Anwendungsfälle für die Abfrage von Anmeldedaten in AWS
- Aktualisiert: 2023/11/17
Anwendungsfälle für die Abfrage von Anmeldedaten in AWS
Sie AWS-Anmeldedaten für folgende Anwendungsfälle abrufen: Bootstrap, System, automatische Anmeldung und Automatisierungen.
Bootstrap-Anmeldedaten im Control Room abrufen
Der Automation 360 Control Room verwendet Bootstrap-Anmeldedaten für den Zugriff auf unterstützende Dienste wie Datenbank, Dienstkonto und Active Directory (AD). Sie konfigurieren diese Anmeldedaten während der On-Premises Erstinstallation oder nach der Installation (mit dem Dienstprogramm für den Schlüsseltresor), indem Sie den Objektnamen angeben.
Die folgende Abbildung zeigt den Abrufvorgang der Control Room-Bootstrap-Anmeldedaten mit AWS:
Wenn dies während der Startsequenz oder des normalen Betriebs (z. B. bei der Aktualisierung einer Dienstauthentifizierung) erforderlich ist, wird vom Control Room die Verbindung zum Schlüsseltresor verwendet, um die Anmeldedaten abzurufen und die erforderliche Authentifizierung durchzuführen.
System-Anmeldedaten des Control Rooms abrufen
Wenn Sie bei der Erstinstallation einen externen Schlüsseltresor konfiguriert haben, können Sie (nach der Installation) die Benutzeroberfläche in Automation 360 verwenden, um Anmeldedaten für SMTP und Active Directory (AD) zu konfigurieren.
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie vom Control Room zu: .
- Sie können die Anmeldedaten für das AD-Primärkonto aus dem externen Schlüsseltresor zuordnen, externe Anmeldedaten konfigurieren oder auf manuell setzen (Wechsel des Modus zum Abrufen von AD-Primärkonto-Anmeldedaten).
Anmeldedaten für die automatische Anmeldung abrufen
Anmeldedaten für die automatische Anmeldung werden für die Authentifizierung bei einem Automation 360-Bot-Agent-Gerät und zum Starten einer aktiven Windows-Sitzung verwendet. Die robotergesteuerte Prozessautomatisierung (Robotic Process Automation,RPA) erfordert eine aktive Windows-Sitzung, um zu funktionieren. Die automatische Anmeldung erfolgt vor Ausführung der Automatisierung, wenn Automatisierungen von einem Remote-Bot-Agent-Gerät aus gestartet werden.
Das folgende Bild zeigt den Vorgang zum Abrufen der automatischen Anmeldedaten mit AWS:
Ein Control Room-Administrator kann einen Auftrag zum Starten einer Automatisierung auf einem Bot-Agent-Gerät manuell starten oder planen, indem er diese Details angibt:
- Name der Automatisierung (Bot)
- Gerätename
- Nutzerkontext
Vom System wird eine automatische Anmeldung bei dem angegebenen Gerät mit dem Nutzernamen und dem Passwort durchgeführt, die dem Nutzerkontext zugeordnet sind. Anschließend wird die Automatisierung auf dem Gerät ausgeführt.
Sie müssen ein Geheimnis für jeden Control Room-Nutzer haben, für den die Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor abgerufen werden, und der Name des Geheimnisses in AWS Secrets Manager muss mit dem Control Room-Nutzernamen übereinstimmen.
Führen Sie die folgenden Schritte aus, um den Abruf von Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor zu konfigurieren:
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie im Control Room zu .
- Scrollen Sie nach unten zum Abschnitt „Einstellungen für die automatische Anmeldung“ und klicken Sie auf Bearbeiten.
- Wenn Sie AWS Secrets Manager zuvor als Verbindung zum externen Schlüsseltresor konfiguriert haben, klicken Sie auf Aktiviert, um die Anmeldedaten für die automatische Anmeldung aus diesem externen Schlüsseltresor abzurufen.
Wenn diese Option deaktiviert ist, wurde die Verbindung mit dem externen Schlüsseltresor nicht konfiguriert.
Anmerkung: Wenn Sie die automatische Anmeldung über den externen Schlüsseltresor deaktivieren, werden die Anmeldedaten stattdessen über den AAI-Credential Vault und die darin gespeicherten Anmeldedaten abgerufen. - Der AWS Secrets Manager hat einen flachen Namespace ohne organisatorische Container, so dass Sie keinen sicheren Namen eingeben müssen. Klicken Sie auf Änderungen speichern.
Wenn dies erfolgreich war, wird die Meldung angezeigt, dass die Einstellungen für die automatische Anmeldung erfolgreich gespeichert wurden.
Benennungskonventionen für die automatische Anmeldung
Der Control Room ruft die Anmeldedaten für die automatische Anmeldung auf der Grundlage der Benennungskonvention für Objekte im externen Schlüsseltresor ab. Der Control Room sucht nach einem Objekt, bei dem der Objektname (der Name der Anmeldedaten im externen Schlüsseltresor) mit dem Control Room-Nutzernamen übereinstimmt, für den die automatische Anmeldung durchgeführt wird.
Das Präfix autologin_ ist in allen externen Schlüsseltresoren als Teil der Benennungskonvention für Anmeldedaten für die automatische Anmeldung erforderlich: CyberArk, AWS und Azure. Der Name der Anmeldedaten für die automatische Anmeldung im externen Schlüsseltresor muss autologin_ gefolgt vom Control Room-Nutzernamen enthalten. In einigen Fällen gibt es bei bestimmten Schlüsseltresoren Einschränkungen hinsichtlich der Zeichen, die in den Objektnamen von Anmeldedaten verwendet werden können. Darüber hinaus müssen bestimmte Zeichen in Automation 360 reserviert oder kodiert werden, um zu unterstützen, wie die verschiedenen Anwendungsfälle Anmeldedaten kodieren.
In der folgenden Tabelle sind Beispiele für die im Control Room erwarteten Benennungskonventionen für Objekte aufgeführt:
| Control Room-Nutzername | Erwartetes Format des Objektnamens |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
Beachten Sie bei den Anmeldedaten für die automatische Anmeldung die folgenden Punkte:
- Der Objektname im externen Schlüsseltresor muss autologin_ als Präfix enthalten.
- Die Namen der Anmeldedaten für die automatische Anmeldung müssen dem Control Room-Nutzernamen (Anmelde-ID) für die abzurufenden Anmeldedaten entsprechen.
Bei einigen externen Schlüsseltresoren gibt es Beschränkungen für die Verwendung bestimmter Zeichen, wie z. B. den umgekehrten Schrägstrich (\) und das Kaufmanns-Und (&) im geheimen Namen (Objektnamen), sowie Einschränkungen bei der Interpretation von Sonderzeichen in API-Aufrufen. Wenn die Nutzer-ID Sonderzeichen enthält, müssen Sie den geheimen Namen (Objektnamen) im externen Schlüsseltresor mit Zeichensubstitutionen aus dem ASCII-Code kodieren. Diese sind in der folgenden Tabelle aufgeführt.
| Dieses Zeichen | ändert sich in diese ASCII-Code-Zeichensubstitution |
|---|---|
| \ (umgekehrter Schrägstrich) | -- |
| - (Gedankenstrich) | -2d- |
| _ (Unterstrich) | -5f- |
| & (kaufmännisches Und-Zeichen) | -40- |
| . (Punkt) | -2e- |
Beispiel für Anmeldedaten für die automatische Anmeldung in AWS
Stellen Sie sich in diesem Beispiel für den automatischen Abruf von Anmeldedaten einen Control Room-Nutzer vor, der als bestimmter Nutzer einen Bot auf einem Gerät bereitstellen möchte. In diesem Beispiel werden die folgenden Angaben verwendet:
- Name der Automatisierung (Bot), die auf einem Gerät ausgeführt wird = ProcureToPayGeoEast
- Gerätename des Agenten = WinVDI1138
- Nutzerkontext des Agenten = rpauserCR1@abcd.com
Das folgende Bild zeigt ein Beispiel für das Abrufen von Anmeldedaten für die automatische Anmeldung mit AWS:
Vergewissern Sie sich vor Beginn der Automatisierung von Folgendem:
- Die Control Room-Verbindungsdetails wurden erfolgreich konfiguriert, und der Control Room verwendet diese Verbindungsdetails, um eine Verbindung mit AWS herzustellen und die Authentifizierung durchzuführen.
- Der Control Room fragt das Bot-Agent-Gerät ab, das auf dem Gerät WinVDI1138 ausgeführt wird, um zu prüfen, ob es eine aktive Windows-Sitzung (Betriebssystem) auf dem Gerät WinVDI1138 gibt und ob diese Sitzung dem Agent-Nutzer rpauserCR1 gehört.
Ist auf dem Gerät eine Sitzung für den Nutzer rpauserCR1 vorhanden, ist keine automatische Anmeldung erforderlich, und der Bot fährt mit der Bereitstellung fort.
- Wenn es jedoch keine aktive Sitzung gibt oder wenn es eine aktive Sitzung gibt, die nicht zu rpauserCR1 gehört, dann ruft Control Room die Anmeldedaten für die automatische Anmeldung aus AWS Secrets Manager ab.
- Der Control Room übergibt die Anmeldedaten (Passwort) an den Bot-Agenten. Der Bot-Agent führt auf dem Gerät WinVDI1138 eine Windows-Anmeldung als rpauserCR1 durch (und meldet zunächst alle anderen Nutzersitzungen ab) und verwendet die Anmeldedaten für die automatische Anmeldung von rpauserCR1. Die Automatisierung (Bot) ProcureToPayGeoEast wird dann als rpauserCR1 auf dem Gerät WinVDI1138 ausgeführt.
Anmeldedaten für die Automatisierung abrufen
Anmeldedaten für die Automatisierung sind Variablen, die von Bot-Entwicklern innerhalb von Automatisierungsvorgängen (Bot) verwendet werden, mit denen Daten aus einem verschlüsselten Speicher definiert und abgerufen werden. Die Automatisierung verwendet die Anmeldedaten zur Authentifizierung bei Anwendungen (z. B. Finanzanwendungen). Anmeldedaten für die Automatisierung werden während der Laufzeit von dem Automation 360-Bot-Agenten abgerufen.
Die folgende Abbildung zeigt den Abrufvorgang der Automatisierungs-Anmeldedaten mit AWS:
Automatisierungs-Anmeldedaten, die aus AWS Secrets Manager abgerufen werden, werden im Automation Anywhere-Credential Vault zugeordnet. Der Credential Vault unterstützt diese beiden Arten von Automatisierungs-Anmeldedaten:
- Systemanmeldedaten
- Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert für jede Automatisierung gleich ist, in der diese Variable verwendet wird.
- Nutzerdefinierte Anmeldedaten
- Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert je nach Nutzerkontext unterschiedlich ist, in dem die Automatisierung ausgeführt wird.
Sowohl für Systemanmeldedaten als auch für nutzerdefinierte Anmeldedaten gibt der Bot-Entwickler innerhalb des Bot-Codes dieselbe Anmeldedatenvariable an. Anschließend wird vom System bestimmt, welche Anmeldedaten während der Bot-Laufzeit abgerufen werden sollen.
Nutzerdefinierte Anmeldedaten vereinfachen die Entwicklung von Automatisierungen, indem sie Bot-Entwicklern ermöglichen, Code mit einer einzelnen Anmeldedatenvariable zu schreiben, wobei die RPA-Plattform den während der Laufzeit zurückgegebenen Wert durch einen eindeutigen nutzerspezifischen Wert ersetzt. Entwickler können mit verschiedenen nutzerspezifischen Anmeldedatenvariablen das Schreiben von doppeltem Code vermeiden.
Die folgende Abbildung zeigt die erwartete Benennungskonvention für AWS-Anmeldedaten:
Das Diagramm zeigt sechs Geheimnisse im AWS Secrets Manager, die zwei Anmeldedaten im Control Room-Credential Vault zugeordnet werden können.
- Object3
- Object4
Zum Beispiel können Sie einen Locker im Control Room entweder prefixID3 oder prefixID4 zuordnen. Dann ordnen Sie das Geheimnis einem Anmeldedatensatz zu. Für jeden Anmeldedatensatz werden die Geheimnisse als ein systemdefinierter (ohne Postfix des Nutzernamens) und zwei benutzerdefinierte Anmeldedatensätze (jeweils einer für die Control Room-Nutzer mit den Nutzernamen User1ID1 und User1ID2) verbraucht (vom Control Room abgerufen).
Innerhalb des AWS Secrets Manager werden Automatisierungs-Anmeldedaten mit einem Namen gespeichert, der bestimmte Kennungen enthält: ein Präfix, eine Objektkennung und ein optionales Postfix, das einen Nutzernamen identifiziert. Dies ist eine erforderliche Benennungskonvention, durch die gewährleistet wird, dass die richtigen Anmeldedaten abgerufen werden können. Der Name des Geheimnisses (der Anmeldedaten) in AWS Secrets Manager kodiert Informationen über die Zuordnung innerhalb des Automation Anywhere-Credential Vaults.
Als Administrator erstellen und konfigurieren Sie zum Zuordnen eines Control Rooms zu AWS Secrets Manager mit Hilfe der Option "Externer Schlüsseltresor" in den Funktionen Locker erstellen und Anmeldedaten erstellen im Automation 360-Control Room einen Locker und Anmeldedaten:
- Sie konfigurieren Locker im Credential Vault, die einem Präfix eines geheimen Namens in AWS zugeordnet werden können.
- Sie konfigurieren Anmeldedaten im Credential Vault, die der Objektkennung eines Geheimnisses in AWS zugeordnet sind (optionales Postfix für nutzerdefinierte Anmeldedaten).
Während der Laufzeit wird das Geheimnis aus der RPA-Plattform abgerufen, das mit einem Postfix benannt ist, das dem Nutzerkontext (benutzerdefinierte Anmeldedaten) entspricht, in dem die Automatisierung ausgeführt wird. Wenn es keine benutzerdefinierten Anmeldedaten gibt, wird das Geheimnis ohne Postfix für den Nutzernamen aus der RPA-Plattform abgerufen (System-Anmeldedaten).
Der Control Room implementiert durch Berechtigungen innerhalb von Rollen Zugriffskontrollen für die externen Anmeldedaten. Sie steuern den Zugriff auf Anmeldedaten, indem Sie verschiedenen Control Room-Nutzern verschiedene Rollen zuweisen und dann verschiedene Locker mit diesen Rollen verknüpfen.
Das folgende Bild zeigt den Control Room-Credential Vault Locker und die Anmeldedaten, die einem AWS-Geheimnis zugeordnet sind:
Benennungskonventionen in der Automatisierung
Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in AWS Secrets Manager, die Namenskonventionen für die Automatisierung verwenden.
| Beispiel für Automatisierungs-Anmeldedaten | AWS-Präfix | AWS geheimer Text | Geheimnis in AWS | Control Room-Nutzername |
|---|---|---|---|---|
|
accounting_pdf Systemanmeldedaten in Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind |
Buchhaltung | accounting_pdf (System) | Keine: Systemanmeldedaten | |
|
accounting_pdf_ABCD--user123 Benutzerdefinierte Anmeldedaten in Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind |
Buchhaltung | accounting_pdf_ABCD--user123 | ABCD\user123 |
Beispiel für das Abrufen von Anmeldedaten für AWS-Automatisierungen
Um den automatischen Abruf von Anmeldedaten zu konfigurieren und in AWS Secrets Manager zu integrieren, erstellen Sie zunächst einen Locker und dann Anmeldedaten.
- Erstellen Sie separate Locker im Control Room, um die in den Control Room-Anmeldetresoren erstellten Anmeldedaten zu speichern.
- Erstellen Sie separate Locker im Control Room, um die in externen Schlüsseltresoren erstellten Anmeldedaten zu speichern.
Der Control Room unterstützt nicht die Speicherung von Anmeldedaten aus dem Control Room-Anmeldedatentresor und den externen Schlüsseltresoren im selben Locker.
Führen Sie die folgenden Schritte aus, um einen Locker für die Integration in AWS Secrets Manager zu erstellen:
- Navigieren Sie vom Automation 360-Control Room zu .
Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.
- Wählen Sie auf der Registerkarte Anmeldedaten die Option Locker erstellen aus.
- Geben Sie einen Namen für den Locker ein (zum Beispiel Locker3).
Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen in AWS abhängig.
- Klicken Sie auf Externer Schlüsseltresor und geben Sie das Präfix für den geheimen Namen in AWS ein (z. B.: prefixID3). Sie müssen Geheimnisse im AWS Secrets Manager mit dem Namenspräfix benennen, damit die Zuordnung erfolgreich konfiguriert werden kann.
- Klicken Sie auf Weiter.
- Konfigurieren Sie Eigentümer, Manager, Teilnehmer und Verbraucher für den Locker.
- Klicken Sie auf Locker erstellen.
Einzelheiten finden Sie unter Erstellen von Lockers.
Der Control Room ist nun bereit, Anmeldedaten abzurufen und Zugriffskontrollen für alle Azure-Geheimnisse mit dem Präfix prefixID3 durchzusetzen. Erstellen Sie nun die Anmeldedaten, um fortzufahren.
Führen Sie die folgenden Schritte aus, um Anmeldedaten für die Integration in AWS Secrets Manager zu erstellen:
- Navigieren Sie vom Automation 360-Control Room zu .
Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.
- Wählen Sie auf der Registerkarte Anmeldedaten die Option Anmeldedaten erstellen aus.
- Geben Sie den Anmeldeinformationsnamen in das Feld Anmeldeinformationsname ein.
Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen in AWS abhängig.
- Klicken Sie unterhalb des Namensfeldes auf Externer Schlüsseltresor.
- Wählen Sie aus der Liste der verfügbaren Locker den entsprechenden Locker aus, der zuvor dem Präfix des geheimen Namens für die Geheimnisse zugeordnet war, die Sie jetzt den Anmeldedaten zuordnen.
- Geben Sie den AWS Secret_Name_Body in das Feld Geheimer Name ein (z. B.: Object3).
- Klicken Sie auf Attribute validieren und abrufen.
Das System validiert die Zuordnung, indem es versucht, aus dem AWS Secrets Manager ein Geheimnis mit dem Namen Prefix_Secret_Name_Body abzurufen (z. B.: prefixID3_Object3.
Wenn die Überprüfung fehlschlägt, ist im AWS Secrets Manager kein Geheimnis mit dem Namen vorhanden, der mit der Kombination aus Locker (Präfix) und Anmeldedaten (Secret_Name_Body) übereinstimmt. In diesem Beispiel gibt es im AWS Secrets Manager kein Geheimnis namens prefixID3_Object3.
Wenn das System das Geheimnis erfolgreich abruft, zeigt es die AWS Secrets Manager-Geheimnisattribute (die Felder innerhalb des Geheimnisses) an.
- Wählen Sie in der Liste der Attribute jene Attribute aus, die den Anmeldedaten zugeordnet werden sollen.
- Klicken Sie auf Anmeldedaten erstellen.
Wenn der Vorgang erfolgreich war, wird die Meldung "Anmeldedaten erfolgreich erstellt" angezeigt.