Benennungskonventionen für externe Schlüsseltresore

Für bestimmte Authentifizierungsnachweise und externe Schlüsseltresore gelten Beschränkungen bezüglich der Verwendung bestimmter Zeichen in Nutzernamen, Phrasen und anderem Text. Je nach externem Schlüsseltresor und Verwendungszweck der Anmeldedaten sind außerdem unterschiedliche Benennungskonventionen zu beachten: Automatische Anmeldung für Agent oder Agenten-Automatisierung

Benennungskonventionen für die automatische Anmeldung des Agenten

Bei CyberArk werden alle automatischen Anmeldedaten des Agenten aus dem angegebenen Safe-Namen abgerufen, und es wird davon ausgegangen, dass sie im Safe für Anmeldedaten zur automatischen Anmeldung vorhanden sind. Bei AWS Secrets Manager, Azure Key Vault und HashiCorp Vault müssen die automatischen Anmeldedaten des Agenten den auf dieser Seite beschriebenen Namenskonventionen entsprechen.

Wenn der Control Room einen Abruf von Anmeldedaten für die automatische Anmeldung durchführt, aber keine Anmeldedaten für die automatische Anmeldung im Anmeldedaten-Safe vorhanden sind, die mit dem Nutzernamen übereinstimmen, schlägt die automatische Anmeldung fehl. Bei unbeaufsichtigten Automatisierungen muss im externen Schlüsseltresor für alle Roboter- oder Digital Worker-Nutzer-IDs eine automatische Anmeldung für jeden Control Room-Nutzer konfiguriert sein.

Der Control Room ruft die Anmeldedaten für die automatische Anmeldung auf der Grundlage der Benennungskonvention für Objekte im externen Schlüsseltresor ab. Der Control Room sucht nach einem Objekt, bei dem der Objektname (der Name der Anmeldedaten im externen Schlüsseltresor) mit dem Control Room-Nutzernamen übereinstimmt, für den die automatische Anmeldung durchgeführt wird.

Das Präfix autologin_ ist in allen externen Schlüsseltresoren als Teil der Benennungskonvention für Anmeldedaten für die automatische Anmeldung erforderlich: CyberArk, AWS, Azure und HashiCorp. Der Name der Anmeldedaten für die automatische Anmeldung im externen Schlüsseltresor muss autologin_ gefolgt vom Control Room-Nutzernamen enthalten. In einigen Fällen gibt es bei bestimmten Schlüsseltresoren Einschränkungen hinsichtlich der Zeichen, die in den Objektnamen von Anmeldedaten verwendet werden können. Darüber hinaus müssen bestimmte Zeichen in Automation 360 reserviert oder kodiert werden, um zu unterstützen, wie die verschiedenen Anwendungsfälle Anmeldedaten kodieren.

In der folgenden Tabelle sind Beispiele für die im Control Room erwarteten Benennungskonventionen für Objekte aufgeführt:

Control Room-Nutzername Erwartetes Format des Objektnamens
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
ABCD\user123 autologin_ABCD\user123
user123@rpa.abcd.com autologin_user123@rpa.abcd.com
john autologin_john
Anmerkung: On-Premises-Kunden, die AD-Authentifizierung verwenden, müssen die Nutzernamen für die automatische Anmeldung im UPN-Format oder mit dem Postfix domain\username formatieren.

Beachten Sie bei den Anmeldedaten für die automatische Anmeldung die folgenden Punkte:

  • Der Objektname im externen Schlüsseltresor muss autologin_ als Präfix enthalten.
  • Die Namen der Anmeldedaten für die automatische Anmeldung müssen dem Control Room-Nutzernamen (Anmelde-ID) für die abzurufenden Anmeldedaten entsprechen.

    Bei einigen externen Schlüsseltresoren gibt es Beschränkungen für die Verwendung bestimmter Zeichen, wie z. B. den umgekehrten Schrägstrich (\) und das Kaufmanns-Und (&) im geheimen Namen (Objektnamen), sowie Einschränkungen bei der Interpretation von Sonderzeichen in API-Aufrufen. Wenn die Nutzer-ID Sonderzeichen enthält, müssen Sie den geheimen Namen (Objektnamen) im externen Schlüsseltresor mit Zeichensubstitutionen aus dem ASCII-Code kodieren. Diese sind in der folgenden Tabelle aufgeführt.

Dieses Zeichen ändert sich in diese ASCII-Code-Zeichensubstitution
\ (umgekehrter Schrägstrich) --
- (Gedankenstrich) -2d-
_ (Unterstrich) -5f-
& (kaufmännisches Und-Zeichen) -40-
. (Punkt) -2e-
Anmerkung: Mit Ausnahme des umgekehrten Schrägstrichs, der doppelten Gedankenstrichen zugeordnet wird, werden der Gedankenstrich, der Punkt, der Unterstrich und das Kaufmanns-Und mit ihrem ASCII-Code in Klammern abgebildet.

Benennungskonventionen für die Agenten-Automatisierung

Anmeldedaten für die Agenten-Automatisierung sind Daten, die während der Laufzeit von der Automatisierung abgerufen und vom Automatisierungs-Bot für die Authentifizierung bei Anwendungen verwendet werden. Anmeldedaten für die Automatisierung, die aus externen Schlüsseltresoren abgerufen werden, werden bei der Konfiguration von Lockern und Anmeldedaten über die Automation Anywhere Credential Vault-Option Externer Schlüsseltresor zugeordnet.

Der Automation Anywhere-Locker wird einer der folgenden Optionen zugeordnet:

  • Safe-Name (CyberArk)
  • Präfix von geheimen Namen (AWS, Azure und HashiCorp)

Anmeldedaten werden einer der folgenden Optionen zugeordnet:

  • Ein Objektname (CyberArk)
  • Text von geheimen Namen (AWS, Azure und HashiCorp)
Anmerkung: Sie können jeden Automation Anywhere-Locker einem beliebigen CyberArk-Safe-Namen zuordnen. Die Safe-Namen, die für die Zuordnung von Automatisierungs-Anmeldedaten verwendet werden, sollten sich von den Safe-Namen unterscheiden, die für die automatische Anmeldung verwendet werden.

Zur Unterstützung der in Automation Anywhere nutzerdefinierten Anmeldedaten können Sie Anmeldedaten mit dem Postfix Control Room_username erstellen, da diese auf der Grundlage des Nutzerkontexts des ausgeführten Bots abgerufen werden. Wenn Sie keine benutzerdefinierten Anmeldedaten erstellen, werden beim automatischen Abruf von Anmeldedaten für Bots die Systemanmeldedaten abgerufen.

Anmerkung: On-Premises-Kunden, welche die AD-Authentifizierung verwenden, müssen die Nutzernamen für die Agenten-Automatisierung im UPN-Format oder mit domain\username postfix formatieren.

Externe Schlüsseltresore verbieten verschiedene Sonderzeichen in Geheimnamen. Daher müssen Sie einige Zeichen im Namen der Anmeldedaten (Geheimnis) im externen Schlüsseltresor verschlüsseln, je nachdem, welchen externen Schlüsseltresor (CyberArk, AWS und Azure) Sie verwenden und welche spezifischen Anforderungen dieser hat.

Namenskonvention beim HashiCorp-Geheimnis

Standardmäßig lässt die Control Room-Integration in HashiCorp die folgenden Zeichen ohne Verschlüsselung zu:
  • Großbuchstaben (A–Z)
  • Kleinbuchstaben (a–z)
  • Ziffern (0–9)
  • Sonderzeichen (+=)

Bei anderen Sonderzeichen muss der geheime Name den ASCII-kodierten Wert für das Sonderzeichen enthalten. Für einen Unterstrich (_) muss zum Beispiel -5f- verwendet werden.

On-Premises-Bereitstellungen: Um die vom Control Room verschlüsselten Standardzeichen außer Kraft zu setzen, fügen Sie im Automation Anywhere-Konfigurationsverzeichnis in der Datei keyvault.properties die folgende Eigenschaft und den folgenden Regex-Wert ein. Verwenden Sie zum Beispiel den folgenden Ausdruck, wenn Sie keine Sonderzeichen kodieren möchten: name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$.

Beispiel für eine Automatisierung mit CyberArk Password Vault

Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in CyberArk, die Benennungskonventionen für die Automatisierung verwenden.

Anmerkung: Der Safe-Name entspricht dem Locker für den Control Room, und der Objektname entspricht den Anmeldedaten für den Control Room.
Beispiel für Automatisierungs-Anmeldedaten Control Room-Nutzername Safe-Name Objekt im Locker
Systemanmeldedaten im Locker, der dem Safe-Namen zugeordnet ist Keine: Systemanmeldedaten Finanzen glaccess
Nutzerdefinierte Anmeldedaten im Locker, die dem Safe-Namen zugeordnet sind ABCD\RPA\user123 Finanzen glaccess_ABCD--RPA--user123
Nutzerdefinierte Anmeldedaten im Locker, die dem Safe-Namen zugeordnet sind, während der Nutzername mit ASCII-Zuordnung kodiert ist ABCD\RPA.user123 Finanzen glaccess_ABCD--RPA-2e-user123

Den Nutzernamen für verschiedene Automation 360-Dienste unter Verwendung der geheimen CyberArk-Antwort konfigurieren

Bei der Konfiguration von CyberArk-Einstellungen für einige Automation 360-Dienste wie Autom. Anmeldung, Lightweight Directory Access Protocol (LDAP) und Dienstanmeldeinformationen können Sie optional den Nutzernamen für die Option Enter property set to your CyberArk username konfigurieren. Nutzernamen können sich aus Werten aus der geheimen Antwort oder aus Zeichenfolgenliteralen zusammensetzen. Die geheime CyberArk-Antwort enthält Feldwerte, die Sie in Dollarzeichen ($) einschließen müssen, um den Nutzernamen zu erstellen. Um zum Beispiel den Nutzernamen im Format domain\username zu konfigurieren, müssen Sie Folgendes eingeben: $domain$\$username$. Die Werte für die Domäne und den Nutzernamen in diesem Ausdruck werden durch die entsprechenden Werte aus der geheimen Antwort ersetzt.

Beispiel für die Automatisierung in AWS Secrets Manager

Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in AWS Secrets Manager, die Namenskonventionen für die Automatisierung verwenden.

Anmerkung: Das AWS-Präfix für den geheimen Namen entspricht dem Locker für den Control Room, und der geheime Text in AWS entspricht den Anmeldedaten für den Control Room.
Beispiel für Automatisierungs-Anmeldedaten Control Room-Nutzername AWS-Präfix AWS geheimer Text Geheimnis in AWS

accounting_pdf

Systemanmeldedaten im Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind

Keine: Systemanmeldedaten Buchhaltung pdf accounting_pdf (System)

accounting_pdf_ABCD--user123

Benutzerdefinierte Anmeldedaten in Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind

ABCD\user123 Buchhaltung pdf accounting_pdf_ABCD--user123

Beispiel für die Automatisierung in Azure Key Vault

In der folgenden Tabelle sind Beispiele für externe Schlüsseltresore in Azure Key Vault zu sehen, die Benennungskonventionen für die Automatisierung verwenden.

Anmerkung: Das Azure-Präfix entspricht dem -Locker für den Control Room, und der geheime Text in Azure entspricht den Anmeldedaten für den Control Room.
Beispiel für Automatisierungs-Anmeldedaten Control Room-Nutzername Azure-Präfix Azure geheimer Text Geheimnis in Azure

accounting_cv1

Systemanmeldedaten in Locker, die dem geheimen Namenspräfix accounting in Azure zugeordnet sind

Keine: Systemanmeldedaten Buchhaltung cv1 pdf-5f-cv1 (System)

accounting_cv1_ABCD\user123

Nutzerdefinierte Anmeldedaten in Locker, die dem Azure-Präfix zugeordnet sind

ABCD\user123 Buchhaltung cv1 pdf-5f-cv1-5f-ABCD--user123

Bei der Bereitstellung von Azure-Anmeldedaten ist der Unterstrich (_) in Azure Key Vault ein reserviertes Zeichen und kann nicht in Anmeldedatennamen verwendet werden. Sie müssen alle Unterstriche (_) durch den ASCII-Code 5f ersetzen und in doppelte Bindestriche setzen:

Dieses Zeichen ändert sich in diese ASCII-Code-Zeichensubstitution
\ (Schrägstrich) --
- (Gedankenstrich) -2d-
_ (Unterstrich) -5f-
& (kaufmännisches Und-Zeichen) -40-
. (Punkt) -2e-

Beispiel für Automatisierung von HashiCorp Vault

In der folgenden Tabelle finden Sie HashiCorp Vault-Automatisierungsbeispiele, bei denen die Namenskonventionen für externe Schlüsseltresore verwendet werden.

Anmerkung: Das HashiCorp-Präfix entspricht dem Control Room-Locker, und der geheime Name von HashiCorp entspricht den Control Room-Anmeldedaten.
Beispiel für Automatisierungs-Anmeldedaten Control Room-Nutzername Locker-Präfix Geheimer Name der Anmeldedaten Geheimer Name in HashiCorp

accounting_cred01

Systemanmeldedaten im Locker, die dem geheimen Namenspräfix accounting in HashiCorp zugeordnet sind

Keine: Systemanmeldedaten Buchhaltung cred01 accounting-5f-cred01(system)

accounting_cred01_ABCD\user123

Nutzerdefinierte Anmeldedaten im Locker, die dem HashiCorp-Präfix zugeordnet sind

ABCD\user123 Buchhaltung cred01 accounting-5f-cred01-5f-ABCD--user123

accounting_cred01_john

Nutzerdefinierte Anmeldedaten im Locker, die dem HashiCorp-Präfix zugeordnet sind

Anmerkung: In diesem Beispiel werden Werte ohne Kodierung gezeigt.
john Buchhaltung cred01 accounting_cred01_john