“规则名称”字段中,提供客户端引导规则名称。
- (可选)在“规则键”字段中,指定引导规则中的键。虽然此为可选步骤,但我们建议指定规则键以提高安全性。
- 在“用户名字段”字段中,指定 Orchestrator 在从 Thycotic Secret Server 检索资产时将从中提取用户名的“密码模板”字段的缩略名名称。
-
在“密码字段”字段中,指定 Orchestrator 在从 Thycotic 密码服务器检索资产时将从中提取密码的“密码模板”字段的缩略名名称。
注意:您可以在“管理员”>“密码模板”>“模板”>“字段”中找到“密码模板”字段的缩略名名称。在 Orchestrator 中创建资产或机器人时,会使用外部名称将其与预先存在的密码相绑定。在本例中,此值为 Thycotic Secret Server 的真正密码 ID。
您可以在路由中找到密码 ID。在以下示例中,其值为5
。
导航到“凭据存储”(“租户”>“凭据存储”),然后从所需存储的“更多操作”菜单中选择“编辑”。显示“编辑凭据存储”对话框。
使用两个或更多凭据存储时,您可以选择用于机器人和资产的默认存储。可以同时将同一个存储用作两者的默认存储,也可以为两者选择不同的默认存储。
要选择默认存储,请从“更多操作”菜单中选择“设置为机器人默认存储”和/或“设置为资产默认存储”。
更改默认存储不会更改现有机器人或资产配置,它仅控制在创建新机器人或资产时在“凭据存储”下拉列表中预选的内容。机器人和资产始终从创建它们时使用的存储获取密码。要更改特定机器人或资产的凭据存储,您必须在机器人或资产级别进行更改。