Anwendungsfälle für die Abfrage von Anmeldedaten in Azure
- Zuletzt aktualisiert2024/01/22
Anwendungsfälle für die Abfrage von Anmeldedaten in Azure
Sie können Azure-Anmeldedaten für folgende Anwendungsfälle abrufen: Bootstrap, System, automatische Anmeldung und Automatisierungen.
Bootstrap-Anmeldedaten im Control Room abrufen
Der Automation 360 Control Room verwendet Bootstrap-Anmeldedaten für den Zugriff auf unterstützende Dienste wie Datenbank, Dienstkonto und Active Directory (AD). Sie konfigurieren diese Anmeldedaten während der Lokal Erstinstallation oder nach der Installation (mit dem Dienstprogramm für den Schlüsseltresor), indem Sie den Objektnamen angeben.
In der folgenden Abbildung ist der Abrufvorgang der Control Room-Bootstrap-Anmeldedaten mit Azure dargestellt:
Wenn dies während der Startsequenz oder des normalen Betriebs (z. B. bei der Aktualisierung einer Dienstauthentifizierung) erforderlich ist, wird vom Control Room die Verbindung zum Schlüsseltresor verwendet, um die Anmeldedaten abzurufen und die erforderliche Authentifizierung durchzuführen.
System-Anmeldedaten des Control Rooms abrufen
Wenn Sie bei der Erstinstallation einen externen Schlüsseltresor konfiguriert haben, können Sie (nach der Installation) die Benutzeroberfläche in Automation 360 verwenden, um Anmeldedaten für SMTP und Active Directory (AD) zu konfigurieren.
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie vom Control Room zu: .
- Sie können die Anmeldedaten für das AD-Primärkonto aus dem externen Schlüsseltresor zuordnen, externe Anmeldedaten konfigurieren oder auf manuell setzen (Wechsel des Modus zum Abrufen von AD-Primärkonto-Anmeldedaten).
Anmeldedaten für die automatische Anmeldung abrufen
Anmeldedaten für die automatische Anmeldung werden für die Authentifizierung bei einem Automation 360-Bot-Agent-Gerät und zum Starten einer aktiven Windows-Sitzung verwendet. Die robotergesteuerte Prozessautomatisierung (Robotic Process Automation,RPA) erfordert eine aktive Windows-Sitzung, um zu funktionieren. Die automatische Anmeldung erfolgt vor Ausführung der Automatisierung, wenn Automatisierungen von einem Remote-Bot-Agent-Gerät aus gestartet werden.
Im folgenden Bild ist Vorgang zum Abrufen der automatischen Anmeldedaten mit Azure dargestellt:
Ein Control Room-Administrator kann einen Auftrag zum Starten einer Automatisierung auf einem Bot-Agent-Gerät manuell starten oder planen, indem er diese Details angibt:
- Name der Automatisierung (Bot)
- Gerätename
- Nutzerkontext
Vom System wird eine automatische Anmeldung bei dem angegebenen Gerät mit dem Nutzernamen und dem Passwort durchgeführt, die dem Nutzerkontext zugeordnet sind. Anschließend wird die Automatisierung auf dem Gerät ausgeführt.
Sie müssen ein Geheimnis für jeden Control Room-Nutzer haben, für den die Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor abgerufen werden, und der Name des Geheimnisses in Azure Key Vault muss mit dem Control Room-Nutzernamen übereinstimmen.
Führen Sie die folgenden Schritte aus, um den Abruf von Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor zu konfigurieren:
- Melden Sie sich beim Automation 360-Control Room als Administrator an.
- Navigieren Sie im Control Room zu .
- Scrollen Sie nach unten zum Abschnitt „Einstellungen für die automatische Anmeldung“ und klicken Sie auf Bearbeiten.
- Wenn Sie Azure Key Vault zuvor als Verbindung mit dem externen Schlüsseltresor konfiguriert haben, klicken Sie auf Aktiviert, um die Anmeldedaten für die automatische Anmeldung aus diesem externen Schlüsseltresor abzurufen.
Wenn diese Option deaktiviert ist, wurde die Verbindung mit dem externen Schlüsseltresor nicht konfiguriert.
Anmerkung: Wenn Sie die automatische Anmeldung über den externen Schlüsseltresor deaktivieren, werden die Anmeldedaten stattdessen über den AAI-Credential Vault und die darin gespeicherten Anmeldedaten abgerufen. - Der Azure Key Vault hat einen flachen Namespace ohne organisatorische Container, so dass Sie keinen sicheren Namen eingeben müssen. Klicken Sie auf Änderungen speichern.
Wenn dies erfolgreich war, wird die Meldung angezeigt, dass die Einstellungen für die automatische Anmeldung erfolgreich gespeichert wurden.
Benennungskonventionen für die automatische Anmeldung
Der Control Room ruft die Anmeldedaten für die automatische Anmeldung auf der Grundlage der Benennungskonvention für Objekte im externen Schlüsseltresor ab. Der Control Room sucht nach einem Objekt, bei dem der Objektname (der Name der Anmeldedaten im externen Schlüsseltresor) mit dem Control Room-Nutzernamen übereinstimmt, für den die automatische Anmeldung durchgeführt wird.
Das Präfix autologin_ ist in allen externen Schlüsseltresoren als Teil der Benennungskonvention für Anmeldedaten für die automatische Anmeldung erforderlich: CyberArk, AWS und Azure. Der Name der Anmeldedaten für die automatische Anmeldung im externen Schlüsseltresor muss autologin_ gefolgt vom Control Room-Nutzernamen enthalten. In einigen Fällen gibt es bei bestimmten Schlüsseltresoren Einschränkungen hinsichtlich der Zeichen, die in den Objektnamen von Anmeldedaten verwendet werden können. Darüber hinaus müssen bestimmte Zeichen in Automation 360 reserviert oder kodiert werden, um zu unterstützen, wie die verschiedenen Anwendungsfälle Anmeldedaten kodieren.
In der folgenden Tabelle sind Beispiele für die im Control Room erwarteten Benennungskonventionen für Objekte aufgeführt:
Control Room-Nutzername | Erwartetes Format des Objektnamens |
---|---|
ABCD\user123 | autologin_ABCD--user123 |
user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
Beachten Sie bei den Anmeldedaten für die automatische Anmeldung die folgenden Punkte:
- Der Objektname im externen Schlüsseltresor muss autologin_ als Präfix enthalten.
- Die Namen der Anmeldedaten für die automatische Anmeldung müssen dem Control Room-Nutzernamen (Anmelde-ID) für die abzurufenden Anmeldedaten entsprechen.
Bei einigen externen Schlüsseltresoren gibt es Beschränkungen für die Verwendung bestimmter Zeichen, wie z. B. den umgekehrten Schrägstrich (\) und das Kaufmanns-Und (&) im geheimen Namen (Objektnamen), sowie Einschränkungen bei der Interpretation von Sonderzeichen in API-Aufrufen. Wenn die Nutzer-ID Sonderzeichen enthält, müssen Sie den geheimen Namen (Objektnamen) im externen Schlüsseltresor mit Zeichensubstitutionen aus dem ASCII-Code kodieren. Diese sind in der folgenden Tabelle aufgeführt.
Dieses Zeichen | ändert sich in diese ASCII-Code-Zeichensubstitution |
---|---|
\ (umgekehrter Schrägstrich) | -- |
- (Gedankenstrich) | -2d- |
_ (Unterstrich) | -5f- |
& (kaufmännisches Und-Zeichen) | -40- |
. (Punkt) | -2e- |
Beispiel für Anmeldedaten für die automatische Anmeldung in Azure
Stellen Sie sich in diesem Beispiel für den automatischen Abruf von Anmeldedaten einen Control Room-Nutzer vor, der als bestimmter Nutzer einen Bot auf einem Gerät bereitstellen möchte. In diesem Beispiel werden die folgenden Angaben verwendet:
- Name der Automatisierung (Bot), die auf einem Gerät ausgeführt wird = ProcureToPayGeoEast
- Gerätename des Agenten = WinVDI1138
- Nutzerkontext des Agenten = rpauserCR1@abcd.com
Im folgenden Bild ist ein Beispiel für das Abrufen von Anmeldedaten für die automatische Anmeldung mit Azure dargestellt:
Vergewissern Sie sich vor Beginn der Automatisierung von Folgendem:
- Die Control Room-Verbindungsdetails wurden erfolgreich konfiguriert, und der Control Room verwendet diese Verbindungsdetails, um eine Verbindung mit Azure herzustellen und die Authentifizierung durchzuführen.
- Der Control Room fragt das Bot-Agent-Gerät ab, das auf dem Gerät WinVDI1138 ausgeführt wird, um zu prüfen, ob es eine aktive Windows-Sitzung (Betriebssystem) auf dem Gerät WinVDI1138 gibt und ob diese Sitzung dem Agent-Nutzer rpauserCR1 gehört.
Ist auf dem Gerät eine Sitzung für den Nutzer rpauserCR1 vorhanden, ist keine automatische Anmeldung erforderlich, und der Bot fährt mit der Bereitstellung fort.
- Wenn es jedoch keine aktive Sitzung gibt oder wenn es eine aktive Sitzung gibt, die nicht zu rpauserCR1 gehört, dann ruft Control Room die Anmeldedaten für die automatische Anmeldung aus Azure Key Vault ab.
- Der Control Room übergibt die Anmeldedaten (Passwort) an den Bot-Agenten. Der Bot-Agent führt auf dem Gerät WinVDI1138 eine Windows-Anmeldung als rpauserCR1 durch (und meldet zunächst alle anderen Nutzersitzungen ab) und verwendet die Anmeldedaten für die automatische Anmeldung von rpauserCR1. Die Automatisierung (Bot) ProcureToPayGeoEast wird dann als rpauserCR1 auf dem Gerät WinVDI1138 ausgeführt.
Anmeldedaten für die Automatisierung abrufen
Anmeldedaten für die Automatisierung sind Variablen, die von Bot-Entwicklern innerhalb von Automatisierungsvorgängen (Bot) verwendet werden, mit denen Daten aus einem verschlüsselten Speicher definiert und abgerufen werden. Die Automatisierung verwendet die Anmeldedaten zur Authentifizierung bei Anwendungen (z. B. Finanzanwendungen). Anmeldedaten für die Automatisierung werden während der Laufzeit von dem Automation 360-Bot-Agenten abgerufen.
In der folgenden Abbildung ist der Abrufvorgang der Automatisierungs-Anmeldedaten mit Azure dargestellt:
Automatisierungs-Anmeldedaten, die aus Azure Key Vault abgerufen werden, werden im Automation Anywhere-Credential Vault zugeordnet. Der Credential Vault unterstützt diese beiden Arten von Automatisierungs-Anmeldedaten:
- Systemanmeldedaten
- Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert für jede Automatisierung gleich ist, in der diese Variable verwendet wird.
- Nutzerdefinierte Anmeldedaten
- Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert je nach Nutzerkontext unterschiedlich ist, in dem die Automatisierung ausgeführt wird.
Sowohl für Systemanmeldedaten als auch für nutzerdefinierte Anmeldedaten gibt der Bot-Entwickler innerhalb des Bot-Codes dieselbe Anmeldedatenvariable an. Anschließend wird vom System bestimmt, welche Anmeldedaten während der Bot-Laufzeit abgerufen werden sollen.
Nutzerdefinierte Anmeldedaten vereinfachen die Entwicklung von Automatisierungen, indem sie Bot-Entwicklern ermöglichen, Code mit einer einzelnen Anmeldedatenvariable zu schreiben, wobei die RPA-Plattform den während der Laufzeit zurückgegebenen Wert durch einen eindeutigen nutzerspezifischen Wert ersetzt. Entwickler können mit verschiedenen nutzerspezifischen Anmeldedatenvariablen das Schreiben von doppeltem Code vermeiden.
In der folgenden Abbildung ist die erwartete Benennungskonvention für Azure-Anmeldedaten dargestellt:
In dem Diagramm sind sechs Geheimnisse im Azure Key Vault zu sehen, die zwei Anmeldedaten im Control Room-Credential Vault zugeordnet werden können.
- Object3
- Object4
Zum Beispiel können Sie einen Locker im Control Room entweder prefixID3 oder prefixID4 zuordnen. Dann ordnen Sie das Geheimnis einem Anmeldedatensatz zu. Für jeden Anmeldedatensatz werden die Geheimnisse als ein systemdefinierter (ohne Postfix des Nutzernamens) und zwei benutzerdefinierte Anmeldedatensätze (jeweils einer für die Control Room-Nutzer mit den Nutzernamen User1ID1 und User1ID2) verbraucht (vom Control Room abgerufen).
Innerhalb von Azure Key Vault werden Automatisierungs-Anmeldedaten mit einem Namen gespeichert, der bestimmte Kennungen enthält: ein Präfix, eine Objektkennung und ein optionales Postfix, mit dem ein Nutzername identifiziert wird. Dies ist eine erforderliche Benennungskonvention, durch die gewährleistet wird, dass die richtigen Anmeldedaten abgerufen werden können. Mit dem Namen des Geheimnisses (der Anmeldedaten) in Azure Key Vault werden Informationen bezüglich der Zuordnung innerhalb des Automation Anywhere-Credential Vaults kodiert.
Als Administrator erstellen und konfigurieren Sie zum Zuordnen eines Control Rooms zu Azure Key Vault mit Hilfe der Option „Externer Schlüsseltresor“ in den Funktionen Locker erstellen und Anmeldedaten erstellen im Automation 360-Control Room einen Locker und Anmeldedaten:
- Sie konfigurieren einen Locker im Credential Vault, um einen geheimen Namen einem Präfix in Azure zuzuordnen.
- Sie konfigurieren Anmeldedaten im Credential Vault, die der Objektkennung eines Geheimnisses in Azure zugeordnet sind (optionales Postfix für benutzerdefinierte Anmeldedaten).
Während der Laufzeit wird das Geheimnis aus der RPA-Plattform abgerufen, das mit einem Postfix benannt ist, das dem Nutzerkontext (benutzerdefinierte Anmeldedaten) entspricht, in dem die Automatisierung ausgeführt wird. Wenn es keine benutzerdefinierten Anmeldedaten gibt, wird das Geheimnis ohne Postfix für den Nutzernamen aus der RPA-Plattform abgerufen (System-Anmeldedaten).
Der Control Room implementiert durch Berechtigungen innerhalb von Rollen Zugriffskontrollen für die externen Anmeldedaten. Sie steuern den Zugriff auf Anmeldedaten, indem Sie verschiedenen Control Room-Nutzern verschiedene Rollen zuweisen und dann verschiedene Locker mit diesen Rollen verknüpfen.
In dem folgenden Bild sind der Control Room-Credential Vault Locker und die Anmeldedaten dargestellt, die einem Azure-Geheimnis zugeordnet sind:
Benennungskonventionen in der Automatisierung
In der folgenden Tabelle sind Beispiele für externe Schlüsseltresore in Azure Key Vault zu sehen, die Benennungskonventionen für die Automatisierung verwenden.
Beispiel für Automatisierungs-Anmeldedaten | Azure-Präfix | Azure geheimer Text | Geheimnis in Azure | Control Room-Nutzername |
---|---|---|---|---|
accounting_cv1 Systemanmeldedaten in Locker, die dem geheimen Namenspräfix accounting in Azure zugeordnet sind |
Buchhaltung | cv1 | pdf-5f-cv1 (System) | Keine: Systemanmeldedaten |
accounting_cv1_ABCD\user123 Nutzerdefinierte Anmeldedaten in Locker, die dem Azure-Präfix zugeordnet sind |
Buchhaltung | cv1 | pdf-5f-cv1-5f-ABCD--user123 | ABCD\user123 |
Bei der Bereitstellung von Azure-Anmeldedaten ist der Unterstrich (_) in Azure Key Vault ein reserviertes Zeichen und kann nicht in Anmeldedatennamen verwendet werden. Sie müssen alle Unterstriche (_) durch den ASCII-Code 5f ersetzen und in doppelte Bindestriche setzen:
Dieses Zeichen | ändert sich in diese ASCII-Code-Zeichensubstitution |
---|---|
\ (Schrägstrich) | -- |
- (Gedankenstrich) | -2d- |
_ (Unterstrich) | -5f- |
& (kaufmännisches Und-Zeichen) | -40- |
. (Punkt) | -2e- |
Beispiel für das Abrufen von Anmeldedaten für Azure-Automatisierungen
Um den automatischen Abruf von Anmeldedaten zu konfigurieren und in Azure Key Vault zu integrieren, erstellen Sie zunächst einen Locker und dann Anmeldedaten.
- Erstellen Sie separate Locker im Control Room, um die in den Control Room-Anmeldetresoren erstellten Anmeldedaten zu speichern.
- Erstellen Sie separate Locker im Control Room, um die in externen Schlüsseltresoren erstellten Anmeldedaten zu speichern.
Der Control Room unterstützt nicht die Speicherung von Anmeldedaten aus dem Control Room-Anmeldedatentresor und den externen Schlüsseltresoren im selben Locker.
Führen Sie die folgenden Schritte aus, um einen Locker für die Integration in Azure Key Vault zu erstellen:
- Navigieren Sie vom Automation 360-Control Room zu .
Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.
- Wählen Sie auf der Registerkarte Anmeldedaten die Option Locker erstellen aus.
- Geben Sie einen Namen für den Locker ein (zum Beispiel Locker3).
Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen in Azure abhängig.
- Klicken Sie auf Tresor für externen Schlüssel und geben Sie das Präfix für den geheimen Namen in Azure ein (zum Beispiel: prefixID3). Sie müssen Geheimnisse innerhalb des Azure Key Vault mit dem Namenspräfix benennen, damit die Zuordnung erfolgreich konfiguriert werden kann.
- Klicken Sie auf Weiter.
- Konfigurieren Sie Eigentümer, Manager, Teilnehmer und Verbraucher für den Locker.
- Klicken Sie auf Locker erstellen.
Einzelheiten finden Sie unter Erstellen von Lockers.
Der Control Room ist nun bereit, Anmeldedaten abzurufen und Zugriffskontrollen für alle Azure-Geheimnisse mit dem Präfix prefixID3 durchzusetzen. Erstellen Sie nun die Anmeldedaten, um fortzufahren.
Führen Sie die folgenden Schritte aus, um Anmeldedaten für die Integration in Azure Key Vault zu erstellen:
- Navigieren Sie vom Automation 360-Control Room zu .
Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.
- Wählen Sie auf der Registerkarte Anmeldedaten die Option Anmeldedaten erstellen aus.
- Geben Sie den Anmeldeinformationsnamen in das Feld Anmeldeinformationsname ein.
Dieser Name gilt lokal für den Control Room und ist nicht von dem geheimen Namen in Azure abhängig.
- Klicken Sie unterhalb des Namensfeldes auf Externer Schlüsseltresor.
- Wählen Sie aus der Liste der verfügbaren Locker den entsprechenden Locker aus, der zuvor dem Präfix des geheimen Namens für die Geheimnisse zugeordnet war, die Sie jetzt den Anmeldedaten zuordnen.
- Geben Sie den Azure Secret_Name_Body in das Feld Geheimer Name ein (z. B.: Object3).
- Klicken Sie auf Attribute validieren und abrufen.
Das System validiert die Zuordnung, indem es versucht, aus dem Azure Key Vault ein Geheimnis mit dem Namen Prefix_Secret_Name_Body_LoggedInUser abzurufen (zum Beispiel: prefixID3_Object3_testuser1).
Wenn die Validierung fehlschlägt, prüfen Sie die folgenden Parameter:- Überprüfen Sie, dass im Azure Key Vault kein Geheimnis mit dem Namen vorhanden ist, der mit der Kombination aus Locker (Präfix) und Anmeldedaten (Secret_Name_Body) übereinstimmt. In diesem Beispiel gibt es im Azure Key Vault kein Geheimnis namens prefixID3_Object3.
- Überprüfen Sie, dass der Nutzername oder der geheime Name keine Sonderzeichen oder Verschlüsselung enthält.
Siehe: Benennungskonventionen für externe Schlüsseltresore.
Wenn das System das Geheimnis erfolgreich abruft, zeigt es die Azure Key Vault-Geheimnisattribute (die Felder innerhalb des Geheimnisses) an.
Anmerkung: Der geheime Wert muss im folgenden Json-Format vorliegen:{ "username": "dummyUserName", "password": "dummyPassword" }
- Wählen Sie in der Liste der Attribute jene Attribute aus, die den Anmeldedaten zugeordnet werden sollen.
- Klicken Sie auf Anmeldedaten erstellen.
Wenn der Vorgang erfolgreich war, wird die Meldung "Anmeldedaten erfolgreich erstellt" angezeigt.