Integration von CyberArk Password Vault

Sie können Automation 360 integrieren, um Anmeldedaten aus dem CyberArk Password Vault abzurufen. Die Anmeldedaten werden im CyberArk Password Vault gespeichert, wo sie verwaltet, rotiert und synchronisiert werden.

Anmerkung: Die CyberArk-Marke und das CyberArk-Logo sind Marken oder eingetragene Marken von CyberArk Software Ltd. und werden nur zu Identifikationszwecken verwendet.

Sie integrieren den Automation 360-Control Room, indem Sie ihn mit dem CyberArk Password Vault über die CyberArk Central Credential Provider (CCP)-APIs verbinden. Für die Integration in CyberArk Password Vault oder die Nutzung der CCP-APIs ist keine zusätzliche Lizenzierung erforderlich.

Anmerkung: Es wird empfohlen, den Zugriff auf CyberArk Password Vault über eine IP-Adresse zu steuern.

Sie können Automation 360 in CyberArk Password Vault integrieren, indem Sie eine dieser Bereitstellungen verwenden:

  • Cloud
  • Lokal

Das folgende Diagramm zeigt eine Automation 360 Cloud-Bereitstellung, bei der der Control Room auf AAI Cloud gehostet wird:

CyberArk Cloud-Bereitstellung

Bei lokalen Bereitstellungen stellen Sie Folgendes bereit:

  • Control Room als Software in Ihrer Kundenumgebung.
  • Bot Agent in Ihrer Kundenumgebung, in der Automatisierungen ausgeführt werden und auf Kundenanwendungen zugreifen.
Wichtig: Die Verbindungseinstellungen für den externen Schlüsseltresor können Sie bei Cloud-Bereitstellungen nur über die Benutzeroberfläche bearbeiten. Externe Schlüsseltresor-Einstellungen in lokalen Bereitstellungen sind nur während der Installation oder nach der Installation mit dem Schlüsseltresor-Dienstprogramm konfigurierbar.

Anforderungen für die Integration von CyberArk Password Vault

CyberArk Central Credential Provider installieren

Sie müssen den CyberArk CCP auf dem CyberArk-Server installieren und konfigurieren. Einzelheiten finden Sie unter CyberArk Central Credential Provider installation.

Authentifizierungsmethode über X.509-Clientzertifikat implementieren

Ein X.509-Clientzertifikat ist eine Art digitales Zertifikat, mit dem Client-Systeme authentifizierte Anforderungen an einen Remote-Server stellen. Mit dem weithin akzeptierten internationalen X.509-Standard für die Public Key Infrastructure (PKI; Infrastruktur öffentlicher Schlüssel) wird überprüft, ob ein öffentlicher Schlüssel zu der im Zertifikat enthaltenen Nutzer-, Computer- oder Dienstidentität gehört.

Der Automation 360-Control Room verwendet bei der Verbindung mit den CyberArk CCP-APIs ein Clientzertifikat als Authentifizierungsmethode.

Diese Authentifizierungsmethode ist sehr sicher und nutzt den Truststore des Systems, um das Clientzertifikat, das Serverzertifikat und den privaten Schlüssel zu speichern. Der Truststore ist ein von der Software des Betriebssystems bereitgestellter Speicherort für Zertifikate, der das Zertifikat der ausstellenden Zertifizierungsstelle (CA) enthält. Sie können einzelne Serverzertifikate in den Truststore importieren. Es ist jedoch effizienter, das Zertifikat der ausstellenden Zertifizierungsstelle (CA) zu importieren.

Die folgende Abbildung gibt einen Überblick über die zertifikatbasierte Authentifizierung:

Zertifikatbasierte Authentifizierungsmethode

  1. Der Client (Automation 360-Control Room) sendet eine Anfrage an den CyberArk AIM-Server (geschützte Ressource).
  2. Der Server antwortet darauf, indem er ein Zertifikat an den Client zurückschickt.
  3. Der Automation 360-Control Room verifiziert das vom CyberArk AIM-Server gesendete Zertifikat, indem er es mit den Informationen zur Zertifizierung des vertrauenswürdigen Servers abgleicht, die im öffentlichen Teil des Control Room-Truststores gespeichert sind.
  4. Nach der Validierung der Informationen im Truststore sendet der Automation 360-Control Room das Zertifikat zurück an den CyberArk AIM-Server.
  5. Der CyberArk AIM-Server überprüft dann das vom Automation 360-Control Room gesendete Zertifikat anhand der vertrauenswürdigen Client-Zertifizierungsinformationen, die im öffentlichen Teil des Truststores des AIM-Servers gespeichert sind

    Da Clientzertifikate (die mit ihrem privaten Schlüssel) im Allgemeinen in einem passwortgeschützten Format ausgegeben werden, erfordert die Zertifikatsdatei (im .p12-Format, z. B.: c:\PATH\aaeCyberArkCertificate.p12) eine Passphrase.

  6. Beide Parteien (Client und Server) erhalten Zugang zu den geschützten Ressourcen, wenn die Zertifikate die Validierung auf der Grundlage der folgenden Kriterien bestehen:
    • Das Control Room-Zertifikat muss vom CyberArk AIM-Server als vertrauenswürdig eingestuft werden.
    • Der Control Room muss dem Zertifikat auf dem CyberArk AIM-Server vertrauen.
    • Das Feld „Betreff“ im Zertifikat stimmt mit dem vollständig qualifizierten Domänennamen (DNS-Name) des aufrufenden Systems überein.
    • Das Zertifikat ist noch nicht abgelaufen.
Wichtig: Koordinieren Sie im Rahmen der Planungsphase für die Integration Zertifikate und Zertifikatsanforderungen. Bevor Sie mit der Integrationskonfiguration beginnen können, müssen Sie die Ausstellung von Zertifikaten durch das Public Key Infrastructure (PKI)-Team beantragen. Die Zertifikatsdateien werden im PKI-Ordner gespeichert und bei Bedarf mit der Control Room-Passphrase aufgerufen. Die Control Room-Passphrase wird verschlüsselt in der keyvault.properties-Datei gespeichert.

Konfigurationsanforderungen für CyberArk CCP-API

Zwischen dem Automation 360-Control Room und dem CyberArk AIM-Server muss eine Netzwerkverbindung bestehen. Der Automation 360-Control Room ist über die CyberArk Central Credential Provider-APIs (CCP) für lokale- oder Cloud-Bereitstellungen mit dem CyberArk Password Vault verbunden.

Konfiguration der CyberArk CCP-APIs

Anmerkung: Für die Nutzung der CCP-APIs ist keine zusätzliche Lizenzierung erforderlich.

Um die CCP-API zu verwenden, müssen Sie diese erforderlichen Parameter einstellen:

  • Automation 360 v.20 (unterstützt Bootstrap-Anmeldedaten nur bei On-Premises-Bereitstellung)
  • Automation 360 v.21 oder höher (unterstützt bei On-Premises-Bereitstellungen, automatischer Anmeldung und Automatisierungs-Anmeldedaten alle Bootstrap- und Systemanwendungsfälle sowohl für On-Premises- als auch für Cloud-Bereitstellungen)
  • Der Control Room Key Vault enthält diese Verbindungsdetails:
    • CCP-API Tresorverbindungs-URL – zum Beispiel: https://<host:port>/AIMWebService/api/Accounts?
    • CCP-API-AppID: Sie müssen den CyberArk AIM-Server mit einer Anwendungs-ID (AppID) konfigurieren. Beispiel: AACompanyControlRoom1.

      Einzelheiten finden Sie unter Integration von CyberArk Password Vault.

    • X.509-Clientzertifikat mit privatem Schlüssel, ausgestellt für den Automation 360-Control Room

      (Der vollständig qualifizierte Domänenname im Control Room steht im Betreff: Feld des Zertifikats) und wird mit dem CyberArk AIM-Server für die Authentifizierung konfiguriert. Zum Beispiel: c:\PATH\aaeCyberArkCertificate.p12

      Anmerkung: Das Format .p12 ist erforderlich.

CyberArk Anmeldedaten-Terminologie und Kennungen überprüfen

CyberArk und Automation Anywhere verwenden eine unterschiedliche Terminologie zur Beschreibung und Identifizierung von Anmeldedaten:

Beschreibung CyberArk Automation Anywhere
Speicherort von Anmeldedaten Objekt Anmeldedaten
Primäre Partitionierung des Schlüsseltresors Safe (enthält Objekte) Locker (enthält Anmeldedaten)
  • In CyberArk werden Anmeldedaten in Objekten gespeichert, und jedes Objekt befindet sich in einem Safe.

    Eine einzelne CyberArk-Instanz kann mehrere Safes umfassen, wobei jeder Safe über Zugriffskontrollen für Nutzer verfügt.

  • In Automation Anywhere werden Anmeldedaten in Lockern gespeichert, wobei jeder Locker mit Zugriffskontrollen für Control Room-Nutzer ausgestattet ist.

CyberArk identifiziert Anmeldeinformationen anhand von Safe-Namen UND Objektnamen. Die CCP-API greift mit einem Safe-Namen von CyberArk und einem CyberArk-Objektnamen auf den CyberArk Password Vault zu (die Anmeldedaten müssen in CyberArk vorhanden sein).

Im Folgenden finden Sie ein Beispiel für einen CCP-API-Aufruf und die entsprechende Antwort:

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

Antwort

{
       "Content":"",
       "PolicyID":"CyberArk",
       "CreationMethod":"PVWA",
       "Folder":"Root",
       "Address":"address tbd",
       "Name":"Application-CyberArk-address tbd-vb",
       "Safe":"aa_vb_safe",
       "DeviceType":"Application",
       "UserName":"vb",
       "PasswordChangeInProcess":"False"
}

Der Anmeldedatenwert oder das Geheimnis (z. B. das Passwort) wird im Attribut Content und die Nutzer-ID (der Control Room-Nutzername, z. B. vb) wird im Attribut UserName gespeichert.

CyberArk Anwendungs-ID definieren

Automation 360 ist über die CyberArk Central Credential Provider-API (CCP) in CyberArk Password Vault integriert. Die Anwendungs-ID (AppID) ist ein erforderlicher Konfigurationsparameter.

Definieren Sie als CyberArk-Administrator mit Hilfe der CyberArk Password Vault Web Access-Oberfläche (PVWA) die Anwendungs-ID, indem Sie den CyberArk AIM-Server mit Hilfe des angegebenen Verfahrens für die Integration in den Control Room vorbereiten. Einzelheiten finden Sie unter CyberArk Password Vault Web Access.

  1. Sie müssen sich als Nutzer anmelden, der berechtigt ist, Anwendungen auf der CyberArk-Plattform zu verwalten (erfordert die Berechtigung „Nutzer verwalten“).
  2. Klicken Sie auf der Registerkarte Anwendungen auf Anwendung hinzufügen.
  3. Geben Sie im Bereich Anwendung hinzufügen die folgenden Informationen ein:
    Option Aktion
    Name Geben Sie den eindeutigen Namen (ID) der Anwendung an.

    Es wird empfohlen, einen Namen zu verwenden, der z. B. auf dem Control Room-Namen oder der Funktion basiert: AACompanyControlRoom1.
    Beschreibung Geben Sie eine kurze Beschreibung der Anwendung ein, damit sie identifiziert werden kann.
    Geschäftsinhaber Geben Sie die Kontaktinformationen des Geschäftsinhabers der Anwendung ein.
    Ort Wählen Sie den Speicherort der Anwendung in der Tresorhierarchie aus.

    Wird kein Speicherort ausgewählt, wird die Anwendung demselben Ort hinzugefügt, an dem sich der Nutzer befindet, der diese Anwendung erstellt.
  4. Klicken Sie auf Hinzufügen, um die neue Anwendung hinzuzufügen und sie auf der Seite Anwendungsdetails anzuzeigen.
  5. Aktivieren Sie auf der Seite Anwendungsdetails das Kontrollkästchen Erweiterte Authentifizierungsbeschränkungen zulassen, um für eine einzelne Anwendung eine unbegrenzte Anzahl von Rechnern und Windows-Domänennutzern anzugeben.
  6. Klicken Sie auf der Registerkarte Authentifizierung auf Hinzufügen, um der neuen Anwendung Details hinzuzufügen.

    Es wird eine Liste der verfügbaren Authentifizierungsmerkmale angezeigt, die der Anbieter von Anmeldedaten vor dem Abrufen des Anwendungspassworts prüft.

    Authentifizierungsmerkmale für Anbieter von Anmeldedaten

  7. Optional: Wählen Sie Betriebssystemnutzer aus und geben Sie den Namen des Nutzers ein, der die Anwendung ausführen wird. Klicken Sie dann auf Hinzufügen, um den Betriebssystemnutzer auf der Registerkarte Authentifizierung der Liste der Nutzer hinzuzufügen.
  8. Wählen Sie Seriennummer des Zertifikats aus und geben Sie im Control Room die Seriennummer für das Clientzertifikat ein. Klicken Sie dann auf Hinzufügen.
  9. (Für Automation 360 empfohlen): Klicken Sie auf der Registerkarte Zulässige Rechner auf Hinzufügen und geben Sie die IP / den Hostnamen / die DNS-Adresse an, unter der die Anwendung ausgeführt werden darf und Passwörter abfragen kann.

    Mit dieser Adresse gewährleistet CyberArk AIM, dass nur Anwendungen, die auf bestimmten Rechnern ausgeführt werden, auf CyberArk-Passwörter zugreifen können.

  10. Klicken Sie auf Hinzufügen, um die IP-Adresse in die Liste der zulässigen Rechner aufzunehmen.

Konten in CyberArk Password Vault einrichten

Bevor eine Anwendung funktionieren kann, müssen Sie der Anwendung Zugriff auf existierende oder neue Nutzerkonten gewähren, die im CyberArk Password Vault bereitgestellt werden sollen.

Verwenden Sie den Passwort-Safe, um die von der Anwendung benötigten berechtigten Nutzerkonten bereitzustellen. Die folgenden Methoden eignen sich zum Einrichten von Konten:

  • Fügen Sie die Konten nacheinander manuell hinzu und geben Sie dann alle Kontodetails an.
  • Fügen Sie automatisch mehrere Konten hinzu, indem Sie die Funktion zum Hochladen von Passwörtern verwenden. Um ein Konto automatisch hinzufügen zu können, müssen Sie über eine Berechtigung für die Funktion Konten hinzufügen im Passwort-Safe verfügen.

Einzelheiten zum Hinzufügen und Verwalten von Konten mit Berechtigungen finden Sie unter Privileged Access Manager - Self-Hosted.

Zugriff auf die Anwendung und Passwortanbieter einrichten

Nachdem die Nutzerkonten von CyberArk bereitgestellt wurden, müssen Sie in CyberArk den Zugriff sowohl auf die Anwendung als auch auf die Passwortanbieter einrichten, die die Anwendung bedienen.

Fügen Sie dort, wo der CCP installiert ist, den Anbieternutzer und die Anwendungsnutzer als Mitglieder der Passwort-Safes hinzu (in denen die Passwörter der Anwendung gespeichert werden). Sie können die Nutzer mit einer der folgenden Methoden hinzufügen:

  • Manuell über die Registerkarte Safes
  • Durch Angabe des Safe-Namens in der CSV-Datei beim Hinzufügen mehrerer Anwendungen

Um Nutzer als sichere Mitglieder hinzuzufügen, fügen Sie im Dialogfeld Safe-Mitglied hinzufügen den Anbieter als sicheres Mitglied hinzu, wobei diese Zugriffsberechtigungen ausgewählt sind, und klicken Sie dann auf Hinzufügen:

  • Abrufen von Konten (Zugreifen)
  • Konten auflisten (Zugreifen)
  • Safe-Mitglieder anzeigen (Überwachen)

CyberArk Safe-Mitglied hinzufügen

Anmerkung: Wenn Sie mehrere Anbieter für die Integration von CyberArk Password Vault installieren, wird empfohlen, zunächst eine Gruppe für diese Anbieter zu erstellen und diese Gruppe dann mit denselben ausgewählten Zugriffsberechtigungen dem Safe hinzuzufügen.

Führen Sie die folgenden Schritte aus, um eine Anwendung (AppID) als Safe-Mitglied hinzuzufügen:

  1. Fügen Sie im Dialogfeld Safe-Mitglied hinzufügen die (AppID) als Safe-Mitglied hinzu, wobei als Zugriffsberechtigung „Abrufen von Konten (Zugriff)“ ausgewählt ist.
  2. Klicken Sie auf Hinzufügen.

Wenn der Safe für den Zugriff auf Objektebene konfiguriert ist, müssen sowohl der Anbieter-Nutzer als auch die Anwendung Zugriff auf die abzurufenden Kennwörter haben. Einzelheiten zum Hinzufügen und Verwalten von Konten mit Berechtigungen finden Sie unter Privileged Access Manager - Self-Hosted.