HashiCorp Anwendungsfälle für den Abruf von Anmeldedaten
- Zuletzt aktualisiert2024/11/14
HashiCorp Anwendungsfälle für den Abruf von Anmeldedaten
Sie können HashiCorp-Anmeldedaten für die folgenden Anwendungsfälle abrufen: Bootstrap, System, automatische Anmeldung und Automatisierungen.
Bootstrap-Anmeldedaten im Control Room abrufen
Der Automation 360 Control Room verwendet Bootstrap-Anmeldedaten für den Zugriff auf unterstützende Dienste wie Datenbank, Dienstkonto und Active Directory (AD). Sie konfigurieren diese Anmeldedaten während der Lokal Erstinstallation oder nach der Installation (mit dem Dienstprogramm für den Schlüsseltresor), indem Sie den geheimen Namen angeben.
In der folgenden Abbildung ist der Abrufvorgang der Control Room-Bootstrap-Anmeldedaten mit HashiCorp dargestellt:
Wenn dies während der Startsequenz oder des normalen Betriebs (z. B. bei der Aktualisierung einer Dienstauthentifizierung) erforderlich ist, wird vom Control Room die Verbindung zum Schlüsseltresor verwendet, um die Anmeldedaten abzurufen und die erforderliche Authentifizierung durchzuführen.
System-Anmeldedaten des Control Rooms abrufen
Wenn Sie bei der Erstinstallation einen externen Schlüsseltresor konfiguriert haben, können Sie (nach der Installation) die Benutzeroberfläche in Automation 360 verwenden, um Anmeldedaten für SMTP und Active Directory (AD) zu konfigurieren.
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie vom Control Room zu: .
Um Active Directory-Anmeldedaten zu konfigurieren:
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie vom Control Room zu: .
- Sie können die Anmeldedaten für das AD-Primärkonto aus dem externen Schlüsseltresor zuordnen, externe Anmeldedaten konfigurieren oder auf manuell setzen (Wechsel des Modus zum Abrufen von AD-Primärkonto-Anmeldedaten).
Anmeldedaten für die automatische Anmeldung abrufen
Anmeldedaten für die automatische Anmeldung werden für die Authentifizierung bei einem Automation 360-Bot-Agent-Gerät und zum Starten einer aktiven Windows-Sitzung verwendet. Die robotergesteuerte Prozessautomatisierung (Robotic Process Automation,RPA) erfordert eine aktive Windows-Sitzung, um zu funktionieren. Die automatische Anmeldung erfolgt vor Ausführung der Automatisierung, wenn Automatisierungen von einem Remote-Bot-Agent-Gerät aus gestartet werden.
Im folgenden Bild ist das Abrufen der Daten für die automatische Anmeldung mit HashiCorp dargestellt:
Ein Control Room-Administrator kann einen Auftrag zum Starten einer Automatisierung auf einem Bot-Agent-Gerät manuell starten oder planen, indem er diese Details angibt:
- Name der Automatisierung (Bot)
- Gerätename
- Nutzerkontext
Vom System wird eine automatische Anmeldung bei dem angegebenen Gerät mit dem Nutzernamen und dem Passwort durchgeführt, die dem Nutzerkontext zugeordnet sind. Anschließend wird die Automatisierung auf dem Gerät ausgeführt.
Sie müssen ein Geheimnis für jeden Control Room-Nutzer haben, für den die Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor abgerufen werden, und der Name des Geheimnisses im HashiCorp-Tresor muss mit dem Control Room-Nutzernamen übereinstimmen.
Führen Sie die folgenden Schritte aus, um den Abruf von Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor zu konfigurieren:
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie vom Control Room zu .
- Klicken Sie auf Bearbeiten.
- Wenn Sie den HashiCorp-Tresor zuvor als Verbindung zum externen Schlüsseltresor konfiguriert haben, klicken Sie auf Aktiviert, um die Anmeldedaten für die automatische Anmeldung von diesem externen Schlüsseltresor abzurufen.
Wenn diese Option deaktiviert ist, wurde die Verbindung mit dem externen Schlüsseltresor nicht konfiguriert.
Anmerkung: Wenn Sie die automatische Anmeldung über den externen Schlüsseltresor deaktivieren, werden die Anmeldedaten stattdessen über den AAI-Credential Vault und die darin gespeicherten Anmeldedaten abgerufen.Anmerkung: Wenn Sie den Automation 360-Server mit einem externen Schlüsseltresor für die automatische Anmeldung integrieren, können Sie jetzt die Zuordnung von Benutzernamen und den Objektnamen des Schlüsseltresors über die Control Room-Einstellungen konfigurieren, anstatt den Automation 360-Namenskonventionen zu folgen. Einzelheiten finden Sie unter Benutzerdefinierte Geheimniszuordnung. - Der HashiCorp Vault hat einen flachen Namespace ohne organisatorische Container, so dass Sie keinen sicheren Namen eingeben müssen. Klicken Sie auf Änderungen speichern.
Wenn dies erfolgreich war, wird die Meldung angezeigt, dass die Einstellungen für die automatische Anmeldung erfolgreich gespeichert wurden.
Benennungskonventionen für die automatische Anmeldung
Der Control Room ruft die Anmeldedaten für die automatische Anmeldung auf der Grundlage der Benennungskonvention für Geheimnisse im externen Schlüsseltresor ab. Der Control Room sucht nach einem Objekt, bei dem der Geheimnisname (der Name der Anmeldedaten im externen Schlüsseltresor) mit dem Control Room-Nutzernamen übereinstimmt, für den die automatische Anmeldung durchgeführt wird.
Das Präfix autologin_ ist in allen externen Schlüsseltresoren als Teil der Benennungskonvention für Anmeldedaten für die automatische Anmeldung erforderlich: CyberArk, AWS, HashiCorp und Azure. Der Name der Anmeldedaten für die automatische Anmeldung im externen Schlüsseltresor muss autologin_ gefolgt vom Control Room-Nutzernamen enthalten. In einigen Fällen gibt es bei bestimmten Schlüsseltresoren Einschränkungen hinsichtlich der Zeichen, die in den Geheimnisnamen von Anmeldedaten verwendet werden können. Darüber hinaus müssen bestimmte Zeichen in Automation 360 reserviert oder kodiert werden, um zu unterstützen, wie die verschiedenen Anwendungsfälle Anmeldedaten kodieren.
In der folgenden Tabelle sind Beispiele für die im Control Room erwarteten Benennungskonventionen für Geheimnisse aufgeführt:
| Control Room-Nutzername | Erwartetes Format des Geheimnisnamens |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
Beachten Sie bei den Anmeldedaten für die automatische Anmeldung die folgenden Punkte:
- Der Geheimnisname im externen Schlüsseltresor muss autologin_ als Präfix enthalten.
- Die Namen der Anmeldedaten für die automatische Anmeldung müssen dem Control Room-Nutzernamen (Anmelde-ID) für die abzurufenden Anmeldedaten entsprechen.
Bei einigen externen Schlüsseltresoren gibt es Beschränkungen für die Verwendung bestimmter Zeichen, wie z. B. den umgekehrten Schrägstrich (\) und das Kaufmanns-Und (@) im geheimen Namen, sowie Einschränkungen bei der Interpretation von Sonderzeichen in API-Aufrufen. Wenn die Nutzer-ID Sonderzeichen enthält, müssen Sie den geheimen Namen im externen Schlüsseltresor mit Zeichensubstitutionen aus dem ASCII-Code kodieren, wie in der folgenden Tabelle aufgeführt.
| Dieses Zeichen | ändert sich in diese ASCII-Code-Zeichensubstitution |
|---|---|
| \ (umgekehrter Schrägstrich) | -- |
| - (Gedankenstrich) | -2d- |
| _ (Unterstrich) | -5f- |
| & (kaufmännisches Und-Zeichen) | -40- |
| . (Punkt) | -2e- |
Beispiel für Anmeldedaten für die automatische Anmeldung in HashiCorp
Stellen Sie sich in diesem Beispiel für den automatischen Abruf von Anmeldedaten einen Control Room-Nutzer vor, der als bestimmter Nutzer einen Bot auf einem Gerät bereitstellen möchte. In diesem Beispiel werden die folgenden Angaben verwendet:
- Name der Automatisierung (Bot), die auf einem Gerät ausgeführt wird = ProcureToPayGeoEast
- Gerätename des Agenten = WinVDI1138
- Nutzerkontext des Agenten = autologin-5f-rpauserCR1-40-abcd-2e-com
Das folgende Bild zeigt ein Beispiel für das Abrufen von Auto-Login-Anmeldedaten mit HashiCorp Vault: 
Vergewissern Sie sich vor Beginn der Automatisierung von Folgendem:
- Die Control Room-Verbindungsdetails wurden erfolgreich konfiguriert, und der Control Room verwendet diese Verbindungsdetails, um eine Verbindung mit HashiCorp herzustellen und die Authentifizierung durchzuführen.
- Der Control Room fragt das Bot-Agent-Gerät ab, das auf dem Gerät WinVDI1138 ausgeführt wird, um zu prüfen, ob es eine aktive Windows-Sitzung (Betriebssystem) auf dem Gerät WinVDI1138 gibt und ob diese Sitzung dem Agent-Nutzer rpauserCR1 gehört.
Ist auf dem Gerät eine Sitzung für den Nutzer rpauserCR1 vorhanden, ist keine automatische Anmeldung erforderlich, und der Bot fährt mit der Bereitstellung fort.
- Wenn es jedoch keine aktive Sitzung gibt oder wenn es eine aktive Sitzung gibt, die nicht zu rpauserCR1 gehört, dann ruft Control Room die Anmeldedaten für die automatische Anmeldung aus dem HashiCorp Tresor ab.
- Der Control Room übergibt die Anmeldedaten (Passwort) an den Bot-Agenten. Der Bot-Agent führt auf dem Gerät WinVDI1138 eine Windows-Anmeldung als rpauserCR1 durch (und meldet zunächst alle anderen Nutzersitzungen ab) und verwendet die Anmeldedaten für die automatische Anmeldung von rpauserCR1. Die Automatisierung (Bot) ProcureToPayGeoEast wird dann als rpauserCR1 auf dem Gerät WinVDI1138 ausgeführt.
Anmeldedaten für die Automatisierung abrufen
Anmeldedaten für die Automatisierung sind Variablen, die von Bot-Entwicklern innerhalb von Automatisierungsvorgängen (Bot) verwendet werden, mit denen Daten aus einem verschlüsselten Speicher definiert und abgerufen werden. Die Automatisierung verwendet die Anmeldedaten zur Authentifizierung bei Anwendungen (z. B. Finanzanwendungen). Anmeldedaten für die Automatisierung werden während der Laufzeit von dem Automation 360-Bot-Agenten abgerufen.
In der folgenden Abbildung ist der Abrufvorgang der Automatisierungs-Anmeldedaten mit HashiCorp dargestellt:
Automatisierungs-Anmeldedaten, die aus dem HashiCorp Tresor abgerufen werden, werden im Automation Anywhere-Credential Vault zugeordnet. Der Credential Vault unterstützt diese beiden Arten von Automatisierungs-Anmeldedaten:
- Systemanmeldedaten
- Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert für jede Automatisierung gleich ist, in der diese Variable verwendet wird.
- Nutzerdefinierte Anmeldedaten
- Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert je nach Nutzerkontext unterschiedlich ist, in dem die Automatisierung ausgeführt wird.
Sowohl für Systemanmeldedaten als auch für nutzerdefinierte Anmeldedaten gibt der Bot-Entwickler innerhalb des Bot-Codes dieselbe Anmeldedatenvariable an. Anschließend wird vom System bestimmt, welche Anmeldedaten während der Bot-Laufzeit abgerufen werden sollen.
Nutzerdefinierte Anmeldedaten vereinfachen die Entwicklung von Automatisierungen, indem sie Bot-Entwicklern ermöglichen, Code mit einer einzelnen Anmeldedatenvariable zu schreiben, wobei die RPA-Plattform den während der Laufzeit zurückgegebenen Wert durch einen eindeutigen nutzerspezifischen Wert ersetzt. Entwickler können mit verschiedenen nutzerspezifischen Anmeldedatenvariablen das Schreiben von doppeltem Code vermeiden.
Die folgende Abbildung zeigt die erwartete Benennungskonvention für HashiCorp-Anmeldedaten:
In dem Diagramm sind sechs Geheimnisse im HashiCorp Vault zu sehen, die zwei Anmeldedaten im Control Room-Credential Vault zugeordnet werden können.
- Object3
- Object4
Zum Beispiel können Sie einen Locker im Control Room entweder prefixID3 oder prefixID4 zuordnen. Dann ordnen Sie das Geheimnis einem Anmeldedatensatz zu. Für jeden Anmeldedatensatz werden die Geheimnisse als ein systemdefinierter (ohne Postfix des Nutzernamens) und zwei benutzerdefinierte Anmeldedatensätze (jeweils einer für die Control Room-Nutzer mit den Nutzernamen Control RoomUser1ID1 und User1ID2) verbraucht (vom abgerufen).
Innerhalb des HashiCorp Vaults werden Automatisierungs-Anmeldedaten mit einem Namen gespeichert, der bestimmte Kennungen enthält: ein Präfix, eine Objektkennung und ein Optionales Postfix, das einen Nutzernamen identifiziert. Dies ist eine erforderliche Benennungskonvention, durch die gewährleistet wird, dass die richtigen Anmeldedaten abgerufen werden können. Der Name des Geheimnisses (der Anmeldedaten) im HashiCorp Vault kodiert Informationen bezüglich der Zuordnung innerhalb des Automation Anywhere-Credential Vaults.
Als Administrator erstellen und konfigurieren Sie zum Zuordnen eines Control Rooms zu HashiCorp Vault mit Hilfe der Option „Externer Schlüsseltresor“ in den Funktionen LockerLocker erstellen und Anmeldedaten erstellen im Automation 360 einen Control Room und Anmeldedaten:
- Sie konfigurieren Locker im Credential Vault, die einem HashiCorp-Tresor-Namen-Präfix zugeordnet werden können.
- Sie konfigurieren Anmeldedaten im Credential Vault, die der Objektkennung eines HashiCorp Tresors zugeordnet sind (optionales Postfix für benutzerdefinierte Anmeldedaten).
Während der Laufzeit wird das Geheimnis aus der RPA-Plattform abgerufen, das mit einem Postfix benannt ist, das dem Nutzerkontext (benutzerdefinierte Anmeldedaten) entspricht, in dem die Automatisierung ausgeführt wird. Wenn es keine benutzerdefinierten Anmeldedaten gibt, wird das Geheimnis ohne Postfix für den Nutzernamen aus der RPA-Plattform abgerufen (System-Anmeldedaten).
Der Control Room implementiert durch Berechtigungen innerhalb von Rollen Zugriffskontrollen für die externen Anmeldedaten. Sie steuern den Zugriff auf Anmeldedaten, indem Sie verschiedenen Control Room-Nutzern verschiedene Rollen zuweisen und dann verschiedene Locker mit diesen Rollen verknüpfen.
Das folgende Bild zeigt den Control Room-Credential Vault Locker und die Anmeldedaten, die einem HashiCorp-Tresor zugeordnet sind:
Benennungskonventionen in der Automatisierung
Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in HashiCorp, die Benennungskonventionen für die Automatisierung verwenden.
| Beispiel für Automatisierungs-Anmeldedaten | HashiCorp Präfix | HashiCorp Schlüssel/Wert-Geheimnis-Engine | Geheimnis in HashiCorp | Control Room-Nutzername |
|---|---|---|---|---|
|
accounting_pdf Systemanmeldedaten im Locker, die dem Tresorgeheimnis-Namenspräfix accounting in HashiCorp zugeordnet sind |
Buchhaltung | accounting_pdf (System) | Keine: Systemanmeldedaten | |
|
accounting_pdf_ABCD--user123 Benutzerdefinierte Anmeldedaten in locker, die dem geheimen Namenspräfix HashiCorp accounting zugeordnet sind |
Buchhaltung | accounting_pdf_ABCD--user123 | ABCD\user123 |
Beispiel für den Abruf von Anmeldedaten durch HashiCorp-Automatisierungen
Um den automatischen Abruf von Anmeldedaten zu konfigurieren und in den HashiCorp Tresor zu integrieren, erstellen Sie zunächst einen Locker und dann Anmeldedaten.
- Erstellen Sie separate Locker im Control Room, um die in den Control Room-Anmeldetresoren erstellten Anmeldedaten zu speichern.
- Erstellen Sie separate Locker im Control Room, um die in externen Schlüsseltresoren erstellten Anmeldedaten zu speichern.
Der Control Room unterstützt nicht die Speicherung von Anmeldedaten aus dem Control Room-Anmeldedatentresor und den externen Schlüsseltresoren im selben Locker.
Führen Sie die folgenden Schritte aus, um einen Locker für die Integration in den HashiCorp Vault zu erstellen:
- Navigieren Sie vom Automation 360-Control Room zu .
Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.
- Wählen Sie auf der Registerkarte Anmeldedaten die Option Locker erstellen aus.
- Geben Sie einen Namen für den Locker ein (zum Beispiel Locker3).
Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen im HashiCorp Vault abhängig.
- Klicken Sie auf Externer Schlüsseltresor und geben Sie das Präfix für den geheimen Namen im HashiCorp-Tresor ein (zum Beispiel: prefixID3). Sie müssen Geheimnisse innerhalb des HashiCorp Vault mit dem Namenspräfix benennen, damit die Zuordnung erfolgreich konfiguriert werden kann.
- Klicken Sie auf Weiter.
- Konfigurieren Sie Eigentümer, Manager, Teilnehmer und Verbraucher für den Locker.
- Klicken Sie auf Locker erstellen.
Einzelheiten finden Sie unter Erstellen von Lockers.
Der Control Room ist nun bereit, Anmeldedaten abzurufen und Zugriffskontrollen für alle HashiCorp-Geheimnisse mit dem Präfix prefixID3 durchzusetzen. Erstellen Sie nun die Anmeldedaten, um fortzufahren.
Führen Sie die folgenden Schritte aus, um Anmeldedaten für die Integration in den HashiCorp Vault zu erstellen:
- Navigieren Sie vom Automation 360-Control Room zu .
Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.
- Wählen Sie auf der Registerkarte Anmeldedaten die Option Anmeldedaten erstellen aus.
- Geben Sie den Anmeldeinformationsnamen in das Feld Anmeldeinformationsname ein.
Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen im HashiCorp Vault abhängig.
- Klicken Sie unterhalb des Namensfeldes auf Externer Schlüsseltresor.
- Wählen Sie aus der Liste der verfügbaren Locker den entsprechenden Locker aus, der zuvor dem Präfix des geheimen Namens für die Geheimnisse zugeordnet war, die Sie jetzt den Anmeldedaten zuordnen.
- Geben Sie den HashiCorp Secret_Name_Body in das Feld Geheimer Name ein (z. B.: Object3).
- Klicken Sie auf Attribute validieren und abrufen.
Das System validiert die Zuordnung, indem es versucht, aus dem HashiCorp Tresor ein Geheimnis mit dem Namen Prefix_Secret_Name_Body abzurufen (zum Beispiel: prefixID3_Object3.
Wenn die Überprüfung fehlschlägt, ist im HashiCorp Tresor kein Geheimnis mit dem Namen vorhanden, der mit der Kombination aus Locker (Präfix) und Anmeldedaten (Secret_Name_Body) übereinstimmt. In diesem Beispiel gibt es im HashiCorp Tresor kein Geheimnis namens prefixID3_Object3.
Wenn das System das Geheimnis erfolgreich abruft, zeigt es die HashiCorp Vault-Geheimnisattribute (die Felder innerhalb des Geheimnisses) an.
- Wählen Sie in der Liste der Attribute jene Attribute aus, die den Anmeldedaten zugeordnet werden sollen.
- Klicken Sie auf Anmeldedaten erstellen.
Wenn der Vorgang erfolgreich war, wird die Meldung "Anmeldedaten erfolgreich erstellt" angezeigt.