Anwendungsfälle für die Abfrage von Anmeldedaten in CyberArk

Sie können CyberArk-Anmeldedaten für die folgenden Anwendungsfälle abrufen: Bootstrap, System, automatische Anmeldung und Automatisierungen.

Bootstrap-Anmeldedaten für den Control Room mit CyberArk abrufen

Im Automation 360-Control Room werden Bootstrap-Anmeldedaten für den Zugriff auf unterstützende Dienste wie Datenbank, Dienstkonto und Active Directory (AD) verwendet. Sie konfigurieren diese Anmeldedaten während der Erstinstallation Lokal oder nach der Installation (mit dem Dienstprogramm für den Schlüsseltresor), indem Sie den sicheren Namen und den Objektnamen angeben.

In den folgenden Abbildungen ist das Abrufen der Control Room-Bootstrap-Anmeldedaten mit CyberArk dargestellt:

CyberArk Control Room-Abfrage von Bootstrap-Anmeldedaten

Wenn dies während der Startsequenz oder des normalen Betriebs (z. B. bei der Aktualisierung einer Dienstauthentifizierung) erforderlich ist, wird vom Control Room die Verbindung zum Schlüsseltresor verwendet, um die Anmeldedaten abzurufen und die erforderliche Authentifizierung durchzuführen.

Anmerkung: Für diesen Anwendungsfall müssen Sie die Microsoft SQL Server-Authentifizierung auswählen; andere Datenbank-Authentifizierungsmethoden werden im Bootstrap nicht unterstützt.

System-Anmeldedaten für den Control Room mit CyberArk abrufen

Anmerkung: Sie können das Dienstkonto nur während der Erstinstallation konfigurieren.

Wenn Sie bei der Erstinstallation einen externen Schlüsseltresor konfiguriert haben, können Sie (nach der Installation) mit der Benutzeroberfläche in Automation 360 Anmeldedaten für SMTP und Active Directory (AD) konfigurieren.

  1. Melden Sie sich beim Automation 360-Control Room als Administrator an.
  2. Navigieren Sie vom Control Room zu: Administration > Einstellungen > E-Mail-Einstellungen.
  3. Sie können die Anmeldedaten für das AD-Primärkonto aus dem externen Schlüsseltresor zuordnen, externe Anmeldedaten konfigurieren oder auf manuell setzen (Wechsel des Modus zum Abrufen von AD-Primärkonto-Anmeldedaten).

Anmeldedaten für die automatische Anmeldung mit CyberArk abrufen

Anmeldedaten für die automatische Anmeldung werden für die Authentifizierung bei einem Automation 360-Bot-Agent-Gerät und zum Starten einer aktiven Windows-Sitzung verwendet. Die robotergesteuerte Prozessautomatisierung (Robotic Process Automation,RPA) erfordert eine aktive Windows-Sitzung, um zu funktionieren. Die automatische Anmeldung erfolgt vor Ausführung der Automatisierung, wenn Automatisierungen von einem Remote-Bot-Agent-Gerät aus gestartet werden.
Anmerkung:

Wenn die automatische Anmeldung für unbeaufsichtigte Bot Runner aktiviert ist, verwenden alle unbeaufsichtigten Bot Runner-Geräte die automatische Anmeldung, indem sie in den konfigurierten externen Schlüsseltresoren nach den Anmeldedaten suchen. Stellen Sie sicher, dass die Anmeldedaten aller Bot Runner-Geräte in externen Schlüsseltresoren erstellt werden. Andernfalls erhalten die Bot Runner-Geräte die Fehlermeldung Geheimnis wurde nicht gefunden.

Im folgenden Bild ist das Abrufen der Daten für die automatische Anmeldung mit CyberArk dargestellt:

CyberArk-Anmeldedaten für die automatische Anmeldung abrufen

Ein Control Room-Administrator kann einen Auftrag zum Starten einer Automatisierung auf einem Bot-Agent-Gerät manuell starten oder planen, indem er diese Details angibt:

  • Name der Automatisierung (Bot)
  • Gerätename
  • Nutzerkontext

Vom System wird eine automatische Anmeldung bei dem angegebenen Gerät mit dem Nutzernamen und dem Passwort durchgeführt, die dem Nutzerkontext zugeordnet sind. Anschließend wird die Automatisierung auf dem Gerät ausgeführt.

Führen Sie die folgenden Schritte aus, um den Abruf von Anmeldedaten für die automatische Anmeldung aus dem externen Schlüsseltresor zu konfigurieren:

Anmerkung: Vergewissern Sie sich, dass Sie die Anforderungen an die Benennungskonvention für Schlüsseltresore kennen, bevor Sie den CyberArk-Schlüsseltresor integrieren. Einzelheiten finden Sie unter Benennungskonventionen für externe Schlüsseltresore.
  1. Melden Sie sich im Automation 360 Control Room als Administrator mit der Berechtigung zum Anzeigen und Verwalten von Einstellungen an.
  2. Navigieren Sie im Control Room zu Administration > Einstellungen > Geräte.
  3. Scrollen Sie nach unten zum Abschnitt „Einstellungen für die automatische Anmeldung“ und klicken Sie auf Bearbeiten.
  4. Wenn Sie CyberArk zuvor als Verbindung zum externen Schlüsseltresor konfiguriert haben, klicken Sie auf Aktiviert, um die Anmeldedaten für die automatische Anmeldung von diesem externen Schlüsseltresor abzurufen.

    Wenn diese Option deaktiviert ist, wurde die Verbindung mit dem externen Schlüsseltresor nicht konfiguriert.

    Anmerkung: Wenn Sie die automatische Anmeldung über den externen Schlüsseltresor deaktivieren, werden die Anmeldedaten stattdessen über den AAI-Credential Vault und die darin gespeicherten Anmeldedaten abgerufen.
    Anmerkung: Wenn Ihr Control Room einen Gerätepool zum Abrufen von Anmeldedaten für die automatische Anmeldung mit CyberArk verwendet, achten Sie darauf, dass die Option zur automatischen Anmeldung für alle Geräte im Gerätepool aktiviert ist. Andernfalls werden die Anmeldedaten zur automatischen Anmeldung für Geräte, bei denen die entsprechende Option nicht aktiviert ist, nicht abgerufen.
  5. Geben Sie den Safe-Namen ein (z. B.: AA_Auto-login_Safe).
    Der von Ihnen angegebene Name des Safes wird auch als Safe für Anmeldedaten für die automatische Anmeldung bezeichnet.
    Anmerkung: Informationen zu sicheren Namens- und Objektnamenformaten finden Sie unter Benennungskonventionen für externe Schlüsseltresore.
  6. Geben Sie die Eigenschaft ein, die für Ihren CyberArk-Nutzernamen festgelegt wird. Um zum Beispiel den Nutzernamen im Format domain\username zu konfigurieren, müssen Sie Folgendes eingeben: $domain$\$username$. Wobei die Werte für die Domäne und den Nutzernamen aus der CyberArk-Geheimantwort abgerufen werden.
  7. Um einen optionalen Safe hinzuzufügen, klicken Sie auf Optionalen Safe hinzufügen, geben Sie den Safe-Namen ein und wählen Sie dann Rollen aus. Sie können bis zu 25 Safes in ein Formular einfügen.
  8. Klicken Sie auf Änderungen speichern.

    Wenn dies erfolgreich war, wird in einer Meldung angezeigt, dass die Einstellungen für die automatische Anmeldung erfolgreich gespeichert wurden.

Beispiel für Anmeldedaten für die automatische Anmeldung in CyberArk

Stellen Sie sich in diesem Beispiel für den automatischen Abruf von Anmeldedaten einen Control Room-Nutzer vor, der als bestimmter Nutzer einen Bot auf einem Gerät bereitstellen möchte. In diesem Beispiel werden die folgenden Angaben verwendet:

  • Name der Automatisierung (Bot), die auf einem Gerät ausgeführt wird = ProcureToPayGeoEast
  • Gerätename des Agenten = WinVDI1138
  • Nutzerkontext des Agenten = roboticworker2112@automation.abcd.com

Im folgenden Bild ist ein Beispiel für das Abrufen von Anmeldedaten für die automatische Anmeldung mit CyberArk dargestellt:

Beispiel für Anmeldedaten für die automatische Anmeldung in CyberArk

Vergewissern Sie sich vor Beginn der Automatisierung von Folgendem:

  1. Die Verbindungsdetails für den Control Room wurden erfolgreich konfiguriert, und mit Hilfe dieser Verbindungsdetails stellt der Control Room eine Verbindung mit CyberArk her und führt die Authentifizierung durch.
  2. Der Control Room fragt das Bot-Agent-Gerät ab, das auf dem Gerät WinVDI1138 ausgeführt wird, um zu prüfen, ob es eine aktive Windows-Sitzung (Betriebssystem) auf dem Gerät WinVDI1138 gibt und ob diese Sitzung dem Agent-Nutzer robiticworker2112 gehört.

    Ist auf dem Gerät eine Sitzung für den Nutzer robiticworker2112 vorhanden, ist keine automatische Anmeldung erforderlich, und der Bot fährt mit der Bereitstellung fort.

  3. Gibt es jedoch keine aktive Sitzung oder eine aktive Sitzung, die nicht zu robiticworker2112 gehört, dann ruft Control Room die Anmeldedaten für die automatische Anmeldung aus CyberArk Password Vault ab.
  4. Der Control Room übergibt die Anmeldedaten (Passwort) an den Bot-Agenten. Der Bot-Agent führt auf dem Gerät WinVDI1138 eine Windows-Anmeldung als robiticworker2112 durch (und meldet zunächst alle anderen Nutzersitzungen ab) und verwendet die Anmeldedaten für die automatische Anmeldung von robiticworker2112. Die Automatisierung (Bot) ProcureToPayGeoEast wird dann als robiticworker2112 auf dem Gerät WinVDI1138 ausgeführt.

Anmeldedaten für die Automatisierung mit CyberArk abrufen

Anmeldedaten für die Automatisierung sind Variablen, die von Bot-Entwicklern innerhalb von Automatisierungsvorgängen (Bot) verwendet werden, mit denen Daten aus einem verschlüsselten Speicher definiert und abgerufen werden. Die Automatisierung verwendet die Anmeldedaten zur Authentifizierung bei Anwendungen (z. B. Finanzanwendungen). Anmeldedaten für die Automatisierung werden während der Laufzeit von dem Automation 360-Bot-Agenten abgerufen. In CyberArk ist ein Safe ein Locker und ein Objekt sind Anmeldedaten.

In der folgenden Abbildung ist der Abrufvorgang der Automatisierungs-Anmeldedaten mit CyberArk dargestellt:

CyberArk ruft Automatisierungs-Anmeldedaten ab

Anmeldedaten für die Automatisierung, die aus CyberArk Password Vault abgerufen werden, werden im Automation Anywhere-Credential Vault zugeordnet. Der Credential Vault unterstützt diese beiden Arten von Automatisierungs-Anmeldedaten:

Standard-Anmeldedaten
Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert für jede Automatisierung gleich ist, in der diese Variable verwendet wird.
Auf Nutzername basierende Anmeldedaten
Anmeldedaten, bei denen der von der Anmeldedatenvariable zurückgegebene Wert je nach Nutzerkontext unterschiedlich ist, in dem die Automatisierung ausgeführt wird.
Anmerkung: Sie können keine dynamischen Werte in den Central Credential Provider (CCP) von einem anderen Nutzerprofil aus eingeben, wenn Sie die Option für auf Nutzername basierende Anmeldedaten verwenden. Die Werte und Attribute bleiben statisch und werden im CyberArk Password Vault erstellt.

Sowohl für Systemanmeldedaten als auch für nutzerdefinierte Anmeldedaten gibt der Bot-Entwickler innerhalb des Bot-Codes dieselbe Anmeldedatenvariable an. Anschließend wird vom System bestimmt, welche Anmeldedaten während der Bot-Laufzeit abgerufen werden sollen.

Nutzerdefinierte Anmeldedaten vereinfachen die Entwicklung von Automatisierungen, indem sie Bot-Entwicklern ermöglichen, Code mit einer einzelnen Anmeldedatenvariable zu schreiben, wobei die RPA-Plattform den während der Laufzeit zurückgegebenen Wert durch einen eindeutigen nutzerspezifischen Wert ersetzt. Entwickler können mit verschiedenen nutzerspezifischen Anmeldedatenvariablen das Schreiben von doppeltem Code vermeiden.

In der folgenden Abbildung ist die Beziehung zwischen den Automation Anywhere-Credential Vault-Objekten und den CyberArk-Anmeldedaten für system- und benutzerdefinierte Anmeldedaten dargestellt:

Automation Anywhere und CyberArk zugeordnete Anmeldedaten

  • Der Control Room-Locker (Locker1) wird dem CyberArk-Safe-Namen (Safe1) zugeordnet.
  • Die Systemanmeldedaten für den Control Room (Credential1) werden dem CyberArk-Objekt (Object1) zugeordnet.

Als Administrator erstellen und konfigurieren Sie einen Locker und Anmeldedaten mit der externen Schlüsseltresorfunktion im Automation 360-Control Room. Innerhalb des Control Rooms ordnet ein Administrator den Automation Anywhere-Locker (Locker1) einem Safe-Namen (Safe1) zu und ordnet die Berechtigung (Credential1) einem Objektnamen (Object1) zu. Die für Control Room-Nutzer verfügbaren Anmeldedaten werden durch die Konfiguration im externen Schlüsseltresor (CyberArk Password Vault) bestimmt.

Wenn Sie nutzerdefinierte Anmeldedaten mit der CyberArk-Integration verwenden möchten, muss der CyberArk-Administrator Objekte für alle nutzerdefinierten Anmeldedaten erstellen, indem er diese Objekte mit dem Postfix Control Room_username benennt. Während der Laufzeit ruft die RPA-Plattform den Objektnamen ab, der mit einem Postfix benannt ist, das dem Nutzerkontext (nutzerdefinierte Anmeldedaten) entspricht, in dem die Automatisierung ausgeführt wird. Wenn es keine nutzerdefinierten Anmeldedaten gibt, ruft die RPA-Plattform den Objektnamen ohne Postfix für den Nutzernamen ab (und verwendet die Systemanmeldedaten).

Anmerkung: Sie können jeden Automation Anywhere-Locker einem beliebigen CyberArk-Safe-Namen zuordnen. Die Safe-Namen, die Sie für die Zuordnung von Anmeldedaten für die Automatisierung verwenden, sollten sich jedoch von den Namen der Safes unterscheiden, die Sie für die automatische Anmeldung verwenden.

Als Administrator können Sie mit den Zugriffskontrollen im Automation 360-Control Room den Zugriff auf Anmeldedaten trennen, indem Sie Nutzern Zugriff auf einen Locker gewähren. Sie steuern den Zugriff auf Anmeldedaten, indem Sie verschiedenen Control Room-Nutzern verschiedene Rollen zuweisen und dann verschiedene Locker mit diesen Rollen verknüpfen. Durch die Zuordnung verschiedener CyberArk-Safes zu verschiedenen Lockern wird der Zugriff auf Anmeldedaten in den CyberArk-Safes den Zugriffskontrollen im Control Room zugeordnet und von diesen durchgesetzt.

Anmerkung: Die gleichen Berechtigungen und Privilegien (die über Rollen zugewiesen werden) im Control Room gelten für Anmeldedaten, die dem externen Schlüsseltresor zugeordnet sind.

Beispiel für das Abrufen von Anmeldedaten durch CyberArk-Automatisierungen

Um den automatischen Abruf von Anmeldedaten zu konfigurieren und in CyberArk Password Vault zu integrieren, erstellen Sie zunächst einen Locker und dann Anmeldedaten.

Anmerkung: Wenn Sie Anmeldedaten in den Control Room-Anmeldedatentresoren und externen Schlüsseltresoren speichern möchten, empfehlen wir Ihnen, Folgendes durchzuführen:
  • Erstellen Sie separate Locker im Control Room, um die in den Control Room-Anmeldetresoren erstellten Anmeldedaten zu speichern.
  • Erstellen Sie separate Locker im Control Room, um die in externen Schlüsseltresoren erstellten Anmeldedaten zu speichern.

Der Control Room unterstützt nicht die Speicherung von Anmeldedaten aus dem Control Room-Anmeldedatentresor und den externen Schlüsseltresoren im selben Locker.

Führen Sie die folgenden Schritte aus, um einen Locker für die Integration in CyberArk Password Vault zu erstellen:

  1. Navigieren Sie vom Automation 360-Control Room zu Managen > Anmeldedaten.

    Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.

  2. Klicken Sie auf die Registerkarte Locker.
  3. Klicken Sie auf Locker erstellen.
  4. Geben Sie einen Namen für den Locker ein.

    Dieser Name gilt lokal für den Control Room und besitzt keine Abhängigkeit vom CyberArk-Safe-Namen.

  5. Klicken Sie auf Externer Schlüsseltresor und geben Sie den Namen des CyberArk-Safes in das Feld Safe-Name ein (z. B.: Finance_Safe).
    Anmerkung: Informationen zu sicheren Namens- und Objektnamenformaten finden Sie unter Benennungskonventionen für externe Schlüsseltresore.
  6. Klicken Sie auf Weiter.
  7. Konfigurieren Sie Eigentümer, Manager, Teilnehmer und Verbraucher für den Locker.
  8. Klicken Sie auf Locker erstellen.

    Einzelheiten finden Sie unter Erstellen von Lockers.

Der Control Room ist nun bereit, Anmeldedaten abzurufen und Zugriffskontrollen für den zugeordneten CyberArk-Safe durchzusetzen. Erstellen Sie nun die Anmeldedaten, um fortzufahren.

Führen Sie die folgenden Schritte aus, um Anmeldedaten für die Integration in CyberArk Password Vault zu erstellen:

  1. Navigieren Sie vom Automation 360-Control Room zu Managen > Anmeldedaten.

    Ein Nutzer mit der Berechtigung Meine Anmeldedaten und Locker verwalten ist berechtigt, Anmeldedaten zu erstellen.

  2. Wählen Sie auf der Registerkarte Anmeldedaten die Option Anmeldedaten erstellen aus.
  3. Geben Sie den Anmeldeinformationsnamen in das Feld Anmeldeinformationsname ein.

    Dieser Name gilt lokal für den Control Room und besitzt keine Abhängigkeit vom CyberArk-Safe-Namen.

    Anmerkung: Informationen zu sicheren Namens- und Objektnamenformaten finden Sie unter Benennungskonventionen für externe Schlüsseltresore.
  4. Klicken Sie unterhalb des Namensfeldes auf Externer Schlüsseltresor.
  5. Wählen Sie in der Liste der verfügbaren Locker den entsprechenden Locker aus, der zuvor dem Safe-Namen für die Anmeldedaten zugeordnet wurde, die Sie jetzt dem Objekt (Anmeldedaten) zuordnen.
  6. Geben Sie den CyberArk-Objektnamen in das Feld Objektname ein.
  7. Klicken Sie auf Attribute validieren und abrufen.

    Das System überprüft die Zuordnung, indem es versucht, die Kombination aus Safe-Name (Locker) und Objektname (Anmeldedaten) aus dem CyberArk Password Vault abzurufen. Innerhalb des Safe-Namens, der dem Locker zugeordnet ist, erwartet Automation 360, dass die Benennungskonventionen der Objekte eingehalten werden. . Einzelheiten finden Sie unter Benennungskonventionen für externe Schlüsseltresore.

    Wenn die Validierung fehlschlägt, existiert im CyberArk Password Vault kein Objekt mit dem Namen, der der Kombination aus Safe-Name (Locker) und Objektname (Anmeldedaten) entspricht.

    Wenn das System die Objektdetails erfolgreich abruft, werden die Objektattribute des CyberArk Passworttresors (die Felder innerhalb des Geheimnisses) angezeigt.

  8. Wählen Sie in der Liste der Attribute jene Attribute aus, die den Anmeldedaten zugeordnet werden sollen.
  9. Klicken Sie auf Anmeldedaten erstellen.

    Wenn der Vorgang erfolgreich war, wird die Meldung „Anmeldedaten erfolgreich erstellt“ angezeigt.