Casos de uso de recuperación de credenciales de CyberArk

Puede recuperar las credenciales de CyberArk para estos casos de uso: arranque, sistema, inicio de sesión automático y automatizaciones.

Recuperar credenciales de arranque de Control Room con CyberArk

En la Control Room de Automation 360, se usan las credenciales de arranque para acceder a los servicios de soporte, como base de datos, cuenta de servicio y Active Directory (AD). Estas credenciales se configuran durante la instalación inicial Local o después de la instalación (utilizando la utilidad de bóveda de claves) y debe especificar el nombre de caja fuerte y nombre del objeto.

En las siguientes imágenes, se muestra el proceso de recuperación de las credenciales de arranque de Control Room con CyberArk:

Recuperación de credenciales de Control Room de CyberArk

Cuando se requiere durante la secuencia de arranque o las operaciones normales (como actualizar la autenticación de un servicio), la Control Room usa la conexión de la bóveda de claves para recuperar la credencial y realizar la autenticación obligatoria.

Nota: Debe seleccionar la Autenticación de Microsoft SQL Server para este caso de uso; otros métodos de autenticación de base de datos no son compatibles con el arranque.

Recuperar credenciales del sistema de Control Room con CyberArk

Nota: Puede configurar la cuenta de servicio solo durante la instalación inicial.

Si configuró una bóveda externa de claves durante la instalación inicial, puede utilizar la interfaz de usuario de Automation 360 (posinstalación) para configurar las credenciales de SMTP y de Active Directory (AD).

  1. Inicie sesión en Control Room Automation 360 como administrador.
  2. En Control Room, navegue hasta: Administración > Configuración > Configuración de correo electrónico.
  3. Puede asignar la credencial de la Cuenta Maestra de AD desde la bóveda de claves externa, configurar las credenciales externas o establecerlas de forma manual (cambiar los modos de recuperación de credenciales de la Cuenta Maestra de AD).

Recuperar credenciales de inicio de sesión automático con CyberArk

Las credenciales de inicio de sesión automático se utilizan para autenticarse en un dispositivo Agente de bot Automation 360 e iniciar una sesión activa de Windows. La automatización robótica de procesos (RPA) requiere una sesión activa de Windows para funcionar. El inicio de sesión automático se produce antes de que se ejecute la automatización cuando esta se inicia desde un dispositivo Agente de bot remoto.
Nota:

Si el inicio de sesión automático está habilitado para Instancias de Bot Runner no supervisados, entonces todos los dispositivos de Bot Runner no supervisados utilizarán el inicio de sesión automático buscando las credenciales en las bóvedas de claves externas configuradas. Asegúrese de que las credenciales de todos los dispositivos de Bot Runner se crean en bóvedas de claves externas. De lo contrario, los dispositivos de Bot Runner encontrarán el error Secreto no encontrado.

En la siguiente imagen, se muestra el proceso de recuperación de las credenciales de inicio de sesión automático con CyberArk:

Recuperar credenciales de inicio de sesión automático de CyberArk

Un administrador de la Control Room puede iniciar o programar manualmente un trabajo para iniciar una automatización en un dispositivo Agente de bot mediante la especificación de los siguientes detalles:

  • Nombre de automatización (bot)
  • Nombre del dispositivo
  • Contexto del usuario

El sistema realiza el inicio de sesión automático en el dispositivo especificado con el nombre de usuario y la contraseña asociados al contexto de usuario, y luego ejecuta la automatización en el dispositivo.

Para configurar la recuperación de credenciales de inicio de sesión automático desde la bóveda externa de claves, siga estos pasos:

Nota: Asegúrese de comprender los requisitos de la convención de nomenclatura de bóvedas de claves antes de integrar la bóveda de claves de CyberArk. Consulte Convenciones de nomenclatura de bóveda de claves externa.
  1. Inicie sesión en Control Room de Automation 360 como administrador con permiso para ver y administrar configuraciones.
  2. Desde la Control Room, vaya a Administración > Configuración > Dispositivos.
  3. Desplácese hacia abajo hasta la sección de configuración de inicio de sesión automático y haga clic en Editar.
  4. Si ha configurado previamente CyberArk como la conexión de bóveda de claves externa, haga clic en Habilitado para recuperar las credenciales de inicio de sesión automático de esa bóveda de claves externa.

    Si esta opción está inhabilitada, entonces la conexión de la bóveda de claves externa no fue configurada.

    Nota: Si inhabilita el inicio de sesión automático desde la bóveda externa de claves, las credenciales se recuperan con la Credential Vault de AAI y sus credenciales almacenadas en su lugar.
  5. Introduzca el Nombre de caja fuerte (por ejemplo: AA_Auto-login_Safe).
    El nombre de la caja fuerte que ingrese también se conoce como Caja fuerte de credenciales de inicio de sesión automático.
    Nota: Para conocer los formatos de nombre seguro y nombre de objeto, consulte Convenciones de nomenclatura de bóveda de claves externa.
  6. Escriba la propiedad configurada con su nombre de usuario de CyberArk. Por ejemplo, para configurar el nombre de usuario en el formato domain\username, debe ingresar lo siguiente: $domain$\$username$ donde los valores para dominio y nombre de usuario se obtienen de la respuesta secreta de CyberArk.
  7. Para añadir una caja fuerte opcional, haga clic en Añadir caja fuerte opcional, introduzca el Nombre de la caja fuerte y, a continuación, seleccione funciones. Puede agregar hasta 25 cajas fuertes.
  8. Haga clic en Guardar cambios.

    Si tuvo éxito, aparecerá el mensaje de que la configuración del inicio de sesión automático se ha guardado correctamente.

Ejemplo de credencial de inicio de sesión automático de CyberArk

Para este ejemplo de recuperación de credenciales de inicio de sesión automático, considere un usuario de Control Room usuario que quiere implementar un bot en un dispositivo como un usuario específico. Este ejemplo utiliza los siguientes datos:

  • Nombre de automatización (bot) ejecutada en un dispositivo = ProcureToPayGeoEast
  • Nombre del dispositivo del agente = WinVDI1138
  • Contexto de usuario del agente = roboticworker2112@automation.abcd.com

En la siguiente imagen, se muestra un ejemplo de recuperación de credenciales de inicio de sesión automático con CyberArk:

Ejemplo de credencial de inicio de sesión automático de CyberArk

Antes de iniciar la automatización, asegúrese de lo siguiente:

  1. que los detalles de conexión de la Control Room se hayan configurado con éxito y que en la Control Room se usen esos detalles de conexión para conectarse a CyberArk y realiza la autenticación; y
  2. que la Control Room solicite al dispositivo Agente de bot que se ejecuta en el dispositivo WinVDI1138 que compruebe si hay actualmente una sesión activa de Windows (sistema operativo) en el dispositivo WinVDI1138, y si esa sesión pertenece al usuario del agente robiticworker2112.

    Si hay una sesión existente en el dispositivo para el usuario robiticworker2112, no es necesario realizar el inicio de sesión automático, y el bot continúa con la implementación.

  3. Sin embargo, si no hay una sesión activa o si hay una sesión activa que no pertenece a robiticworker2112, entonces la Control Room recupera la credencial de inicio de sesión automático de la bóveda de contraseñas de CyberArk.
  4. La Control Room pasa la credencial (contraseña) al Agente de bot. La Agente de bot realiza un inicio de sesión de Windows en el dispositivo WinVDI1138 como robiticworker2112 (primero, cerrando la sesión de inicio de sesión de cualquier otro usuario) utilizando la credencial de inicio de sesión automático para robiticworker2112. La automatización (Bot) ProcureToPayGeoEast comienza a ejecutarse en el dispositivo WinVDI1138 como robiticworker2112.

Recuperar credenciales de automatización con CyberArk

Las credenciales de automatización son variables utilizadas por los desarrolladores de bot dentro de las acciones de automatización (bot) que definen y recuperan datos del almacenamiento cifrado. La automatización utiliza las credenciales para autenticarse en las aplicaciones (por ejemplo, la aplicación de finanzas). Las credenciales de automatización son recuperadas por el Agente de bot de Automation 360 durante el tiempo de ejecución. Dentro de CyberArk, una caja fuerte es un casillero, y un objeto es una credencial.

En la siguiente imagen, se muestra el proceso de recuperación de credenciales de automatización con CyberArk:

Recuperación de credenciales de automatización de CyberArk

Las credenciales de automatización recuperadas de la bóveda de contraseñas de CyberArk se asignan en la Credential Vault de Automation Anywhere. La Credential Vault admite estos dos tipos de credenciales de automatización:

Credenciales del sistema
Credenciales en las que el valor devuelto por la variable de credenciales es el mismo para cualquier automatización que utilice esa variable.
Credenciales definidas por el usuario
Credenciales en las que el valor devuelto por la variable de credenciales es distinto en función del contexto de usuario en el que se ejecuta la automatización.

Tanto para las credenciales del sistema como para las credenciales definidas por el usuario, el desarrollador bot especifica la misma variable de credencial dentro del código del bot. Luego, el sistema determina qué credencial debe recuperarse durante el tiempo de ejecución del bot.

Las credenciales definidas por el usuario simplifican el desarrollo de la automatización y permiten que los desarrolladores de bot puedan escribir código utilizando una única variable de credencial en la que la plataforma RPA reemplaza el valor devuelto durante el tiempo de ejecución por un valor único específico para el usuario. Los desarrolladores pueden evitar escribir código duplicado con diferentes variables de credenciales específicas para el usuario.

En la siguiente imagen, se muestra la relación entre los objetos de la Credential Vault de Automation Anywhere y las credenciales de CyberArk para las credenciales definidas por el usuario y del sistema:

Automation Anywhere y las credenciales asignadas de CyberArk

  • El casillero de Control Room (Locker1) se asigna al nombre de la caja fuerte de CyberArk (Safe1).
  • La credencial del sistema de Control Room (Credential1) se asigna al objeto de CyberArk (Object1).

Como administrador, debe crear y configurar un casillero y credenciales con la función de bóveda externa de claves en la Control Room de Automation 360. Dentro de Control Room, un administrador asigna el casillero de Automation Anywhere (Locker1) a un nombre de caja fuerte (Safe1) y asigna la credencial (Credential1) a un nombre de objeto (Object1). Las credenciales disponibles para los usuarios de Control Room están determinadas por lo que se configuró en la bóveda de claves externa (bóveda de contraseñas de CyberArk).

Si desea utilizar credenciales definidas por el usuario con la integración de CyberArk, el administrador de CyberArk debe crear objetos para cada credencial definida por el usuario nombrando esos objetos con el sufijo Control Room_nombre de usuario. Durante el tiempo de ejecución, la plataforma RPA recupera el nombre del objeto que se nombra con un postfijo que coincide con el contexto del usuario (credencial definida por el usuario) en el que se está ejecutando la automatización. Si no hay una credencial definida por el usuario, la plataforma RPA recupera el nombre del objeto sin un postfijo de nombre de usuario (y utiliza la credencial del sistema).

Nota: Puede asignar cualquier casillero de Automation Anywhere a cualquier nombre de caja fuerte de CyberArk. Sin embargo, los nombres seguros que utilice para asignar las credenciales de automatización deben ser distintos de los nombres seguros que utilice para el inicio de sesión automático.

Como administrador, puede usar los controles de acceso en la Control Room de Automation 360 para separar el acceso a las credenciales al otorgar a los usuarios acceso a un casillero. El acceso a las credenciales se controla mediante la asignación de diferentes usuarios de Control Room a diferentes roles y luego asociando diferentes casilleros con esos roles. Al asignar diferentes cajas fuertes de CyberArk a diversos casilleros, el acceso a las credenciales de las cajas fuertes de CyberArk se asigna y se aplica a los controles de acceso de la Control Room.

Nota: Los mismos permisos y privilegios (asignados a través de roles) en la Control Room se aplican a las credenciales asignadas a la bóveda de claves externa.

Ejemplo de recuperación de credenciales de automatizaciones de CyberArk

Para configurar la recuperación de credenciales de automatización e integrarla en la Credential Vault de CyberArk, primero debe crear un casillero y, luego, las credenciales.

Nota: Si desea almacenar credenciales en las bóvedas de credenciales y bóvedas de claves externas de la Control Room, le recomendamos que realice lo siguiente:
  • Crear casilleros separados en la Control Room para almacenar las credenciales creadas en las bóvedas de credenciales de la Control Room.
  • Crear casilleros separados en la Control Room para almacenar las credenciales creadas en bóvedas de claves externas.

La Control Room no admite el almacenamiento de credenciales de las bóvedas de credenciales y bóvedas de claves externas de la Control Room en el mismo casillero.

Para crear un casillero e integrarlo en la bóveda de contraseñas de CyberArk, siga estos pasos:

  1. Desde Automation 360 Control Room, vaya a Administrar > Credencial.

    Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.

  2. Haga clic en la pestaña Casilleros.
  3. Haga clic en Crear casillero.
  4. Ingrese un nombre para el casillero.

    Este nombre es local a la Control Room y no tiene ninguna dependencia del nombre de caja fuerte de CyberArk.

  5. Haga clic en Bóveda de claves externa e introduzca el nombre de caja fuerte de CyberArk en el campo nombre de caja fuerte (por ejemplo: Finance_Safe).
    Nota: Para conocer los formatos de nombre seguro y nombre de objeto, consulte Convenciones de nomenclatura de bóveda de claves externa.
  6. Haga clic en Siguiente.
  7. Configurar Propietarios, Administradores, Participantes y Consumidores para el casillero.
  8. Haga clic en Crear casillero.

    Consulte Crear casillero.

La Control Room ahora está lista para recuperar credenciales y aplicar controles de acceso en la caja fuerte asignada de CyberArk. Para continuar, tiene que crear las credenciales.

Para crear una credencial e integrarla en la bóveda de contraseñas de CyberArk, siga estos pasos:

  1. Desde Automation 360 Control Room, vaya a Administrar > Credenciales.

    Un usuario con permisos para Administrar mis credenciales y casilleros está autorizado a crear credenciales.

  2. En la pestaña Credenciales, seleccione Crear credencial.
  3. Ingrese el nombre de la credencial en el campo Nombre de la credencial.

    Este nombre es local a la Control Room y no tiene ninguna dependencia del nombre de caja fuerte de CyberArk.

    Nota: Para conocer los formatos de nombre seguro y nombre de objeto, consulte Convenciones de nomenclatura de bóveda de claves externa.
  4. Haga clic en Bóveda de claves externa debajo del campo del nombre.
  5. De la lista de casilleros disponibles, seleccione el nombre de casillero apropiado que se asignó previamente al nombre de caja fuerte para la credencial que ahora está asignando al objeto (credencial).
  6. Ingrese el nombre de objeto de CyberArk en el campo Nombre de objeto.
  7. Haga clic en Validar y recuperar atributos.

    El sistema valida la asignación intentando recuperar la combinación de nombre de caja fuerte (casillero) y nombre de objeto (credencial) de la bóveda de contraseñas de CyberArk. Dentro del nombre de caja fuerte asignado al casillero, Automation 360 espera que los objetos usen las convenciones de nomenclatura correctas. . Consulte Convenciones de nomenclatura de bóveda de claves externa.

    Si la validación falla, entonces no existe ningún objeto en la bóveda de contraseñas de CyberArk con el nombre que coincide con la combinación de nombre de caja fuerte (casillero) y nombre de objeto (credencial).

    Una vez que el sistema recupera con éxito los detalles del objeto, se mostrarán los atributos de objeto de la bóveda de contraseñas de CyberArk (los campos dentro del secreto).

  8. En la lista de atributos, seleccione los atributos que desea asignar a la credencial.
  9. Haga clic en Crear credencial.

    Si tiene éxito, aparecerá el mensaje de que la credencial se creó con éxito.