HashiCorp Vault-Integration

Sie können Automation 360 integrieren, um Anmeldedaten aus dem HashiCorp Vault abzurufen. Die Anmeldedaten befinden sich im HashiCorp Vault, wo Sie sie verwalten, rotieren und synchronisieren können.

Hinweis: Die Marke HashiCorp und das HashiCorp-Logo sind Warenzeichen oder eingetragene Warenzeichen von HashiCorp, Inc., und werden nur zu Identifikationszwecken verwendet.

Anmerkung: Für die Integration in HashiCorp Vault oder die Nutzung der HashiCorp-APIs ist keine zusätzliche Automation Anywhere-Lizenz erforderlich.

Sie integrieren den Control Room, indem Sie ihn über die HashiCorp-HTTP-APIs mit dem HashiCorp Vault verbinden.

In der folgenden Tabelle sind die von den verschiedenen Bereitstellungstypen unterstützten Funktionen aufgeführt:

Funktion Cloud Lokal
Anmeldedaten für die Agentenautomatisierung Unterstützt Unterstützt
Anmeldedaten für die automatische Anmeldung von Agenten Unterstützt Unterstützt
Bootstrap- und Systemanmeldeinformationen Nicht unterstützt Unterstützt

Mit einer dieser Bereitstellungen können Sie den Control Room in den HashiCorp Vault integrieren:

  • Cloud

    Das folgende Diagramm zeigt eine Cloud-Bereitstellung, bei der der Control Room in der AAI-Cloud gehostet wird:HashiCorp Cloud-Bereitstellung

  • Lokal

    Bei lokalen Bereitstellungen stellen Sie Folgendes bereit:

    • Control Room als Software in Ihrer Kundenumgebung.
    • Bot Agent in Ihrer Kundenumgebung, in der Automatisierungen ausgeführt werden und auf Kundenanwendungen zugreifen.
    Anmerkung: Sie können Ihren lokalen Control Room auch über das Internet mit der HashiCorp-Cloud verbinden.

Lokale HashiCorp-Bereitstellung

HashiCorp Vault-Integrationsanforderungen

  • Der HashiCorp-Dienst sollte über den Control Room zugänglich sein.
  • Der Cloud-Control Room muss den externen HashiCorp-Schlüsseltresor durch die Firewall-Regeln am Rand des Netzwerks erreichen können. Einzelheiten zur Konfiguration der externen Firewall-Regeln finden Sie unter Control Room IP-Adressen für externe Integrationen.
  • Achten Sie darauf, dass Sie die folgenden Werte im HashiCorp Vault konfiguriert haben, da Sie diese Werte beim Konfigurieren des Tresors im Control Room verwenden werden. Informationen zum Konfigurieren dieser Werte in HashiCorp finden Sie unter AppRole Auth Method.
    Anmerkung: Bei lokalen Bereitstellungen können Sie die Einstellungen für den externen Schlüsseltresor während oder nach der Installation mit dem Dienstprogramm für den Schlüsseltresor konfigurieren. Weitere Informationen finden Sie unter den folgenden Themen.
    Feldname Beschreibung
    Tresor-URL Gibt die URL des HashiCorp-Tresors an. Zum Beispiel: https://<Host> oder https://<Host oder IP>:<Port>
    Rollen-ID Gibt die Rollen-ID des konfigurierten HashiCorp-Servers an. Beispiel: 675a50e7-cfe0-be76-e35f-49ec009731ea. Einzelheiten finden Sie unter AppRole Pull Authentication.
    Rollenname Gibt den Rollennamen des konfigurierten HashiCorp-Servers an. Beispiel: jenkins. Einzelheiten finden Sie unter AppRole Pull Authentication.
    Geheime ID Gibt die geheime ID des konfigurierten HashiCorp-Servers an. Beispiel: ed0a642f-2acf-c2da-232f-1b21300d5f29. Einzelheiten finden Sie unter AppRole Pull Authentication.
    Namespace (Optional) Gibt den Namespace für die Organisation (Mandant) an. Beispiel: teant1.
    Optionales Zertifikat Laden Sie das öffentliche Zertifikat des HashiCorp-Servers in den Control Room hoch. Das Zertifikat muss im PEM-Format (.pem oder .cer) vorliegen. Beispiel: C:\John\certs\hashicorpserver.pem.

HashiCorp Vault installieren

Sie müssen den HashiCorp Vault installieren und konfigurieren. Einzelheiten finden Sie unter HCP Vault Quick Start.

AppRole in HashiCorp Vault verwenden

AppRole ist eine Authentifizierungsmethode, die im HashiCorp Vault für Anwendungen verwendet wird, um mit dem Tresor zu interagieren. AppRole verwendet die folgenden Werte für die Authentifizierung:

  • RoleID: Ein eindeutiger Bezeichner für AppRole. Sie können die Rollen-ID mit einer beliebigen Anzahl von Instanzen einer Anwendung verwenden.
  • SecretID: Ein zufällig generierter Wert, der zur Authentifizierung der AppRole verwendet wird. Die geheime ID ist für eine einzelne Instanz einer Anwendung bestimmt, ist kurzlebig und kann nur von autorisierten Anwendungen verwendet werden.
    Wichtig: Wir empfehlen Ihnen, diesen Wert nicht zu teilen.
  • Rollenname: Die Rollen werden anhand des Rollennamens aufgelistet.
  • Namespace: Damit können Sie Gruppen von Geheimnissen erstellen und Richtlinien auf diese Namespaces anwenden, um zu gewährleisten, dass jeder Mandant nur auf die Geheimnisse zugreifen kann, für die er eine Berechtigung hat.

Informationen zur Konfiguration von AppRole finden Sie unter AppRole Auth Method.

Server-Zertifikat importieren

In On-Premises-Bereitstellungen können Sie einzelne Serverzertifikate in den Truststore importieren. Wir empfehlen jedoch, das Zertifikat der ausstellenden Zertifizierungsstelle (CA) zu importieren. Weitere Informationen finden Sie unter Importieren von HTTPS-, Zwischen- und CA-Zertifikaten.

  1. Der Client (Automation 360-Control Room) sendet eine Anfrage an den HashiCorp Vault (geschützte Ressource).
  2. Der Server antwortet darauf, indem er ein Zertifikat an den Client zurückschickt.
  3. Der Control Room verifiziert das vom HashiCorp-Server gesendete Zertifikat, indem er es mit den Informationen zur Zertifizierung des vertrauenswürdigen Servers abgleicht, die im öffentlichen Teil des Control Room-Truststores gespeichert sind.
  4. Beide Parteien (Client und Server) erhalten Zugang zu den geschützten Ressourcen, wenn die Zertifikate die Validierung auf der Grundlage der folgenden Kriterien bestehen:
    • Der Control Room muss dem Zertifikat auf dem HashiCorp-Server vertrauen.
    • Das Feld „Betreff“ im Zertifikat stimmt mit dem vollständig qualifizierten Domänennamen (DNS-Name) des aufrufenden Systems überein.
    • Das Zertifikat ist noch nicht abgelaufen.

Anforderungen an die Konfiguration der HashiCorp-HTTP-API

Sie müssen eine Netzwerkverbindung zwischen dem Control Room und dem HashiCorp-Server herstellen. Der Control Room ist über die HashiCorp Vault-HTTP-APIs sowohl für lokale als auch für Cloud-Bereitstellungen mit HashiCorp verbunden.

Um die HashiCorp-API zu verwenden, müssen Sie diese erforderlichen Parameter einstellen:

  • Tresor-URL
  • Rollen-ID
  • Rollenname
  • Geheime ID
  • Namespace (optional)
  • Optionales Zertifikat

Terminologie und Kennungen von HashiCorp-Anmeldedaten überprüfen

HashiCorp und Automation Anywhere verwenden eine unterschiedliche Terminologie zur Beschreibung und Identifizierung von Anmeldedaten:

Beschreibung HashiCorp Automation Anywhere
Speicherort von Anmeldedaten Geheimnisse Anmeldedaten
  • Anmeldedaten in HashiCorp werden als Geheimnisse gespeichert.
  • In Automation Anywhere werden Anmeldedaten in Lockern gespeichert, wobei jeder Locker mit Zugriffskontrollen für Control Room-Nutzer ausgestattet ist.
Bei Datenbank-, Dienstkonto-, SMTP- und AD-Anmeldedaten müssen die geheimen Daten des Schlüsseltresors im folgenden Format vorliegen:
  • Nutzername: john
  • Passwort: 2zR%#sX#g
Für die Automatisierung sollten die geheimen Daten des Schlüsseltresors im folgenden Format vorliegen:
  • E-Mail: john@email.com
  • Passcode: mein-langer-Passcode

Rotation der geheimen HashiCorp-ID

Der Control Room führt einen geplanten Auftrag aus, um die geheime HashiCorp-ID für einen Mandanten proaktiv zu ändern. Durch diesen Prozess wird gewährleistet, dass die Automatisierung mit den Zugangsdaten des Schlüsseltresors ohne Unterbrechung abläuft. Standardmäßig wird die geheime ID jede Stunde geändert. Die geheime ID wird auf der Grundlage der Verfallszeit der ID geändert. Sie können die geheime ID ändern, wenn sie zu zwei Dritteln abgelaufen ist.

Wenn die HashiCorp-Rotation der geheimen ID fehlschlägt, können Sie die geheime ID mit den folgenden Cloud- oder On-Premises-Verfahren manuell ändern: