Benennungskonventionen für externe Schlüsseltresore
- Zuletzt aktualisiert2024/10/14
Benennungskonventionen für externe Schlüsseltresore
Für bestimmte Authentifizierungsnachweise und externe Schlüsseltresore gelten Beschränkungen bezüglich der Verwendung bestimmter Zeichen in Nutzernamen, Phrasen und anderem Text. Je nach externem Schlüsseltresor und Verwendungszweck der Anmeldedaten sind außerdem unterschiedliche Benennungskonventionen zu beachten: Automatische Anmeldung für Agent oder Agenten-Automatisierung
Benennungskonventionen für die automatische Anmeldung des Agenten
Bei CyberArk werden alle automatischen Anmeldedaten des Agenten aus dem angegebenen Safe-Namen abgerufen, und es wird davon ausgegangen, dass sie im Safe für Anmeldedaten zur automatischen Anmeldung vorhanden sind. Für AWS Secrets Manager, Microsoft Azure Key Vault und HashiCorp Vault müssen die automatischen Anmeldedaten des Agenten den auf dieser Seite beschriebenen Namenskonventionen entsprechen.
Wenn der Control Room einen Abruf von Anmeldedaten für die automatische Anmeldung durchführt, aber keine Anmeldedaten für die automatische Anmeldung im Anmeldedaten-Safe vorhanden sind, die mit dem Nutzernamen übereinstimmen, schlägt die automatische Anmeldung fehl. Bei unbeaufsichtigten Automatisierungen muss im externen Schlüsseltresor für alle Roboter- oder Digital Worker-Nutzer-IDs eine automatische Anmeldung für jeden Control Room-Nutzer konfiguriert sein.
Der Control Room ruft die Anmeldedaten für die automatische Anmeldung auf der Grundlage der Benennungskonvention für Objekte im externen Schlüsseltresor ab. Der Control Room sucht nach einem Objekt, bei dem der Objektname (der Name der Anmeldedaten im externen Schlüsseltresor) mit dem Control Room-Nutzernamen übereinstimmt, für den die automatische Anmeldung durchgeführt wird.
Das Präfix autologin_ ist als Teil der Benennungskonvention für Anmeldedaten für die automatische Anmeldung in allen unterstützten externen Schlüsseltresoren erforderlich. Der Name der Anmeldedaten für die automatische Anmeldung im externen Schlüsseltresor muss autologin_ gefolgt vom Control Room-Nutzernamen enthalten. In einigen Fällen gibt es bei bestimmten Schlüsseltresoren Einschränkungen hinsichtlich der Zeichen, die in den Objektnamen von Anmeldedaten verwendet werden können. Darüber hinaus müssen bestimmte Zeichen in Automation 360 reserviert oder kodiert werden, um zu unterstützen, wie die verschiedenen Anwendungsfälle Anmeldedaten kodieren.
In der folgenden Tabelle sind Beispiele für die im Control Room erwarteten Benennungskonventionen für Objekte aufgeführt:
Control Room-Nutzername | Erwartetes Format des Objektnamens |
---|---|
ABCD\user123 | autologin_ABCD--user123 |
user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
ABCD\user123 | autologin_ABCD\user123 |
user123@rpa.abcd.com | autologin_user123@rpa.abcd.com |
john | autologin_john |
Beachten Sie bei den Anmeldedaten für die automatische Anmeldung die folgenden Punkte:
- Der Objektname im externen Schlüsseltresor muss autologin_ als Präfix enthalten.
- Die Namen der Anmeldedaten für die automatische Anmeldung müssen dem Control Room-Nutzernamen (Anmelde-ID) für die abzurufenden Anmeldedaten entsprechen.
Bei einigen externen Schlüsseltresoren gibt es Beschränkungen für die Verwendung bestimmter Zeichen, wie z. B. den umgekehrten Schrägstrich (\) und das Kaufmanns-Und (&) im geheimen Namen (Objektnamen), sowie Einschränkungen bei der Interpretation von Sonderzeichen in API-Aufrufen. Wenn die Nutzer-ID Sonderzeichen enthält, müssen Sie den geheimen Namen (Objektnamen) im externen Schlüsseltresor mit Zeichensubstitutionen aus dem ASCII-Code kodieren. Diese sind in der folgenden Tabelle aufgeführt.
Dieses Zeichen | ändert sich in diese ASCII-Code-Zeichensubstitution |
---|---|
\ (umgekehrter Schrägstrich) | -- |
- (Gedankenstrich) | -2d- |
_ (Unterstrich) | -5f- |
& (kaufmännisches Und-Zeichen) | -40- |
. (Punkt) | -2e- |
Automation 360 ermöglicht es Ihnen, die benutzerdefinierte Benennung des Geheimnisses zu konfigurieren, das für die automatische Anmeldung auf Client-Geräten verwendet wird, auf denen Sie die Automatisierungen (Bots) ausführen.
Sie können Anmeldedaten in Ihrem Tresor gemäß den Standards und dem Namensformat Ihrer Organisation einrichten. Dann können Sie diese geheimen Namen auf Control Room-Nutzernamen abbilden.
Beim Zuordnen externer Schlüsseltresore zum Control Room für die automatische Anmeldung ermöglicht ein benutzerdefiniertes Namensformat die Erstellung spezifischer Namen für die von Bot Runner verwendeten Geheimnisse. Dies verbessert die Benutzerfreundlichkeit, indem sichergestellt wird, dass die Namen den Standards Ihrer Organisation entsprechen.
- Sie können ein Namensformat erstellen, das Ihren betrieblichen Anforderungen entspricht und sich vom Standardformat unterscheidet (Beispiel: autologin_<bot-runner_username>).
- Sie können jedes Geheimnis, das im externen Schlüsseltresor gespeichert ist, seinem entsprechenden Control Room-Nutzernamen zuordnen, der für Autologin-Zwecke verwendet wird.
Das Definieren eigener geheimer Namen verbessert die Benutzerfreundlichkeit, indem es sich an den Standards Ihrer Organisation orientiert. Einzelheiten finden Sie unter Benutzerdefinierte Geheimniszuordnung.
Benennungskonventionen für die Agenten-Automatisierung
Anmeldedaten für die Agenten-Automatisierung sind Daten, die während der Laufzeit von der Automatisierung abgerufen und vom Automatisierungs-Bot für die Authentifizierung bei Anwendungen verwendet werden. Anmeldedaten für die Automatisierung, die aus externen Schlüsseltresoren abgerufen werden, werden bei der Konfiguration von Lockern und Anmeldedaten über die Automation Anywhere Credential Vault-Option Externer Schlüsseltresor zugeordnet.
Der Automation Anywhere-Locker wird einer der folgenden Optionen zugeordnet:
- Safe-Name (CyberArk)
- Präfix von geheimen Namen (AWS, Azure und HashiCorp)
Anmeldedaten werden einer der folgenden Optionen zugeordnet:
- Ein Objektname (CyberArk)
- Text von geheimen Namen (AWS, Azure und HashiCorp)
Zur Unterstützung der in Automation Anywhere nutzerdefinierten Anmeldedaten können Sie Anmeldedaten mit dem Postfix Control Room_username erstellen, da diese auf der Grundlage des Nutzerkontexts des ausgeführten Bots abgerufen werden. Wenn Sie keine benutzerdefinierten Anmeldedaten erstellen, werden beim automatischen Abruf von Anmeldedaten für Bots die Systemanmeldedaten abgerufen.
Externe Schlüsseltresore verbieten verschiedene Sonderzeichen in Geheimnamen. Daher müssen Sie einige Zeichen im Namen der Anmeldedaten (Geheimnis) im externen Schlüsseltresor verschlüsseln, je nachdem, welchen externen Schlüsseltresor (CyberArk, AWS und Azure) Sie verwenden und welche spezifischen Anforderungen dieser hat.
Namenskonvention beim HashiCorp-Geheimnis
- Großbuchstaben (A–Z)
- Kleinbuchstaben (a–z)
- Ziffern (0–9)
- Sonderzeichen (+=)
Bei anderen Sonderzeichen muss der geheime Name den ASCII-kodierten Wert für das Sonderzeichen enthalten. Für einen Unterstrich (_) muss zum Beispiel -5f- verwendet werden.
Lokal-Bereitstellungen: Um die vom Control Room verschlüsselten Standardzeichen außer Kraft zu setzen, fügen Sie in der keyvault.properties-Datei im Automation Anywhere-Konfigurationsverzeichnis die folgende Eigenschaft und den folgenden Regex-Wert ein. Verwenden Sie zum Beispiel den folgenden Ausdruck, wenn Sie keine Sonderzeichen kodieren möchten: name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$.
Beispiel für eine Automatisierung mit CyberArk Password Vault
Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in CyberArk, die Benennungskonventionen für die Automatisierung verwenden.
- Der Safe-Name entspricht dem Locker für den Control Room, und der Objektname entspricht den Anmeldedaten für den Control Room.
- Das Feld „Objektname“ im Control Room entspricht dem Kontonamen in CyberArk. Außerdem darf der Objektname keine Leerzeichen enthalten. Wenn der Kontoname in CyberArk zum Beispiel automation360-engsafe-example.com-john.smith lautet, muss das Feld „Objektname“ im Control Room auf automation360-engsafe-example.com-john.smith gesetzt werden.
Beispiel für Automatisierungs-Anmeldedaten | Control Room-Nutzername | Safe-Name | Objekt im Locker |
---|---|---|---|
Systemanmeldedaten im Locker, der dem Safe-Namen zugeordnet ist | Keine: Systemanmeldedaten | Finanzen | glaccess |
Nutzerdefinierte Anmeldedaten im Locker, die dem Safe-Namen zugeordnet sind | ABCD\RPA\user123 | Finanzen | glaccess_ABCD--RPA--user123 |
Nutzerdefinierte Anmeldedaten im Locker, die dem Safe-Namen zugeordnet sind, während der Nutzername mit ASCII-Zuordnung kodiert ist | ABCD\RPA.user123 | Finanzen | glaccess_ABCD--RPA-2e-user123 |
Den Nutzernamen für verschiedene Automation 360-Dienste unter Verwendung der geheimen CyberArk-Antwort konfigurieren
Bei der Konfiguration von CyberArk-Einstellungen für einige Automation 360-Dienste wie Autom. Anmeldung, Lightweight Directory Access Protocol (LDAP) und Dienstanmeldeinformationen können Sie optional den Nutzernamen für die Option Enter property set to your CyberArk username konfigurieren. Nutzernamen können sich aus Werten aus der geheimen Antwort oder aus Zeichenfolgenliteralen zusammensetzen. Die geheime CyberArk-Antwort enthält Feldwerte, die Sie in Dollarzeichen ($) einschließen müssen, um den Nutzernamen zu erstellen. Um zum Beispiel den Nutzernamen im Format domain\username zu konfigurieren, müssen Sie Folgendes eingeben: $domain$\$username$. Die Werte für die Domäne und den Nutzernamen in diesem Ausdruck werden durch die entsprechenden Werte aus der geheimen Antwort ersetzt.
Beispiel für die Automatisierung in AWS Secrets Manager
Die folgende Tabelle zeigt Beispiele für externe Schlüsseltresore in AWS Secrets Manager, die Namenskonventionen für die Automatisierung verwenden.
Beispiel für Automatisierungs-Anmeldedaten | Control Room-Nutzername | AWS-Präfix | AWS geheimer Text | Geheimnis in AWS |
---|---|---|---|---|
accounting_pdf Systemanmeldedaten im Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind |
Keine: Systemanmeldedaten | Buchhaltung | accounting_pdf (System) | |
accounting_pdf_ABCD--user123 Benutzerdefinierte Anmeldedaten in Locker, die dem geheimen Namenspräfix accounting in AWS zugeordnet sind |
ABCD\user123 | Buchhaltung | accounting_pdf_ABCD--user123 |
Beispiel für die Automatisierung in Azure Key Vault
In der folgenden Tabelle sind Beispiele für externe Schlüsseltresore in Azure Key Vault zu sehen, die Benennungskonventionen für die Automatisierung verwenden.
Beispiel für Automatisierungs-Anmeldedaten | Control Room-Nutzername | Azure-Präfix | Azure geheimer Text | Geheimnis in Azure |
---|---|---|---|---|
accounting_cv1 Systemanmeldedaten in Locker, die dem geheimen Namenspräfix accounting in Azure zugeordnet sind |
Keine: Systemanmeldedaten | Buchhaltung | cv1 | pdf-5f-cv1 (System) |
accounting_cv1_ABCD\user123 Nutzerdefinierte Anmeldedaten in Locker, die dem Azure-Präfix zugeordnet sind |
ABCD\user123 | Buchhaltung | cv1 | pdf-5f-cv1-5f-ABCD--user123 |
Bei der Bereitstellung von Azure-Anmeldedaten ist der Unterstrich (_) in Azure Key Vault ein reserviertes Zeichen und kann nicht in Anmeldedatennamen verwendet werden. Sie müssen alle Unterstriche (_) durch den ASCII-Code 5f ersetzen und in doppelte Bindestriche setzen:
Dieses Zeichen | ändert sich in diese ASCII-Code-Zeichensubstitution |
---|---|
\ (Schrägstrich) | -- |
- (Gedankenstrich) | -2d- |
_ (Unterstrich) | -5f- |
& (kaufmännisches Und-Zeichen) | -40- |
. (Punkt) | -2e- |
Beispiel für Automatisierung von HashiCorp Vault
In der folgenden Tabelle finden Sie HashiCorp Vault-Automatisierungsbeispiele, bei denen die Namenskonventionen für externe Schlüsseltresore verwendet werden.
Beispiel für Automatisierungs-Anmeldedaten | Control Room-Nutzername | Locker-Präfix | Geheimer Name der Anmeldedaten | Geheimer Name in HashiCorp |
---|---|---|---|---|
accounting_cred01 Systemanmeldedaten im Locker, zugeordnet zum HashiCorp geheimen Namenspräfix accounting |
Keine: Systemanmeldedaten | Buchhaltung | cred01 | accounting-5f-cred01(system) |
accounting_cred01_ABCD\user123 Nutzerdefinierte Anmeldedaten im Locker, die dem HashiCorp-Präfix zugeordnet sind |
ABCD\user123 | Buchhaltung | cred01 | accounting-5f-cred01-5f-ABCD--user123 |
accounting_cred01_john Nutzerdefinierte Anmeldedaten im Locker, die dem HashiCorp-Präfix zugeordnet sind Anmerkung: In diesem Beispiel werden Werte ohne Kodierung gezeigt.
|
john | Buchhaltung | cred01 | accounting_cred01_john |