Casos de uso de recuperación de credenciales de AWS

Puede recuperar credenciales de AWS para estos casos de uso: arranque, sistema, inicio de sesión automático y automatizaciones.

Recuperar credenciales de arranque de la Control Room

Nota: Este caso de uso se aplica solo a implementaciones de Local.

La Control Room de Automation 360 utiliza las credenciales de arranque para acceder a los servicios de apoyo, como base de datos, cuenta de servicio y Active Directory (AD). Estas credenciales se configuran durante la instalación inicial de Local o postinstalación (con la utilidad de bóveda de claves) mediante la especificación del nombre del objeto.

La siguiente imagen muestra el proceso de recuperación de las credenciales de arranque de Control Room con AWS:

Recuperación de credenciales de arranque de Control Room de AWS

Cuando se requiere durante la secuencia de arranque o las operaciones normales (como actualizar la autenticación de un servicio), la Control Room usa la conexión de la bóveda de claves para recuperar la credencial y realizar la autenticación obligatoria.

Nota: Debe seleccionar la Autenticación de Microsoft SQL Server para este caso de uso; otros métodos de autenticación de base de datos no son compatibles con el arranque.

Recuperar credenciales del sistema de la Control Room

Nota: Este caso de uso solo se aplica a implementaciones Local, y la cuenta de servicio se puede configurar solo durante la instalación inicial.

Si configuró una bóveda de claves externa durante la instalación inicial, luego puede usar la interfaz de usuario del Automation 360 (postinstalación) para configurar las credenciales de SMTP y Active Directory (AD).

  1. Inicie sesión en Control Room Automation 360 como administrador.
  2. En Control Room, navegue hasta: Administración > Configuración > Configuración de correo electrónico.
  3. Puede asignar la credencial de la Cuenta Maestra de AD desde la bóveda de claves externa, configurar las credenciales externas o establecerlas de forma manual (cambiar los modos de recuperación de credenciales de la Cuenta Maestra de AD).

Recuperar credenciales de inicio de sesión automático

Nota: Este caso de uso se aplica tanto a implementaciones Local como Nube.

Las credenciales de inicio de sesión automático se utilizan para autenticarse en un dispositivo Agente de bot Automation 360 e iniciar una sesión activa de Windows. La automatización robótica de procesos (RPA) requiere una sesión activa de Windows para funcionar. El inicio de sesión automático se produce antes de que se ejecute la automatización cuando esta se inicia desde un dispositivo Agente de bot remoto.

La siguiente imagen muestra el proceso de recuperación de las credenciales de inicio de sesión automático con AWS:

Recuperar credenciales de inicio de sesión automático con AWS

Un administrador de la Control Room puede iniciar o programar manualmente un trabajo para iniciar una automatización en un dispositivo Agente de bot mediante la especificación de los siguientes detalles:

  • Nombre de automatización (bot)
  • Nombre del dispositivo
  • Contexto del usuario

El sistema realiza el inicio de sesión automático en el dispositivo especificado con el nombre de usuario y la contraseña asociados al contexto de usuario, y luego ejecuta la automatización en el dispositivo.

Debe tener un secreto para cada usuario de Control Room para el que se recuperarán las credenciales de inicio de sesión automático de la bóveda de claves externa, y el nombre del secreto en el AWS Secrets Manager debe coincidir con el nombre de usuario de Control Room.

Para configurar la recuperación de credenciales de inicio de sesión automático desde la bóveda externa de claves, siga estos pasos:

  1. Inicie sesión en Control Room Automation 360 como administrador.
  2. Desde la Control Room, vaya a Administración > Configuración > Dispositivos.
  3. Desplácese hacia abajo hasta la sección de configuración de inicio de sesión automático y haga clic en Editar.
  4. Si configuró con anterioridad AWS Secrets Manager como la conexión de bóveda de claves externa, haga clic en Habilitado para recuperar las credenciales de inicio de sesión automático de esa bóveda de claves externa.

    Si esta opción está inhabilitada, entonces la conexión de la bóveda de claves externa no fue configurada.

    Nota: Si inhabilita el inicio de sesión automático desde la bóveda externa de claves, las credenciales se recuperan con la Credential Vault de AAI y sus credenciales almacenadas en su lugar.
  5. El AWS Secrets Manager tiene un espacio de nombres plano sin contenedores de organización, por lo que no es necesario ingresar un nombre seguro. Haga clic en Guardar cambios.

Si fue exitoso, aparecerá el mensaje de que la configuración del inicio de sesión automático se ha guardado correctamente.

Convenciones de nomenclatura para el inicio de sesión automático

La Control Room recupera las credenciales de inicio de sesión automático basándose en la convención de nomenclatura de objetos dentro de la bóveda de claves externa. Control Room busca un objeto cuyo nombre (el nombre de la credencial en la bóveda de claves externa) coincida con el nombre de usuario de Control Room para el que se está realizando el inicio de sesión automático.

El prefijo autologin_ es necesario como parte de la convención de nomenclatura para las credenciales de inicio de sesión automático para todas las bóvedas de claves externas: CyberArk, AWS y Azure. El nombre de la credencial de inicio de sesión automático en la bóveda de claves externa debe contener autologin_ seguido del nombre de usuario de Control Room. En algunos casos, ciertas bóvedas de claves externas tienen restricciones en cuanto a los caracteres que se pueden utilizar en los nombres de los objetos de credenciales. Además, para ser compatible con la forma en que los diferentes casos de uso codifican las credenciales, Automation 360 exige que ciertos caracteres sean reservados o codificados.

La siguiente tabla enumera ejemplos de las convenciones de nomenclatura de objetos que se esperan en la Control Room:

Nombre de usuario de la Control Room Formato esperado del nombre del objeto
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Nota: Los clientes de Local que utilizan la autenticación AD, deben formatear los nombres de usuario de inicio de sesión automático utilizando el formato UPN o el sufijo domain\username.

Para las credenciales de inicio de sesión automático, tenga en cuenta lo siguiente:

  • El nombre del objeto en la bóveda de claves externa debe contener el prefijo autologin_.
  • Los nombres de las credenciales de inicio de sesión automático deben corresponder al nombre de usuario de la Control Room (ID de inicio de sesión) para la credencial que se está recuperando.

    Algunas bóvedas externas de claves tienen restricciones de uso para ciertos caracteres, como la barra diagonal inversa (\) y el ampersand (@) en el nombre secreto (nombre del objeto), y restricciones sobre cómo se interpretan los caracteres especiales dentro de las llamadas a la API. Si la ID de usuario contiene caracteres especiales, entonces debe codificar el nombre secreto (nombre del objeto) en la bóveda de claves externa utilizando sustituciones de caracteres del código ASCII, como se indica en la siguiente tabla.

Este carácter Cambia a este carácter del código ASCII
\ (barra diagonal inversa) --
- (guion) -2d-
_ (guion bajo) -5f-
@ (ampersand) -40-
. (punto) -2e-
Nota: Excepto la barra diagonal inversa que se asigna a guion doble, el guion, el punto, el guion bajo y el ampersand se asignan utilizando su código ASCII entre guiones.

Ejemplo de credencial de inicio de sesión automático de AWS

Para este ejemplo de recuperación de credenciales de inicio de sesión automático, considere un usuario de Control Room usuario que quiere implementar un bot en un dispositivo como un usuario específico. Este ejemplo utiliza los siguientes datos:

  • Nombre de automatización (bot) ejecutada en un dispositivo = ProcureToPayGeoEast
  • Nombre del dispositivo del agente = WinVDI1138
  • Contexto de usuario del agente = rpauserCR1@abcd.com

La siguiente imagen muestra un ejemplo de recuperación de credenciales de inicio de sesión automático con AWS:

Ejemplo de credencial de inicio de sesión automático de AWS

Antes de iniciar la automatización, asegúrese de lo siguiente:

  1. Los detalles de conexión de Control Room se han configurado con éxito y Control Room usa estos detalles de conexión para conectarse a AWS y realizar la autenticación.
  2. que la Control Room solicite al dispositivo Agente de bot que se ejecuta en el dispositivo WinVDI1138 que compruebe si hay actualmente una sesión activa de Windows (sistema operativo) en el dispositivo WinVDI1138, y si esa sesión pertenece al usuario del agente rpauserCR1.

    Si hay una sesión existente en el dispositivo para el usuario rpauserCR1, no es necesario realizar el inicio de sesión automático, y el bot continúa con la implementación.

  3. Sin embargo, si no hay una sesión activa o si hay una sesión activa que no pertenece a rpauserCR1, entonces la Control Room recupera la credencial de inicio de sesión automático de AWS Secrets Manager.
  4. La Control Room pasa la credencial (contraseña) al Agente de bot. La Agente de bot realiza un inicio de sesión de Windows en el dispositivo WinVDI1138 como rpauserCR1 (primero, cerrando la sesión de inicio de sesión de cualquier otro usuario) utilizando la credencial de inicio de sesión automático para rpauserCR1. La automatización (Bot) ProcureToPayGeoEast comienza a ejecutarse en el dispositivo WinVDI1138 como rpauserCR1.

Recuperar credenciales de automatización

Nota: Este caso de uso se aplica tanto a implementaciones Local como Nube.

Las credenciales de automatización son variables utilizadas por los desarrolladores de bot dentro de las acciones de automatización (bot) que definen y recuperan datos del almacenamiento cifrado. La automatización utiliza las credenciales para autenticarse en las aplicaciones (por ejemplo, la aplicación de finanzas). Las credenciales de automatización son recuperadas por el Agente de bot de Automation 360 durante el tiempo de ejecución.

La siguiente imagen muestra el proceso de recuperación de credenciales de automatización con AWS:

Recuperación de las credenciales de automatización de AWS

Las credenciales de automatización recuperadas de la bóveda de AWS Secrets Manager se asignan en la Automation Anywhere Credential Vault. La Credential Vault admite estos dos tipos de credenciales de automatización:

Credenciales del sistema
Credenciales en las que el valor devuelto por la variable de credenciales es el mismo para cualquier automatización que utilice esa variable.
Credenciales definidas por el usuario
Credenciales en las que el valor devuelto por la variable de credenciales es distinto en función del contexto de usuario en el que se ejecuta la automatización.

Tanto para las credenciales del sistema como para las credenciales definidas por el usuario, el desarrollador bot especifica la misma variable de credencial dentro del código del bot. Luego, el sistema determina qué credencial debe recuperarse durante el tiempo de ejecución del bot.

Las credenciales definidas por el usuario simplifican el desarrollo de la automatización y permiten que los desarrolladores de bot puedan escribir código utilizando una única variable de credencial en la que la plataforma RPA reemplaza el valor devuelto durante el tiempo de ejecución por un valor único específico para el usuario. Los desarrolladores pueden evitar escribir código duplicado con diferentes variables de credenciales específicas para el usuario.

La siguiente imagen muestra la convención de nombre esperada para las credenciales de AWS:

Credenciales esperadas de AWS

El diagrama muestra seis secretos en el AWS Secrets Manager que se pueden asignar a dos credenciales dentro de la Control Room Credential Vault

  • Object3
  • Object4

Por ejemplo, puede asignar un casillero en la Control Room a prefixID3 o prefixID4. Luego, asigne el secreto a una credencial. Para cada credencial, los secretos se consumirán (los recuperados por la Control Room) como una credencial definida por el sistema (sin postfijo de nombre de usuario) y dos credenciales definidas por el usuario (una para cada uno de los usuarios de la Control Room cuyos nombres de usuario son User1ID1 y User1ID2).

Nota: Dentro de la Credential Vault de la Control Room, el nombre del casillero y el nombre de la credencial son arbitrarios y locales para la Control Room. Asigne estos nombres a secretos específicos en la bóveda externa de claves.

Dentro de AWS Secrets Manager, cada credencial de automatización se almacena con un nombre que contiene identificadores específicos que incluyen: un prefijo, un identificador de objeto y un sufijo opcional que identifica un nombre de usuario. Se trata de una convención de nomenclatura obligatoria que garantiza la recuperación de la credencial correcta. El nombre del secreto (la credencial) en AWS Secrets Manager codifica la información sobre la asignación dentro de Automation Anywhere Credential Vault.

Como administrador, para asignar un Control Room a AWS Secrets Manager, debe crear y configurar un casillero y una credencial al usar la opción de bóveda de claves externa dentro de las características Crear bóveda y Crear credencial en el Control Room de Automation 360:

  • Debe configurar las casillero en la Credential Vault que se asignan a un prefijo de nombre secreto de AWS.
  • Las credenciales se configuran en la Credential Vault que se asigna a un identificador de objeto secreto de AWS (sufijo opcional para la credencial definida por el usuario).

Durante el tiempo de ejecución, la plataforma RPA recupera el secreto que se nombra con un postfijo que coincide con el contexto del usuario (credencial definida por el usuario) en el que se está ejecutando la automatización. Si no hay una credencial definida por el usuario, la plataforma RPA recupera el secreto sin un postfijo de nombre de usuario (credencial del sistema).

La Control Room implementa los controles de acceso a las credenciales externas a través de los permisos dentro de los roles. El acceso a las credenciales se controla mediante la asignación de diferentes usuarios de Control Room a diversos roles y, luego, a través de la asociación de diferentes casillero con esos roles.

La siguiente imagen muestra el casillero de Credential Vault de Control Room y la credencial asignada a un secreto de AWS:

Credenciales asignadas por AWS a la bóveda de credenciales
Importante: Cuando se crea una credencial asignada a nivel externo, se debe colocar la credencial en el casillero correspondiente asignado externamente (el casillero se asigna al prefijo en el nombre del secreto). El nombre secreto de AWS tendrá una convención de nombre: Prefijo + Cuerpo_del nombre_del_secreto + Postfijo (opcional para credenciales definidas por el usuario).
Nota: Los mismos permisos y privilegios (asignados a través de roles) en la Control Room se aplican a las credenciales asignadas a la bóveda de claves externa.

Convenciones de nomenclatura para la automatización

La siguiente tabla muestra ejemplos de bóvedas de claves externas del AWS Secrets Manager que utilizan convenciones de nomenclatura para la automatización.

Nota: El prefijo de AWS se asigna al casillero de Control Room, y el cuerpo secreto de AWS se asigna a la credencial de Control Room.
Ejemplo de credencial de automatización Prefijo de AWS Cuerpo secreto de AWS Secreto en AWS Nombre de usuario de Control Room

accounting_pdf

Credencial del sistema en el casillero asignada al prefijo del nombre secreto de AWS cuenta

accounting pdf accounting_pdf (sistema) Ninguno: credencial del sistema

accounting_pdf_ABCD--user123

Credencial definida por el usuario en el casillero asignada al prefijo del nombre secreto de AWS accounting

accounting pdf accounting_pdf_ABCD--user123 ABCD\user123

Ejemplo de recuperación de credenciales de automatizaciones de AWS

Para configurar la recuperación de credenciales de automatización e integrarla con AWS Secrets Manager, primero debe crear un casillero y luego crear las credenciales.

Nota: Si desea almacenar credenciales en las bóvedas de credenciales y bóvedas de claves externas de la Control Room, le recomendamos que realice lo siguiente:
  • Crear casilleros separados en la Control Room para almacenar las credenciales creadas en las bóvedas de credenciales de la Control Room.
  • Crear casilleros separados en la Control Room para almacenar las credenciales creadas en bóvedas de claves externas.

La Control Room no admite el almacenamiento de credenciales de las bóvedas de credenciales y bóvedas de claves externas de la Control Room en el mismo casillero.

Para crear un casillero e integrarlo con AWS Secrets Manager, realice estos pasos:

  1. Desde Automation 360 Control Room, vaya a Administrar > Credencial.

    Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.

  2. En la pestaña Credenciales, seleccione Crear casillero.
  3. Ingrese un nombre para el casillero (por ejemplo, Locker3).

    Este nombre es local a la Control Room y no tiene ninguna dependencia con el nombre secreto de AWS.

  4. Haga clic en Bóveda de claves externa e ingrese el prefijo del nombre secreto de AWS (por ejemplo: prefixID3). Debe nombrar los secretos dentro del AWS Secrets Manager con el prefijo del nombre para que la configuración de la asignación se complete con éxito.
  5. Haga clic en Siguiente.
  6. Configurar Propietarios, Administradores, Participantes y Consumidores para el casillero.
  7. Haga clic en Crear casillero.

    Consulte Crear casillero.

Control Room ahora está listo para recuperar credenciales y aplicar controles de acceso a todos los secretos de Azure con el prefijo prefixID3. Para continuar, tiene que crear las credenciales.

Para crear una credencial que se integre con AWS Secrets Manager, realice los siguientes pasos:

  1. Desde Automation 360 Control Room, vaya a Administrar > Credenciales.

    Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.

  2. En la pestaña Credenciales, seleccione Crear credencial.
  3. Ingrese el nombre de la credencial en el campo Nombre de la credencial.

    Este nombre es local a la Control Room y no tiene ninguna dependencia con el nombre secreto de AWS.

  4. Haga clic en Bóveda de claves externa debajo del campo del nombre.
  5. En la lista de casilleros disponibles, seleccione el casillero apropiado que se asignó anteriormente al prefijo del nombre del secreto para los secretos que ahora está asignando a la credencial.
  6. Ingrese el Secret_Name_Body de AWS en el campo Nombre secreto (por ejemplo: Object3).
  7. Haga clic en Validar y recuperar atributos.

    El sistema valida la asignación al intentar recuperar de AWS Secrets Manager un secreto con el nombre Prefix_Secret_Name_Body (por ejemplo: prefixID3_Object3.

    Si la validación falla, entonces no existe ningún secreto en el AWS Secrets Manager con el nombre que coincide con la combinación de casillero (prefijo) y credencial (Secret_Name_Body). En este ejemplo, no hay ningún secreto en el AWS Secrets Manager llamado prefixID3_Object3

    Una vez que el sistema recupera con éxito el secreto, mostrará los atributos del secreto de AWS Secrets Manager (los campos dentro del secreto).

  8. En la lista de atributos, seleccione los atributos que desea asignar a la credencial.
  9. Haga clic en Crear credencial.

    Si tiene éxito, aparecerá el mensaje de que la credencial se creó con éxito.