HashiCorp Vault-Integration
- Zuletzt aktualisiert2024/07/18
HashiCorp Vault-Integration
Sie können Automation 360 integrieren, um Anmeldedaten aus dem HashiCorp Vault abzurufen. Die Anmeldedaten befinden sich im HashiCorp Vault, wo Sie sie verwalten, rotieren und synchronisieren können.
Hinweis: Die Marke HashiCorp und das HashiCorp-Logo sind Warenzeichen oder eingetragene Warenzeichen von HashiCorp, Inc., und werden nur zu Identifikationszwecken verwendet.
Sie integrieren den Control Room, indem Sie ihn über die HashiCorp-HTTP-APIs mit dem HashiCorp Vault verbinden.
In der folgenden Tabelle sind die von den verschiedenen Bereitstellungstypen unterstützten Funktionen aufgeführt:
Funktion | Cloud | Lokal |
---|---|---|
Anmeldedaten für die Agentenautomatisierung | Unterstützt | Unterstützt |
Anmeldedaten für die automatische Anmeldung von Agenten | Unterstützt | Unterstützt |
Bootstrap- und Systemanmeldeinformationen | Nicht unterstützt | Unterstützt |
Mit einer dieser Bereitstellungen können Sie den Control Room in den HashiCorp Vault integrieren:
- Cloud
Das folgende Diagramm zeigt eine Cloud-Bereitstellung, bei der der Control Room in der AAI-Cloud gehostet wird:
- Lokal
Bei lokalen Bereitstellungen stellen Sie Folgendes bereit:
- Control Room als Software in Ihrer Kundenumgebung.
- Bot Agent in Ihrer Kundenumgebung, in der Automatisierungen ausgeführt werden und auf Kundenanwendungen zugreifen.
Anmerkung: Sie können Ihren lokalen Control Room auch über das Internet mit der HashiCorp-Cloud verbinden.
HashiCorp Vault-Integrationsanforderungen
- Der HashiCorp-Dienst sollte über den Control Room zugänglich sein.
- Der Cloud-Control Room muss den externen HashiCorp-Schlüsseltresor durch die Firewall-Regeln am Rand des Netzwerks erreichen können. Einzelheiten zur Konfiguration der externen Firewall-Regeln finden Sie unter Control Room IP-Adressen für externe Integrationen.
- Stellen Sie sicher, dass Sie Folgendes verwenden:
- HashiCorp Vault 1.13.x oder 1.14.x und HashiCorp KV Secrets-Engine Version 2.
- Der Standardpfad für die Secrets-Engine lautet /secret. Alle Geheimnisse müssen unter dem Root der Secrets-Engine (/secret) erstellt werden. Um auf die HashiCorp Vault-APIs zuzugreifen, hängt der Control Room den standardmäßigen Secrets-Engine-Pfad „v1/secret/data“ automatisch an die von Ihnen eingegebene Tresor-URL an (Beispiel: https://<hostname1:port_num>/v1/secret/data). Stellen Sie sicher, dass die Rolle mit der angegebenen Rollen-ID mindestens über Leseberechtigung für diesen Pfad verfügt und dass alle Geheimnisse in der Geheimnis-Engine erstellt werden.
- HashiCorp Vault REST API.
- API-Engine-Pfad als /v1/secret/data.
- API-Vorgänge unter einem bestimmten Namespace, indem der Header
X-Vault-Namespace
auf den absoluten oder relativen Namespace-Pfad eingestellt wird. - Authentifizierungsmethode, bei der AppRole mit dem Standardpfadnamen „approle“ verwendet wird. Nutzerdefinierte AppRole-Pfadnamen werden nicht unterstützt.
HashiCorp Vault installieren
Sie müssen den HashiCorp Vault installieren und konfigurieren. Einzelheiten finden Sie unter HCP Vault Quick Start.
AppRole in HashiCorp Vault verwenden
AppRole ist eine Authentifizierungsmethode, die im HashiCorp Vault für Anwendungen verwendet wird, um mit dem Tresor zu interagieren. AppRole verwendet die folgenden Werte für die Authentifizierung:
- RoleID: Ein eindeutiger Bezeichner für AppRole. Sie können die Rollen-ID mit einer beliebigen Anzahl von Instanzen einer Anwendung verwenden.
- SecretID: Ein zufällig generierter Wert, der zur Authentifizierung der AppRole verwendet wird. Die geheime ID ist für eine einzelne Instanz einer Anwendung bestimmt, ist kurzlebig und kann nur von autorisierten Anwendungen verwendet werden.Wichtig: Wir empfehlen Ihnen, diesen Wert nicht zu teilen.
- Rollenname: Die Rollen werden anhand des Rollennamens aufgelistet.
- Namespace: Damit können Sie Gruppen von Geheimnissen erstellen und Richtlinien auf diese Namespaces anwenden, um zu gewährleisten, dass jeder Mandant nur auf die Geheimnisse zugreifen kann, für die er eine Berechtigung hat.
Informationen zur Konfiguration von AppRole finden Sie unter AppRole Auth Method.
Server-Zertifikat importieren
In Lokal-Bereitstellungen können Sie einzelne Serverzertifikate in den Truststore importieren. Wir empfehlen jedoch, das Zertifikat der ausstellenden Zertifizierungsstelle (CA) zu importieren. Weitere Informationen finden Sie unter Importieren von HTTPS-SSL-, Zwischen- und CA-Zertifikaten.
- Der Client (Automation 360-Control Room) sendet eine Anfrage an den HashiCorp Vault (geschützte Ressource).
- Der Server antwortet darauf, indem er ein Zertifikat an den Client zurückschickt.
- Der Control Room verifiziert das vom HashiCorp-Server gesendete Zertifikat, indem er es mit den Informationen zur Zertifizierung des vertrauenswürdigen Servers abgleicht, die im öffentlichen Teil des Control Room-Truststores gespeichert sind.
- Beide Parteien (Client und Server) erhalten Zugang zu den geschützten Ressourcen, wenn die Zertifikate die Validierung auf der Grundlage der folgenden Kriterien bestehen:
- Der Control Room muss dem Zertifikat auf dem HashiCorp-Server vertrauen.
- Das Feld „Betreff“ im Zertifikat stimmt mit dem vollständig qualifizierten Domänennamen (DNS-Name) des aufrufenden Systems überein.
- Das Zertifikat ist noch nicht abgelaufen.
Anforderungen an die Konfiguration der HashiCorp-HTTP-API
Sie müssen eine Netzwerkverbindung zwischen dem Control Room und dem HashiCorp-Server herstellen. Der Control Room ist über die HashiCorp Vault-HTTP-APIs sowohl für lokale als auch für Cloud-Bereitstellungen mit HashiCorp verbunden.
Um die HashiCorp-API zu verwenden, müssen Sie diese erforderlichen Parameter einstellen:
- Tresor-URL
- Rollen-ID
- Rollenname
- Geheime ID
- Pfad Secrets Engine
- Namespace (optional)
- Optionales Zertifikat
Terminologie und Kennungen von HashiCorp-Anmeldedaten überprüfen
HashiCorp und Automation Anywhere verwenden eine unterschiedliche Terminologie zur Beschreibung und Identifizierung von Anmeldedaten:
Beschreibung | HashiCorp | Automation Anywhere |
---|---|---|
Speicherort von Anmeldedaten | Geheimnisse | Anmeldedaten |
- Anmeldedaten in HashiCorp werden als Geheimnisse gespeichert.
- In Automation Anywhere werden Anmeldedaten in Lockern gespeichert, wobei jeder Locker mit Zugriffskontrollen für Control Room-Nutzer ausgestattet ist.
- Nutzername: john
- Passwort: 2zR%#sX#g
- E-Mail: john@email.com
- Passcode: mein-langer-Passcode
Rotation der geheimen HashiCorp-ID
Der Control Room führt einen geplanten Auftrag aus, um die geheime HashiCorp-ID für einen Mandanten proaktiv zu ändern. Durch diesen Prozess wird gewährleistet, dass die Automatisierung mit den Zugangsdaten des Schlüsseltresors ohne Unterbrechung abläuft. Standardmäßig wird die geheime ID jede Stunde geändert. Die geheime ID wird auf der Grundlage der Verfallszeit der ID geändert. Sie können die geheime ID ändern, wenn sie zu zwei Dritteln abgelaufen ist.
Wenn die HashiCorp-Rotation der geheimen ID fehlschlägt, können Sie die geheime ID mit den folgenden Cloud- oder Lokal-Verfahren manuell ändern: