Casos de uso de recuperación de credenciales de Azure

Puede recuperar las credenciales de Azure para estos casos de uso: arranque, sistema, inicio de sesión automático y automatizaciones.

Recuperar credenciales de arranque de la Control Room

Nota: Este caso de uso se aplica solo a implementaciones de Local.

La Control Room de Automation 360 utiliza las credenciales de arranque para acceder a los servicios de apoyo, como base de datos, cuenta de servicio y Active Directory (AD). Estas credenciales se configuran durante la instalación inicial de Local o postinstalación (con la utilidad de bóveda de claves) mediante la especificación del nombre del objeto.

En la siguiente imagen, se muestra el proceso de recuperación de las credenciales de arranque de la Control Room con Azure:

Recuperación de credenciales de arranque de la Control Room de Azure

Cuando se requiere durante la secuencia de arranque o las operaciones normales (como actualizar la autenticación de un servicio), la Control Room usa la conexión de la bóveda de claves para recuperar la credencial y realizar la autenticación obligatoria.

Nota: Debe seleccionar la Autenticación de Microsoft SQL Server para este caso de uso; otros métodos de autenticación de base de datos no son compatibles con el arranque.

Recuperar credenciales del sistema de la Control Room

Nota: Este caso de uso solo se aplica a implementaciones Local, y la cuenta de servicio se puede configurar solo durante la instalación inicial.

Si configuró una bóveda de claves externa durante la instalación inicial, luego puede usar la interfaz de usuario del Automation 360 (postinstalación) para configurar las credenciales de SMTP y Active Directory (AD).

  1. Inicie sesión en Control Room Automation 360 como administrador.
  2. En Control Room, navegue hasta: Administración > Configuración > Configuración de correo electrónico.
  3. Puede asignar la credencial de la Cuenta Maestra de AD desde la bóveda de claves externa, configurar las credenciales externas o establecerlas de forma manual (cambiar los modos de recuperación de credenciales de la Cuenta Maestra de AD).

Recuperar credenciales de inicio de sesión automático

Nota: Este caso de uso se aplica tanto a implementaciones Local como Nube.

Las credenciales de inicio de sesión automático se utilizan para autenticarse en un dispositivo Agente de bot Automation 360 e iniciar una sesión activa de Windows. La automatización robótica de procesos (RPA) requiere una sesión activa de Windows para funcionar. El inicio de sesión automático se produce antes de que se ejecute la automatización cuando esta se inicia desde un dispositivo Agente de bot remoto.

En la siguiente imagen, muestra el proceso de recuperación de las credenciales de inicio de sesión automático con Azure:

Azure recupera credenciales de inicio de sesión automático

Un administrador de la Control Room puede iniciar o programar manualmente un trabajo para iniciar una automatización en un dispositivo Agente de bot mediante la especificación de los siguientes detalles:

  • Nombre de automatización (bot)
  • Nombre del dispositivo
  • Contexto del usuario

El sistema realiza el inicio de sesión automático en el dispositivo especificado con el nombre de usuario y la contraseña asociados al contexto de usuario, y luego ejecuta la automatización en el dispositivo.

Debe tener un secreto para cada usuario de la Control Room para el que se recuperarán las credenciales de inicio de sesión automático de la bóveda de claves externa, y el nombre del secreto de la bóveda de claves de Azure debe coincidir con el nombre de usuario de la Control Room.

Para configurar la recuperación de credenciales de inicio de sesión automático desde la bóveda externa de claves, siga estos pasos:

  1. Inicie sesión en Control Room Automation 360 como administrador.
  2. Desde la Control Room, vaya a Administración > Configuración > Dispositivos.
  3. Desplácese hacia abajo hasta la sección de configuración de inicio de sesión automático y haga clic en Editar.
  4. Si ha configurado previamente la bóveda de claves de Azure como la conexión de bóveda externa de claves, haga clic en Habilitado para recuperar las credenciales de inicio de sesión automático de esa bóveda externa de claves.

    Si esta opción está inhabilitada, entonces la conexión de la bóveda de claves externa no fue configurada.

    Nota: Si inhabilita el inicio de sesión automático desde la bóveda externa de claves, las credenciales se recuperan con la Credential Vault de AAI y sus credenciales almacenadas en su lugar.
  5. La bóveda de claves de Azure tiene un espacio de nombres plano sin contenedores de organización, por lo que no es necesario ingresar un nombre seguro. Haga clic en Guardar cambios.

Si fue exitoso, aparecerá el mensaje de que la configuración del inicio de sesión automático se ha guardado correctamente.

Convenciones de nomenclatura para el inicio de sesión automático

La Control Room recupera las credenciales de inicio de sesión automático basándose en la convención de nomenclatura de objetos dentro de la bóveda de claves externa. Control Room busca un objeto cuyo nombre (el nombre de la credencial en la bóveda de claves externa) coincida con el nombre de usuario de Control Room para el que se está realizando el inicio de sesión automático.

El prefijo autologin_ es necesario como parte de la convención de nomenclatura para las credenciales de inicio de sesión automático para todas las bóvedas de claves externas: CyberArk, AWS y Azure. El nombre de la credencial de inicio de sesión automático en la bóveda de claves externa debe contener autologin_ seguido del nombre de usuario de Control Room. En algunos casos, ciertas bóvedas de claves externas tienen restricciones en cuanto a los caracteres que se pueden utilizar en los nombres de los objetos de credenciales. Además, para ser compatible con la forma en que los diferentes casos de uso codifican las credenciales, Automation 360 exige que ciertos caracteres sean reservados o codificados.

La siguiente tabla enumera ejemplos de las convenciones de nomenclatura de objetos que se esperan en la Control Room:

Nombre de usuario de la Control Room Formato esperado del nombre del objeto
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Nota: Los clientes de Local que utilizan la autenticación AD, deben formatear los nombres de usuario de inicio de sesión automático utilizando el formato UPN o el sufijo domain\username.

Para las credenciales de inicio de sesión automático, tenga en cuenta lo siguiente:

  • El nombre del objeto en la bóveda de claves externa debe contener el prefijo autologin_.
  • Los nombres de las credenciales de inicio de sesión automático deben corresponder al nombre de usuario de la Control Room (ID de inicio de sesión) para la credencial que se está recuperando.

    Algunas bóvedas externas de claves tienen restricciones de uso para ciertos caracteres, como la barra diagonal inversa (\) y el ampersand (@) en el nombre secreto (nombre del objeto), y restricciones sobre cómo se interpretan los caracteres especiales dentro de las llamadas a la API. Si la ID de usuario contiene caracteres especiales, entonces debe codificar el nombre secreto (nombre del objeto) en la bóveda de claves externa utilizando sustituciones de caracteres del código ASCII, como se indica en la siguiente tabla.

Este carácter Cambia a este carácter del código ASCII
\ (barra diagonal inversa) --
- (guion) -2d-
_ (guion bajo) -5f-
@ (ampersand) -40-
. (punto) -2e-
Nota: Excepto la barra diagonal inversa que se asigna a guion doble, el guion, el punto, el guion bajo y el ampersand se asignan utilizando su código ASCII entre guiones.

Ejemplo de credencial de inicio de sesión automático de Azure

Para este ejemplo de recuperación de credenciales de inicio de sesión automático, considere un usuario de Control Room usuario que quiere implementar un bot en un dispositivo como un usuario específico. Este ejemplo utiliza los siguientes datos:

  • Nombre de automatización (bot) ejecutada en un dispositivo = ProcureToPayGeoEast
  • Nombre del dispositivo del agente = WinVDI1138
  • Contexto de usuario del agente = rpauserCR1@abcd.com

En la siguiente imagen, se muestra un ejemplo de la recuperación de credenciales de inicio de sesión automático con Azure:

Ejemplo de credencial de inicio de sesión automático de Azure

Antes de iniciar la automatización, asegúrese de lo siguiente:

  1. que los detalles de conexión de la Control Room se hayan configurado con éxito y que en la Control Room se utilicen estos detalles de conexión para conectarse a Azure y realizar la autenticación; y
  2. que la Control Room solicite al dispositivo Agente de bot que se ejecuta en el dispositivo WinVDI1138 que compruebe si hay actualmente una sesión activa de Windows (sistema operativo) en el dispositivo WinVDI1138, y si esa sesión pertenece al usuario del agente rpauserCR1.

    Si hay una sesión existente en el dispositivo para el usuario rpauserCR1, no es necesario realizar el inicio de sesión automático, y el bot continúa con la implementación.

  3. Sin embargo, si no hay una sesión activa o si hay una sesión activa que no pertenece a rpauserCR1, la Control Room recupera la credencial de inicio de sesión automático de la bóveda de contraseñas de Azure.
  4. La Control Room pasa la credencial (contraseña) al Agente de bot. La Agente de bot realiza un inicio de sesión de Windows en el dispositivo WinVDI1138 como rpauserCR1 (primero, cerrando la sesión de inicio de sesión de cualquier otro usuario) utilizando la credencial de inicio de sesión automático para rpauserCR1. La automatización (Bot) ProcureToPayGeoEast comienza a ejecutarse en el dispositivo WinVDI1138 como rpauserCR1.

Recuperar credenciales de automatización

Nota: Este caso de uso se aplica tanto a implementaciones Local como Nube.

Las credenciales de automatización son variables utilizadas por los desarrolladores de bot dentro de las acciones de automatización (bot) que definen y recuperan datos del almacenamiento cifrado. La automatización utiliza las credenciales para autenticarse en las aplicaciones (por ejemplo, la aplicación de finanzas). Las credenciales de automatización son recuperadas por el Agente de bot de Automation 360 durante el tiempo de ejecución.

En la siguiente imagen, se muestra el proceso de recuperación de credenciales de automatización con Azure:

Azure recuperando credenciales de automatización

Las credenciales de automatización recuperadas de la bóveda de claves de Azure se asignan en la Credential Vault de Automation Anywhere. La Credential Vault admite estos dos tipos de credenciales de automatización:

Credenciales del sistema
Credenciales en las que el valor devuelto por la variable de credenciales es el mismo para cualquier automatización que utilice esa variable.
Credenciales definidas por el usuario
Credenciales en las que el valor devuelto por la variable de credenciales es distinto en función del contexto de usuario en el que se ejecuta la automatización.

Tanto para las credenciales del sistema como para las credenciales definidas por el usuario, el desarrollador bot especifica la misma variable de credencial dentro del código del bot. Luego, el sistema determina qué credencial debe recuperarse durante el tiempo de ejecución del bot.

Las credenciales definidas por el usuario simplifican el desarrollo de la automatización y permiten que los desarrolladores de bot puedan escribir código utilizando una única variable de credencial en la que la plataforma RPA reemplaza el valor devuelto durante el tiempo de ejecución por un valor único específico para el usuario. Los desarrolladores pueden evitar escribir código duplicado con diferentes variables de credenciales específicas para el usuario.

En la siguiente imagen, se muestra la convención de nomenclatura que se espera para las credenciales de Azure:

Credenciales que se esperan de Azure

En el diagrama, se muestran seis secretos en la bóveda de claves de Azure que pueden asignarse a dos credenciales dentro de la Credential Vault de la Control Room

  • Object3
  • Object4

Por ejemplo, puede asignar un casillero en la Control Room a prefixID3 o prefixID4. Luego, asigne el secreto a una credencial. Para cada credencial, los secretos se consumirán (los recuperados por la Control Room) como una credencial definida por el sistema (sin postfijo de nombre de usuario) y dos credenciales definidas por el usuario (una para cada uno de los usuarios de la Control Room cuyos nombres de usuario son User1ID1 y User1ID2).

Nota: Dentro de la Credential Vault de la Control Room, el nombre del casillero y el nombre de la credencial son arbitrarios y locales para la Control Room. Asigne estos nombres a secretos específicos en la bóveda externa de claves.

Dentro de la bóveda de claves de Azure, cada credencial de automatización se almacena con un nombre que contiene identificadores específicos que incluyen: un prefijo, un identificador de objeto y un postfijo opcional que identifica un nombre de usuario. Se trata de una convención de nomenclatura obligatoria que garantiza la recuperación de la credencial correcta. El nombre del secreto (la credencial) en la bóveda de claves de Azure codifica la información sobre la asignación dentro de la Automation Anywhere Credential Vault.

Como administrador, para asignar una Control Room a la bóveda de claves de Azure, debe crear y configurar un casillero y una credencial con la opción de bóveda externa de claves dentro de las funciones Crear casillero y Crear credencial de la Automation 360 Control Room:

  • El casillero de la Credential Vault se debe configurar para asignar un prefijo de nombre secreto de Azure.
  • Las credenciales se configuran en la Credential Vault que se asignan a un identificador de objetos secretos de Azure (postfijo opcional para la credencial definida por el usuario).

Durante el tiempo de ejecución, la plataforma RPA recupera el secreto que se nombra con un postfijo que coincide con el contexto del usuario (credencial definida por el usuario) en el que se está ejecutando la automatización. Si no hay una credencial definida por el usuario, la plataforma RPA recupera el secreto sin un postfijo de nombre de usuario (credencial del sistema).

Nota: Cuando agrega un atributo para una credencial en la Control Room, puede seleccionar Estándar o Proporcionado por el usuario como tipo de entrada para el atributo y el tipo de entrada correspondiente se muestra para el atributo cuando ve la credencial. Sin embargo, cuando se recupera un atributo y su valor de bóvedas de claves externas, su tipo lo proporciona el usuario e implica una credencial administrada externamente.

La Control Room implementa los controles de acceso a las credenciales externas a través de los permisos dentro de los roles. El acceso a las credenciales se controla mediante la asignación de diferentes usuarios de Control Room a diversos roles y, luego, a través de la asociación de diferentes casillero con esos roles.

En la siguiente imagen, se muestra el Control Room Credential Vault casillero y la credencial asignada a un secreto de Azure:

Credenciales asignadas de Azure a la Credential Vault
Importante: Cuando se crea una credencial asignada a nivel externo, se debe colocar la credencial en el casillero correspondiente asignado externamente (el casillero se asigna al prefijo en el nombre del secreto). El nombre del secreto de Azure tendrá una convención de nomenclatura como la siguiente: Prefijo + Cuerpo_del nombre_del_secreto + Postfijo (opcional para credenciales definidas por el usuario).
Nota: Los mismos permisos y privilegios (asignados a través de roles) en la Control Room se aplican a las credenciales asignadas a la bóveda de claves externa.

Convenciones de nomenclatura para la automatización

La siguiente tabla muestra ejemplos de bóvedas de claves externas de Azure Key Vault que utilizan convenciones de nomenclatura para la automatización.

Nota: El prefijo Azure se asigna al casillero de la Control Room y el cuerpo secreto de Azure se asigna a la credencial de la Control Room.
Ejemplo de credencial de automatización Prefijo de Azure Cuerpo secreto de Azure Secreto en Azure Nombre de usuario de Control Room

accounting_cv1

Credencial del sistema en el casillero asignada al prefijo del nombre secreto de Azure accounting

accounting cv1 pdf-5f-cv1 (sistema) Ninguno: credencial del sistema

accounting_cv1_ABCD\user123

Credencial definida por el usuario en el casillero asignada al prefijo Azure

accounting cv1 pdf-5f-cv1-5f-ABCD--user123 ABCD\user123

Al implementar las credenciales de Azure, el carácter de guion bajo (_) de Azure Key Vault es un carácter reservado y no puede utilizarse en los nombres de las credenciales. Debe sustituir cualquier uso del guion bajo (_) por el valor del código ASCII 5f entre guiones:

Este carácter Cambia a este carácter del código ASCII
\ (barra diagonal) --
- (guion) -2d-
_ (guion bajo) -5f-
@ (ampersand) -40-
. (punto) -2e-

Ejemplo de recuperación de credenciales de automatizaciones de Azure

Para configurar la recuperación de credenciales de automatización e integrarla en la bóveda de claves de Azure, primero debe crear un casillero y, luego, crear las credenciales.

Nota: Si desea almacenar credenciales en las bóvedas de credenciales y bóvedas de claves externas de la Control Room, le recomendamos que realice lo siguiente:
  • Crear casilleros separados en la Control Room para almacenar las credenciales creadas en las bóvedas de credenciales de la Control Room.
  • Crear casilleros separados en la Control Room para almacenar las credenciales creadas en bóvedas de claves externas.

La Control Room no admite el almacenamiento de credenciales de las bóvedas de credenciales y bóvedas de claves externas de la Control Room en el mismo casillero.

Para crear un casillero e integrarlo en la bóveda de claves de Azure, siga estos pasos:

  1. Desde Automation 360 Control Room, vaya a Administrar > Credencial.

    Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.

  2. En la pestaña Credenciales, seleccione Crear casillero.
  3. Ingrese un nombre para el casillero (por ejemplo, Locker3).

    Este nombre es local para la Control Room y no tiene ninguna dependencia del nombre del secreto de Azure.

  4. Haga clic en Bóveda externa de claves e ingrese el prefijo del nombre secreto de Azure (por ejemplo: prefixID3). Los secretos dentro de la bóveda de claves de Azure se nombran con el prefijo del nombre para que la configuración de la asignación se complete con éxito.
  5. Haga clic en Siguiente.
  6. Configurar Propietarios, Administradores, Participantes y Consumidores para el casillero.
  7. Haga clic en Crear casillero.

    Consulte Crear casillero.

Control Room ahora está listo para recuperar credenciales y aplicar controles de acceso a todos los secretos de Azure con el prefijo prefixID3. Para continuar, tiene que crear las credenciales.

Para crear una credencial e integrarla en la bóveda de claves de Azure, siga estos pasos:

  1. Desde Automation 360 Control Room, vaya a Administrar > Credenciales.

    Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.

  2. En la pestaña Credenciales, seleccione Crear credencial.
  3. Ingrese el nombre de la credencial en el campo Nombre de la credencial.

    Este nombre es local para la Control Room y no tiene ninguna dependencia del nombre del secreto de Azure.

  4. Haga clic en Bóveda de claves externa debajo del campo del nombre.
  5. En la lista de casilleros disponibles, seleccione el casillero apropiado que se asignó anteriormente al prefijo del nombre del secreto para los secretos que ahora está asignando a la credencial.
  6. Ingrese el Secret_Name_Body de Azure en el campo Nombre secreto (por ejemplo: Object3).
  7. Haga clic en Validar y recuperar atributos.

    El sistema valida la asignación mediante un intento de recuperar de la Bóveda de claves de Azure un secreto con el nombre Prefix_Secret_Name_Body_LoggedInUser (por ejemplo: prefixID3_Object3_testuser1).

    Si la validación falla, revise los siguientes parámetros:
    • Verifique que no haya ningún secreto en Azure Key Vault con el nombre que coincida con la combinación de casillero (prefijo) y credencial (Secret_Name_Body). En este ejemplo, no hay ningún secreto en la bóveda de claves de Azure denominado prefixID3_Object3.
    • Verifique que no haya caracteres especiales o codificación en el nombre de usuario o nombre secreto.

    Consulte: Convenciones de nomenclatura de bóveda de claves externa.

    Cuando el sistema recupera con éxito el secreto, muestra los atributos de secretos de la bóveda de claves de Azure (los campos dentro del secreto).

    Nota: El valor secreto debe tener el siguiente formato JSON:
    {    
    "username": "dummyUserName",    
    "password": "dummyPassword"
    }
  8. En la lista de atributos, seleccione los atributos que desea asignar a la credencial.
  9. Haga clic en Crear credencial.

    Si tiene éxito, aparecerá el mensaje de que la credencial se creó con éxito.