Anwendungsfälle für die Abfrage von Anmeldedaten in AWS

Sie AWS-Anmeldedaten für folgende Anwendungsfälle abrufen: Bootstrap, System, automatische Anmeldung und Automatisierungen.

Bootstrap-Anmeldedaten im Control Room abrufen

Anmerkung: Dieser Anwendungsfall gilt nur für Lokal-Bereitstellungen.

Der Automation 360 Control Room verwendet Bootstrap-Anmeldedaten für den Zugriff auf unterstützende Dienste wie Datenbank, Dienstkonto und Active Directory (AD). Sie konfigurieren diese Anmeldedaten während der Lokal Erstinstallation oder nach der Installation (mit dem Dienstprogramm für den Schlüsseltresor), indem Sie den Objektnamen angeben.

Die folgende Abbildung zeigt den Abrufvorgang der Control Room-Bootstrap-Anmeldedaten mit AWS:

AWS Control Room Abfrage von Bootstrap-Anmeldedaten

Wenn dies während der Startsequenz oder des normalen Betriebs (z. B. bei der Aktualisierung einer Dienstauthentifizierung) erforderlich ist, wird vom Control Room die Verbindung zum Schlüsseltresor verwendet, um die Anmeldedaten abzurufen und die erforderliche Authentifizierung durchzuführen.

Anmerkung: Für diesen Anwendungsfall müssen Sie die Microsoft SQL Server-Authentifizierung auswählen; andere Datenbank-Authentifizierungsmethoden werden im Bootstrap nicht unterstützt.

System-Anmeldedaten des Control Rooms abrufen

Anmerkung: Dieser Anwendungsfall gilt nur für Lokal-Bereitstellungen, und Sie können das Dienstkonto nur während der Erstinstallation konfigurieren.

Wenn Sie bei der Erstinstallation einen externen Schlüsseltresor konfiguriert haben, können Sie (nach der Installation) die Benutzeroberfläche in Automation 360 verwenden, um Anmeldedaten für SMTP und Active Directory (AD) zu konfigurieren.

  1. Melden Sie sich beim Automation 360-Control Room als Administrator an.
  2. Navigieren Sie vom Control Room zu: Administration > Einstellungen > E-Mail-Einstellungen.
  3. Sie können die Anmeldedaten für das AD-Primärkonto aus dem externen Schlüsseltresor zuordnen, externe Anmeldedaten konfigurieren oder auf manuell setzen (Wechsel des Modus zum Abrufen von AD-Primärkonto-Anmeldedaten).

Anmeldedaten für die automatische Anmeldung abrufen

Anmerkung: Dieser Anwendungsfall gilt sowohl für Lokal- als auch für Cloud-Bereitstellungen.

Anmeldedaten für die automatische Anmeldung werden für die Authentifizierung bei einem Automation 360-Bot-Agent-Gerät und zum Starten einer aktiven Windows-Sitzung verwendet. Die robotergesteuerte Prozessautomatisierung (Robotic Process Automation,RPA) erfordert eine aktive Windows-Sitzung, um zu funktionieren. Die automatische Anmeldung erfolgt vor Ausführung der Automatisierung, wenn Automatisierungen von einem Remote-Bot-Agent-Gerät aus gestartet werden.

Das folgende Bild zeigt den Vorgang zum Abrufen der automatischen Anmeldedaten mit AWS:

Anmeldedaten für die automatische Anmeldung in AWS abrufen

Ein Control Room-Administrator kann einen Auftrag zum Starten einer Automatisierung auf einem Bot-Agent-Gerät manuell starten oder planen, indem er diese Details angibt:

  • Name der Automatisierung (Bot)
  • Gerätename
  • Nutzerkontext

Vom System wird eine automatische Anmeldung bei dem angegebenen Gerät mit dem Nutzernamen und dem Passwort durchgeführt, die dem Nutzerkontext zugeordnet sind. Anschließend wird die Automatisierung auf dem Gerät ausgeführt.

Sie müssen ein Geheimnis für jeden Control Room-Nutzer haben, für den die Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor abgerufen werden, und der Name des Geheimnisses in AWS Secrets Manager muss mit dem Control Room-Nutzernamen übereinstimmen.

Führen Sie die folgenden Schritte aus, um den Abruf von Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor zu konfigurieren:

  1. Melden Sie sich beim Automation 360-Control Room als Administrator an.
  2. Navigieren Sie im Control Room zu Administration > Einstellungen > Geräte.
  3. Scrollen Sie nach unten zum Abschnitt „Einstellungen für die automatische Anmeldung“ und klicken Sie auf Bearbeiten.
  4. Wenn Sie AWS Secrets Manager zuvor als Verbindung zum externen Schlüsseltresor konfiguriert haben, klicken Sie auf Aktiviert, um die Anmeldedaten für die automatische Anmeldung aus diesem externen Schlüsseltresor abzurufen.

    Wenn diese Option deaktiviert ist, wurde die Verbindung mit dem externen Schlüsseltresor nicht konfiguriert.

    Anmerkung: Wenn Sie die automatische Anmeldung über den externen Schlüsseltresor deaktivieren, werden die Anmeldedaten stattdessen über den AAI-Credential Vault und die darin gespeicherten Anmeldedaten abgerufen.
  5. Der AWS Secrets Manager hat einen flachen Namespace ohne organisatorische Container, so dass Sie keinen sicheren Namen eingeben müssen. Klicken Sie auf Änderungen speichern.

Wenn dies erfolgreich war, wird die Meldung angezeigt, dass die Einstellungen für die automatische Anmeldung erfolgreich gespeichert wurden.

Benennungskonventionen für die automatische Anmeldung

Der Control Room ruft die Anmeldedaten für die automatische Anmeldung auf der Grundlage der Benennungskonvention für Objekte im externen Schlüsseltresor ab. Der Control Room sucht nach einem Objekt, bei dem der Objektname (der Name der Anmeldedaten im externen Schlüsseltresor) mit dem Control Room-Nutzernamen übereinstimmt, für den die automatische Anmeldung durchgeführt wird.

Das Präfix autologin_ ist in allen externen Schlüsseltresoren als Teil der Benennungskonvention für Anmeldedaten für die automatische Anmeldung erforderlich: CyberArk, AWS und Azure. Der Name der Anmeldedaten für die automatische Anmeldung im externen Schlüsseltresor muss autologin_ gefolgt vom Control Room-Nutzernamen enthalten. In einigen Fällen gibt es bei bestimmten Schlüsseltresoren Einschränkungen hinsichtlich der Zeichen, die in den Objektnamen von Anmeldedaten verwendet werden können. Darüber hinaus müssen bestimmte Zeichen in Automation 360 reserviert oder kodiert werden, um zu unterstützen, wie die verschiedenen Anwendungsfälle Anmeldedaten kodieren.

In der folgenden Tabelle sind Beispiele für die im Control Room erwarteten Benennungskonventionen für Objekte aufgeführt:

Control Room-Nutzername Erwartetes Format des Objektnamens
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Anmerkung: Lokal-Kunden, die AD-Authentifizierung verwenden, müssen die Nutzernamen für die automatische Anmeldung im UPN-Format oder mit dem Postfix domain\username formatieren.

Beachten Sie bei den Anmeldedaten für die automatische Anmeldung die folgenden Punkte:

  • Der Objektname im externen Schlüsseltresor muss autologin_ als Präfix enthalten.
  • Die Namen der Anmeldedaten für die automatische Anmeldung müssen dem Control Room-Nutzernamen (Anmelde-ID) für die abzurufenden Anmeldedaten entsprechen.

    Bei einigen externen Schlüsseltresoren gibt es Beschränkungen für die Verwendung bestimmter Zeichen, wie z. B. den umgekehrten Schrägstrich (\) und das Kaufmanns-Und (&) im geheimen Namen (Objektnamen), sowie Einschränkungen bei der Interpretation von Sonderzeichen in API-Aufrufen. Wenn die Nutzer-ID Sonderzeichen enthält, müssen Sie den geheimen Namen (Objektnamen) im externen Schlüsseltresor mit Zeichensubstitutionen aus dem ASCII-Code kodieren. Diese sind in der folgenden Tabelle aufgeführt.

Dieses Zeichen ändert sich in diese ASCII-Code-Zeichensubstitution
\ (umgekehrter Schrägstrich) --
- (Gedankenstrich) -2d-
_ (Unterstrich) -5f-
& (kaufmännisches Und-Zeichen) -40-
. (Punkt) -2e-
Anmerkung: Mit Ausnahme des umgekehrten Schrägstrichs, der doppelten Gedankenstrichen zugeordnet wird, werden der Gedankenstrich, der Punkt, der Unterstrich und das Kaufmanns-Und mit ihrem ASCII-Code in Klammern abgebildet.

Beispiel für Anmeldedaten für die automatische Anmeldung in AWS

Stellen Sie sich in diesem Beispiel für den automatischen Abruf von Anmeldedaten einen Control Room-Nutzer vor, der als bestimmter Nutzer einen Bot auf einem Gerät bereitstellen möchte. In diesem Beispiel werden die folgenden Angaben verwendet:

  • Name der Automatisierung (Bot), die auf einem Gerät ausgeführt wird = ProcureToPayGeoEast
  • Gerätename des Agenten = WinVDI1138
  • Nutzerkontext des Agenten = rpauserCR1@abcd.com

Das folgende Bild zeigt ein Beispiel für das Abrufen von Anmeldedaten für die automatische Anmeldung mit AWS:

Beispiel für Anmeldedaten für die automatische Anmeldung in AWS

Vergewissern Sie sich vor Beginn der Automatisierung von Folgendem:

  1. Die Control Room-Verbindungsdetails wurden erfolgreich konfiguriert, und der Control Room verwendet diese Verbindungsdetails, um eine Verbindung mit AWS herzustellen und die Authentifizierung durchzuführen.
  2. Der Control Room fragt das Bot-Agent-Gerät ab, das auf dem Gerät WinVDI1138 ausgeführt wird, um zu prüfen, ob es eine aktive Windows-Sitzung (Betriebssystem) auf dem Gerät WinVDI1138 gibt und ob diese Sitzung dem Agent-Nutzer rpauserCR1 gehört.

    Ist auf dem Gerät eine Sitzung für den Nutzer rpauserCR1 vorhanden, ist keine automatische Anmeldung erforderlich, und der Bot fährt mit der Bereitstellung fort.

  3. Wenn es jedoch keine aktive Sitzung gibt oder wenn es eine aktive Sitzung gibt, die nicht zu rpauserCR1 gehört, dann ruft Control Room die Anmeldedaten für die automatische Anmeldung aus AWS Secrets Manager ab.
  4. Der Control Room übergibt die Anmeldedaten (Passwort) an den Bot-Agenten. Der Bot-Agent führt auf dem Gerät WinVDI1138 eine Windows-Anmeldung als rpauserCR1 durch (und meldet zunächst alle anderen Nutzersitzungen ab) und verwendet die Anmeldedaten für die automatische Anmeldung von rpauserCR1. Die Automatisierung (Bot) ProcureToPayGeoEast wird dann als rpauserCR1 auf dem Gerät WinVDI1138 ausgeführt.

Anmeldedaten für die Automatisierung abrufen

Anmerkung: Dieser Anwendungsfall gilt sowohl für Lokal- als auch für Cloud-Bereitstellungen.

Anmeldedaten für die Automatisierung sind Variablen, die von Bot-Entwicklern innerhalb von Automatisierungsvorgängen (Bot) verwendet werden, mit denen Daten aus einem verschlüsselten Speicher definiert und abgerufen werden. Die Automatisierung verwendet die Anmeldedaten zur Authentifizierung bei Anwendungen (z. B. Finanzanwendungen). Anmeldedaten für die Automatisierung werden während der Laufzeit von dem Automation 360-Bot-Agenten abgerufen.

Die folgende Abbildung zeigt den Abrufvorgang der Automatisierungs-Anmeldedaten mit AWS:

AWS ruft Anmeldedaten für die Automatisierung ab

Automatisierungs-Anmeldedaten, die aus AWS Secrets Manager abgerufen werden, werden im Automation Anywhere-Credential Vault zugeordnet. Der Credential Vault unterstützt diese beiden Arten von Automatisierungs-Anmeldedaten:

Systemanmeldedaten
Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert für jede Automatisierung gleich ist, in der diese Variable verwendet wird.
Nutzerdefinierte Anmeldedaten
Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert je nach Nutzerkontext unterschiedlich ist, in dem die Automatisierung ausgeführt wird.

Sowohl für Systemanmeldedaten als auch für nutzerdefinierte Anmeldedaten gibt der Bot-Entwickler innerhalb des Bot-Codes dieselbe Anmeldedatenvariable an. Anschließend wird vom System bestimmt, welche Anmeldedaten während der Bot-Laufzeit abgerufen werden sollen.

Nutzerdefinierte Anmeldedaten vereinfachen die Entwicklung von Automatisierungen, indem sie Bot-Entwicklern ermöglichen, Code mit einer einzelnen Anmeldedatenvariable zu schreiben, wobei die RPA-Plattform den während der Laufzeit zurückgegebenen Wert durch einen eindeutigen nutzerspezifischen Wert ersetzt. Entwickler können mit verschiedenen nutzerspezifischen Anmeldedatenvariablen das Schreiben von doppeltem Code vermeiden.

Die folgende Abbildung zeigt die erwartete Benennungskonvention für AWS-Anmeldedaten:

In AWS erwartete Anmeldedaten

Das Diagramm zeigt sechs Geheimnisse im AWS Secrets Manager, die zwei Anmeldedaten im Control Room-Credential Vault zugeordnet werden können.

  • Object3
  • Object4

Zum Beispiel können Sie einen Locker im Control Room entweder prefixID3 oder prefixID4 zuordnen. Dann ordnen Sie das Geheimnis einem Anmeldedatensatz zu. Für jeden Anmeldedatensatz werden die Geheimnisse als ein systemdefinierter (ohne Postfix des Nutzernamens) und zwei benutzerdefinierte Anmeldedatensätze (jeweils einer für die Control Room-Nutzer mit den Nutzernamen User1ID1 und User1ID2) verbraucht (vom Control Room abgerufen).

Anmerkung: Innerhalb des Control Room-Credential Vaults sind der Name des Lockers und der Name der Anmeldedaten willkürlich und gelten lokal für den Control Room. Sie ordnen diese Namen bestimmten Geheimnissen im externen Schlüsseltresor zu.

Innerhalb des AWS Secrets Manager werden Automatisierungs-Anmeldedaten mit einem Namen gespeichert, der bestimmte Kennungen enthält: ein Präfix, eine Objektkennung und ein optionales Postfix, das einen Nutzernamen identifiziert. Dies ist eine erforderliche Benennungskonvention, durch die gewährleistet wird, dass die richtigen Anmeldedaten abgerufen werden können. Der Name des Geheimnisses (der Anmeldedaten) in AWS Secrets Manager kodiert Informationen über die Zuordnung innerhalb des Automation Anywhere-Credential Vaults.

Als Administrator erstellen und konfigurieren Sie zum Zuordnen eines Control Rooms zu AWS Secrets Manager mit Hilfe der Option "Externer Schlüsseltresor" in den Funktionen Locker erstellen und Anmeldedaten erstellen im Automation 360-Control Room einen Locker und Anmeldedaten:

  • Sie konfigurieren Locker im Credential Vault, die einem Präfix eines geheimen Namens in AWS zugeordnet werden können.
  • Sie konfigurieren Anmeldedaten im Credential Vault, die der Objektkennung eines Geheimnisses in AWS zugeordnet sind (optionales Postfix für nutzerdefinierte Anmeldedaten).

Während der Laufzeit wird das Geheimnis aus der RPA-Plattform abgerufen, das mit einem Postfix benannt ist, das dem Nutzerkontext (benutzerdefinierte Anmeldedaten) entspricht, in dem die Automatisierung ausgeführt wird. Wenn es keine benutzerdefinierten Anmeldedaten gibt, wird das Geheimnis ohne Postfix für den Nutzernamen aus der RPA-Plattform abgerufen (System-Anmeldedaten).

Der Control Room implementiert durch Berechtigungen innerhalb von Rollen Zugriffskontrollen für die externen Anmeldedaten. Sie steuern den Zugriff auf Anmeldedaten, indem Sie verschiedenen Control Room-Nutzern verschiedene Rollen zuweisen und dann verschiedene Locker mit diesen Rollen verknüpfen.

Das folgende Bild zeigt den Control Room-Credential Vault Locker und die Anmeldedaten, die einem AWS-Geheimnis zugeordnet sind:

Anmeldedaten für den Credential Vault, die AWS zugeordnet sind
Wichtig: Bei der Erstellung extern zugeordneter Anmeldedaten müssen Sie die Anmeldedaten in den entsprechenden extern zugeordneten Locker einfügen (der Locker ist dem Präfix im Geheimnamen zugeordnet). Für geheime Namen in AWS gilt folgende Benennungskonvention: Prefix + Secret_Name_Body + Postfix (für benutzerdefinierte Anmeldedaten optional).
Anmerkung: Die gleichen Berechtigungen und Privilegien (die über Rollen zugewiesen werden) im Control Room gelten für Anmeldedaten, die dem externen Schlüsseltresor zugeordnet sind.

Benennungskonventionen in der Automatisierung

Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in AWS Secrets Manager, die Namenskonventionen für die Automatisierung verwenden.

Anmerkung: Das AWS-Präfix entspricht dem Locker für den Control Room, und der geheime Text in AWS entspricht den Anmeldedaten für den Control Room.
Beispiel für Automatisierungs-Anmeldedaten AWS-Präfix AWS geheimer Text Geheimnis in AWS Control Room-Nutzername

accounting_pdf

Systemanmeldedaten in Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind

Buchhaltung pdf accounting_pdf (System) Keine: Systemanmeldedaten

accounting_pdf_ABCD--user123

Benutzerdefinierte Anmeldedaten in Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind

Buchhaltung pdf accounting_pdf_ABCD--user123 ABCD\user123

Beispiel für das Abrufen von Anmeldedaten für AWS-Automatisierungen

Um den automatischen Abruf von Anmeldedaten zu konfigurieren und in AWS Secrets Manager zu integrieren, erstellen Sie zunächst einen Locker und dann Anmeldedaten.

Anmerkung: Wenn Sie Anmeldedaten in den Control Room-Anmeldedatentresoren und externen Schlüsseltresoren speichern möchten, empfehlen wir Ihnen, Folgendes durchzuführen:
  • Erstellen Sie separate Locker im Control Room, um die in den Control Room-Anmeldetresoren erstellten Anmeldedaten zu speichern.
  • Erstellen Sie separate Locker im Control Room, um die in externen Schlüsseltresoren erstellten Anmeldedaten zu speichern.

Der Control Room unterstützt nicht die Speicherung von Anmeldedaten aus dem Control Room-Anmeldedatentresor und den externen Schlüsseltresoren im selben Locker.

Führen Sie die folgenden Schritte aus, um einen Locker für die Integration in AWS Secrets Manager zu erstellen:

  1. Navigieren Sie vom Automation 360-Control Room zu Managen > Anmeldedaten.

    Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.

  2. Wählen Sie auf der Registerkarte Anmeldedaten die Option Locker erstellen aus.
  3. Geben Sie einen Namen für den Locker ein (zum Beispiel Locker3).

    Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen in AWS abhängig.

  4. Klicken Sie auf Externer Schlüsseltresor und geben Sie das Präfix für den geheimen Namen in AWS ein (z. B.: prefixID3). Sie müssen Geheimnisse im AWS Secrets Manager mit dem Namenspräfix benennen, damit die Zuordnung erfolgreich konfiguriert werden kann.
  5. Klicken Sie auf Weiter.
  6. Konfigurieren Sie Eigentümer, Manager, Teilnehmer und Verbraucher für den Locker.
  7. Klicken Sie auf Locker erstellen.

    Einzelheiten finden Sie unter Erstellen von Lockers.

Der Control Room ist nun bereit, Anmeldedaten abzurufen und Zugriffskontrollen für alle Azure-Geheimnisse mit dem Präfix prefixID3 durchzusetzen. Erstellen Sie nun die Anmeldedaten, um fortzufahren.

Führen Sie die folgenden Schritte aus, um Anmeldedaten für die Integration in AWS Secrets Manager zu erstellen:

  1. Navigieren Sie vom Automation 360-Control Room zu Managen > Anmeldedaten.

    Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.

  2. Wählen Sie auf der Registerkarte Anmeldedaten die Option Anmeldedaten erstellen aus.
  3. Geben Sie den Anmeldeinformationsnamen in das Feld Anmeldeinformationsname ein.

    Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen in AWS abhängig.

  4. Klicken Sie unterhalb des Namensfeldes auf Externer Schlüsseltresor.
  5. Wählen Sie aus der Liste der verfügbaren Locker den entsprechenden Locker aus, der zuvor dem Präfix des geheimen Namens für die Geheimnisse zugeordnet war, die Sie jetzt den Anmeldedaten zuordnen.
  6. Geben Sie den AWS Secret_Name_Body in das Feld Geheimer Name ein (z. B.: Object3).
  7. Klicken Sie auf Attribute validieren und abrufen.

    Das System validiert die Zuordnung, indem es versucht, aus dem AWS Secrets Manager ein Geheimnis mit dem Namen Prefix_Secret_Name_Body abzurufen (z. B.: prefixID3_Object3.

    Wenn die Überprüfung fehlschlägt, ist im AWS Secrets Manager kein Geheimnis mit dem Namen vorhanden, der mit der Kombination aus Locker (Präfix) und Anmeldedaten (Secret_Name_Body) übereinstimmt. In diesem Beispiel gibt es im AWS Secrets Manager kein Geheimnis namens prefixID3_Object3.

    Wenn das System das Geheimnis erfolgreich abruft, zeigt es die AWS Secrets Manager-Geheimnisattribute (die Felder innerhalb des Geheimnisses) an.

  8. Wählen Sie in der Liste der Attribute jene Attribute aus, die den Anmeldedaten zugeordnet werden sollen.
  9. Klicken Sie auf Anmeldedaten erstellen.

    Wenn der Vorgang erfolgreich war, wird die Meldung "Anmeldedaten erfolgreich erstellt" angezeigt.