Casos de uso de recuperación de credenciales de HashiCorp
- Última actualización2024/11/14
Casos de uso de recuperación de credenciales de HashiCorp
Puede recuperar credenciales de HashiCorp para estos casos de uso: bootstrap, sistema, inicio de sesión automático y automatizaciones.
Recuperar credenciales de arranque de la Control Room
La Automation 360 de Control Room utiliza las credenciales de arranque para acceder a los servicios de apoyo, como base de datos, cuenta de servicio y Active Directory (AD). Estas credenciales se configuran durante la instalación inicial de Local o postinstalación (con la utilidad de bóveda de claves) mediante la especificación del nombre del objeto.
En la siguiente imagen, se muestra el proceso de recuperación de las credenciales de arranque de la Control Room con HashiCorp:
Cuando se requiere durante la secuencia de arranque o las operaciones normales (como actualizar la autenticación de un servicio), la Control Room usa la conexión de la bóveda de claves para recuperar la credencial y realizar la autenticación obligatoria.
Recuperar credenciales del sistema de la Control Room
Si configuró una bóveda de claves externa durante la instalación inicial, luego puede usar la interfaz de usuario del Automation 360 (postinstalación) para configurar las credenciales de SMTP y Active Directory (AD).
- Inicie sesión en Automation 360 Control Room como administrador.
- En Control Room, navegue hasta: .
Para configurar las credenciales de Active Directory:
- Inicie sesión en Automation 360 Control Room como administrador.
- En Control Room, navegue hasta: .
- Puede asignar la credencial de la Cuenta Maestra de AD desde la bóveda de claves externa, configurar las credenciales externas o establecerlas de forma manual (cambiar los modos de recuperación de credenciales de la Cuenta Maestra de AD).
Recuperar credenciales de inicio de sesión automático
Las credenciales de inicio de sesión automático se utilizan para autenticarse en un dispositivo Automation 360 Agente de bot e iniciar una sesión activa de Windows. La automatización robótica de procesos (RPA) requiere una sesión activa de Windows para funcionar. El inicio de sesión automático se produce antes de que se ejecute la automatización cuando esta se inicia desde un dispositivo Agente de bot remoto.
En la siguiente imagen, se muestra el proceso de recuperación de las credenciales de inicio de sesión automático con HashiCorp:
Un administrador de la Control Room puede iniciar o programar manualmente un trabajo para iniciar una automatización en un dispositivo Agente de bot mediante la especificación de los siguientes detalles:
- Nombre de automatización (bot)
- Nombre del dispositivo
- Contexto del usuario
El sistema realiza el inicio de sesión automático en el dispositivo especificado con el nombre de usuario y la contraseña asociados al contexto de usuario, y luego ejecuta la automatización en el dispositivo.
Debe tener un secreto para cada usuario de la Control Room para el que se recuperarán las credenciales de inicio de sesión automático de la bóveda de claves externa, y el nombre del secreto en la bóveda de HashiCorp debe coincidir con el nombre de usuario de la Control Room.
Para configurar la recuperación de credenciales de inicio de sesión automático desde la bóveda externa de claves, siga estos pasos:
- Inicie sesión en Automation 360 Control Room como administrador.
- Desde la Control Room, navegue hasta .
- Haga clic en Editar.
- Si ha configurado previamente la bóveda de HashiCorp como la conexión de bóveda externa de claves, haga clic en Habilitado para recuperar las credenciales de inicio de sesión automático de esa bóveda externa de claves.
Si esta opción está inhabilitada, entonces la conexión de la bóveda de claves externa no fue configurada.
Nota: Si inhabilita el inicio de sesión automático desde la bóveda externa de claves, las credenciales se recuperan con la Credential Vault de AAI y sus credenciales almacenadas en su lugar.Nota: Cuando integra el servidor de Automation 360 con una bóveda de claves externa para inicio de sesión automático, ahora puede configurar la asignación del nombre de usuario y los nombres de los objetos de la bóveda de claves utilizando la configuración de la Control Room, en lugar de seguir las convenciones de nomenclatura de Automation 360. Consulte Mapeo de secretos personalizados. - La bóveda de HashiCorp tiene un espacio de nombres plano sin contenedores de organización, por lo que no es necesario ingresar un nombre seguro. Haga clic en Guardar cambios.
Si fue exitoso, aparecerá el mensaje de que la configuración del inicio de sesión automático se ha guardado correctamente.
Convenciones de nomenclatura para el inicio de sesión automático
La Control Room recupera las credenciales de inicio de sesión automático basándose en la convención de nomenclatura de secretos dentro de la bóveda de claves externa. La Control Room busca un objeto cuyo nombre secreto (el nombre de la credencial en la bóveda de claves externa) coincida con el nombre de usuario de la Control Room para la que se está realizando el inicio de sesión automático.
El prefijo autologin_ es necesario como parte de la convención de nomenclatura para las credenciales de inicio de sesión automático para todas las bóvedas de claves externas: CyberArk, AWS, HashiCorp y Azure. El nombre de la credencial de inicio de sesión automático en la bóveda de claves externa debe contener autologin_ seguido del nombre de usuario de Control Room. En algunos casos, ciertas bóvedas de claves tienen restricciones en cuanto a los caracteres que se pueden utilizar en los nombres secretos de las credenciales. Además, para ser compatible con la forma en que los diferentes casos de uso codifican las credenciales, Automation 360 exige que ciertos caracteres sean reservados o codificados.
La siguiente tabla enumera ejemplos de las convenciones de nomenclatura de secretos que se esperan en la Control Room:
| Nombre de usuario de la Control Room | Formato esperado del nombre del secreto |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
Para las credenciales de inicio de sesión automático, tenga en cuenta lo siguiente:
- El nombre del secreto en la bóveda de claves externa debe contener el prefijo autologin_.
- Los nombres de las credenciales de inicio de sesión automático deben corresponder al nombre de usuario de la Control Room (ID de inicio de sesión) para la credencial que se está recuperando.
Algunas bóvedas externas de claves tienen restricciones de uso para ciertos caracteres, como la barra diagonal inversa (\) y el ampersand (@) en el nombre secreto, y restricciones sobre cómo se interpretan los caracteres especiales dentro de las llamadas a la API. Si la ID de usuario contiene caracteres especiales, entonces debe codificar el nombre secreto en la bóveda de claves externa utilizando sustituciones de caracteres del código ASCII, como se indica en la siguiente tabla.
| Este carácter | Cambia a este carácter del código ASCII |
|---|---|
| \ (barra diagonal inversa) | -- |
| - (guion) | -2d- |
| _ (guion bajo) | -5f- |
| @ (ampersand) | -40- |
| . (punto) | -2e- |
Ejemplo de credencial de inicio de sesión automático de HashiCorp
Para este ejemplo de recuperación de credenciales de inicio de sesión automático, considere un usuario de Control Room usuario que quiere implementar un bot en un dispositivo como un usuario específico. Este ejemplo utiliza los siguientes datos:
- Nombre de automatización (bot) ejecutada en un dispositivo = ProcureToPayGeoEast
- Nombre del dispositivo del agente = WinVDI1138
- Contexto de usuario del agente = autologin-5f-rpauserCR1-40-abcd-2e-com
La siguiente imagen muestra un ejemplo de cómo recuperar credenciales de inicio de sesión automático con HashiCorp Vault: 
Antes de iniciar la automatización, asegúrese de lo siguiente:
- Los detalles de conexión de la Control Room se han configurado con éxito y la Control Room usa esos detalles de conexión para conectarse a HashiCorp y realiza la autenticación.
- La Control Room pide al dispositivo Agente de bot que se ejecuta en el dispositivo WinVDI1138 que compruebe si hay una sesión activa de Windows (sistema operativo) actualmente en el dispositivo WinVDI1138 y si esa sesión pertenece al usuario del agente rpauserCR1.
Si hay una sesión existente en el dispositivo para el usuario rpauserCR1, no es necesario realizar el inicio de sesión automático, y el bot continúa con la implementación.
- Sin embargo, si no hay una sesión activa o si hay una sesión activa que no pertenece a rpauserCR1, la Control Room recupera la credencial de inicio de sesión automático de la bóveda de HashiCorp.
- La Control Room pasa la credencial (contraseña) al Agente de bot. Agente de bot realiza un inicio de sesión de Windows en el dispositivo WinVDI1138 como rpauserCR1 (al hacerlo, primero cierra la sesión de cualquier otro usuario) utilizando la credencial de inicio de sesión automático para rpauserCR1. La automatización (Bot) ProcureToPayGeoEast comienza a ejecutarse en el dispositivo WinVDI1138 como rpauserCR1.
Recuperar credenciales de automatización
Las credenciales de automatización son variables utilizadas por los desarrolladores de bot dentro de las acciones de automatización (bot) que definen y recuperan datos del almacenamiento cifrado. La automatización utiliza las credenciales para autenticarse en las aplicaciones (por ejemplo, la aplicación de finanzas). Las credenciales de automatización son recuperadas por el Automation 360 de Agente de bot durante el tiempo de ejecución.
En la siguiente imagen, se muestra el proceso de recuperación de credenciales de automatización con HashiCorp:
Las credenciales de automatización recuperadas de la bóveda de HashiCorp se asignan en la Credential Vault de Automation Anywhere. La Credential Vault admite estos dos tipos de credenciales de automatización:
- Credenciales del sistema
- Credenciales en las que el valor devuelto por la variable de credenciales es el mismo para cualquier automatización que utilice esa variable.
- Credenciales definidas por el usuario
- Credenciales en las que el valor devuelto por la variable de credenciales es distinto en función del contexto de usuario en el que se ejecuta la automatización.
Tanto para las credenciales del sistema como para las credenciales definidas por el usuario, el desarrollador bot especifica la misma variable de credencial dentro del código del bot. Luego, el sistema determina qué credencial debe recuperarse durante el tiempo de ejecución del bot.
Las credenciales definidas por el usuario simplifican el desarrollo de la automatización y permiten que los desarrolladores de bot puedan escribir código utilizando una única variable de credencial en la que la plataforma RPA reemplaza el valor devuelto durante el tiempo de ejecución por un valor único específico para el usuario. Los desarrolladores pueden evitar escribir código duplicado con diferentes variables de credenciales específicas para el usuario.
En la siguiente imagen, se muestra la convención de nomenclatura que se espera para las credenciales de HashiCorp:
En el diagrama, se muestran seis secretos en la bóveda de HashiCorp que pueden asignarse a dos credenciales dentro de la Control Room de la Credential Vault
- Object3
- Object4
Por ejemplo, puede asignar un casillero en la Control Room a prefixID3 o prefixID4. Luego, asigne el secreto a una credencial. Para cada credencial, los secretos se consumirán (los recuperados por la Control Room) como una credencial definida por el sistema (sin postfijo de nombre de usuario) y dos credenciales definidas por el usuario (una para cada uno de los usuarios de la Control Room cuyos nombres de usuario son User1ID1 y User1ID2).
Dentro de la bóveda de HashiCorp, cada credencial de automatización se almacena con un nombre que contiene identificadores específicos que incluyen: un prefijo, un identificador de objeto y un postfijo opcional que identifica un nombre de usuario. Se trata de una convención de nomenclatura obligatoria que garantiza la recuperación de la credencial correcta. El nombre del secreto (la credencial) en la bóveda de HashiCorp codifica la información sobre la asignación dentro de la Credential Vault de Automation Anywhere.
Como administrador, para asignar una Control Room a la bóveda de HashiCorp, debe crear y configurar un casillero y una credencial con la opción de bóveda externa de claves dentro de las funciones Crear casillero y Crear credencial de la Control Room Automation 360:
- Debe configurar los casillero en la Credential Vault que se asignan a un prefijo de nombre de bóveda de HashiCorp.
- Las credenciales se configuran en la Credential Vault y se asignan a un identificador de objeto de la bóveda de HashiCorp (sufijo opcional para la credencial definida por el usuario).
Durante el tiempo de ejecución, la plataforma RPA recupera el secreto que se nombra con un postfijo que coincide con el contexto del usuario (credencial definida por el usuario) en el que se está ejecutando la automatización. Si no hay una credencial definida por el usuario, la plataforma RPA recupera el secreto sin un postfijo de nombre de usuario (credencial del sistema).
La Control Room implementa los controles de acceso a las credenciales externas a través de los permisos dentro de los roles. El acceso a las credenciales se controla mediante la asignación de diferentes usuarios de la Control Room a diversos roles y, luego, a través de la asociación de diferentes casillero con esos roles.
La siguiente imagen muestra el casillero de la Credential Vault de la Control Room y la credencial asignada a la bóveda de HashiCorp:
Convenciones de nomenclatura para la automatización
La siguiente tabla muestra ejemplos de bóvedas de claves externas de la bóveda de HashiCorp que utilizan convenciones de nomenclatura para la automatización.
| Ejemplo de credencial de automatización | Prefijo de HashiCorp | Motor de secretos de clave/valor de HashiCorp | Secreto en HashiCorp | Nombre de usuario de Control Room |
|---|---|---|---|---|
|
accounting_pdf Credencial del sistema en el casillero asignada al prefijo de nombre de secretos de la bóveda de HashiCorp accounting |
accounting | accounting_pdf (sistema) | Ninguno: credencial del sistema | |
|
accounting_pdf_ABCD--user123 Credencial definida por el usuario en el casillero asignada al prefijo de nombre secreto de HashiCorp accounting |
accounting | accounting_pdf_ABCD--user123 | ABCD\user123 |
Ejemplo de recuperación de credenciales de automatizaciones de HashiCorp
Para configurar la recuperación de credenciales de automatización e integrarla en la bóveda de HashiCorp, primero debe crear un casillero y, luego, crear las credenciales.
- Crear casilleros separados en la Control Room para almacenar las credenciales creadas en las bóvedas de credenciales de la Control Room.
- Crear casilleros separados en la Control Room para almacenar las credenciales creadas en bóvedas de claves externas.
La Control Room no admite el almacenamiento de credenciales de las bóvedas de credenciales y bóvedas de claves externas de la Control Room en el mismo casillero.
Para crear un casillero e integrarlo en la bóveda de HashiCorp, siga estos pasos:
- Desde Automation 360
Control Room, vaya a .
Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.
- En la pestaña Credenciales, seleccione Crear casillero.
- Ingrese un nombre para el casillero (por ejemplo, Locker3).
Este nombre es local para la Control Room y no tiene ninguna dependencia del nombre del secreto de la bóveda de HashiCorp.
- Haga clic en Bóveda de claves externa e ingrese el prefijo del nombre del secreto de HashiCorp (por ejemplo: prefijoID3). Debe nombrar los secretos dentro de la bóveda de HashiCorp usando el prefijo del nombre para que la configuración de la asignación se complete con éxito.
- Haga clic en Siguiente.
- Configurar Propietarios, Administradores, Participantes y Consumidores para el casillero.
- Haga clic en Crear casillero.
Consulte Crear casillero.
La Control Room ahora está lista para recuperar credenciales y aplicar controles de acceso a todos los secretos de HashiCorp con el prefijo prefixID3. Para continuar, tiene que crear las credenciales.
Para crear una credencial e integrarla en la bóveda de HashiCorp, siga estos pasos:
- Desde Automation 360
Control Room, vaya a .
Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.
- En la pestaña Credenciales, seleccione Crear credencial.
- Ingrese el nombre de la credencial en el campo Nombre de la credencial.
Este nombre es local para la Control Room y no tiene ninguna dependencia del nombre del secreto de la bóveda de HashiCorp.
- Haga clic en Bóveda de claves externa debajo del campo del nombre.
- En la lista de casilleros disponibles, seleccione el casillero apropiado que se asignó anteriormente al prefijo del nombre del secreto para los secretos que ahora está asignando a la credencial.
- Ingrese el Secret_Name_Body de HashiCorp en el campo Nombre secreto (por ejemplo: Object3).
- Haga clic en Validar y recuperar atributos.
El sistema valida la asignación al intentar recuperar de la bóveda de HashiCorp un secreto con el nombre Prefix_Secret_Name_Body (por ejemplo: prefixID3_Object3.
Si la validación falla, entonces no hay ningún secreto en la bóveda de HashiCorp con un nombre que coincida con la combinación de casillero (prefijo) y credencial (Secret_Name_Body). En este ejemplo, no hay ningún secreto en la bóveda de HashiCorp denominado prefixID3_Object3.
Cuando el sistema recupera con éxito el secreto, muestra los atributos del secreto de la bóveda de HashiCorp (los campos dentro del secreto).
- En la lista de atributos, seleccione los atributos que desea asignar a la credencial.
- Haga clic en Crear credencial.
Si tiene éxito, aparecerá el mensaje de que la credencial se creó con éxito.