Convenciones de nomenclatura de bóveda de claves externa
- Actualizado: 2024/02/27
Convenciones de nomenclatura de bóveda de claves externa
Las credenciales de autenticación específicas y las bóvedas de claves externas tienen restricciones en el uso de ciertos caracteres en los nombres de usuario, frases y otros textos. Además, hay diferentes convenciones de nomenclatura que deben seguirse en función de la bóveda de claves externa y los casos de uso de las credenciales: Inicio de sesión automático del agente o automatización del agente.
Convenciones de nomenclatura para el inicio de sesión automático del agente
Para CyberArk, todas las credenciales de inicio de sesión automático del agente se recuperan del nombre de caja fuerte especificado y se asume que existen en la caja fuerte de credenciales de inicio de sesión automático. Con AWS Secrets Manager, Azure Key Vault y HashiCorp Vault, las credenciales de inicio de sesión automático del agente se deben adherir a las convenciones de nomenclatura obligatorias que se detallan en esta página.
Si la Control Room recupera credenciales de inicio de sesión automático, pero no existe ninguna credencial en la caja fuerte de credenciales de inicio de sesión automático que coincida con ese nombre de usuario, no se podrá iniciar sesión automáticamente. Para cualquier automatización no asistida, todas las ID de usuarios de robots o trabajadores digitales deben tener una credencial de inicio de sesión automático configurada para cada usuario de Control Room dentro de la bóveda de claves externa.
La Control Room recupera las credenciales de inicio de sesión automático basándose en la convención de nomenclatura de objetos dentro de la bóveda de claves externa. Control Room busca un objeto cuyo nombre (el nombre de la credencial en la bóveda de claves externa) coincida con el nombre de usuario de Control Room para el que se está realizando el inicio de sesión automático.
El prefijo autologin_ es necesario como parte de la convención de nomenclatura para las credenciales de inicio de sesión automático para todas las bóvedas de claves externas: CyberArk, AWS, Azure y HashiCorp. El nombre de la credencial de inicio de sesión automático en la bóveda de claves externa debe contener autologin_ seguido del nombre de usuario de Control Room. En algunos casos, ciertas bóvedas de claves externas tienen restricciones en cuanto a los caracteres que se pueden utilizar en los nombres de los objetos de credenciales. Además, para ser compatible con la forma en que los diferentes casos de uso codifican las credenciales, Automation 360 exige que ciertos caracteres sean reservados o codificados.
La siguiente tabla enumera ejemplos de las convenciones de nomenclatura de objetos que se esperan en la Control Room:
| Nombre de usuario de la Control Room | Formato esperado del nombre del objeto |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
| ABCD\user123 | autologin_ABCD\user123 |
| user123@rpa.abcd.com | autologin_user123@rpa.abcd.com |
| john | autologin_john |
Para las credenciales de inicio de sesión automático, tenga en cuenta lo siguiente:
- El nombre del objeto en la bóveda de claves externa debe contener el prefijo autologin_.
- Los nombres de las credenciales de inicio de sesión automático deben corresponder al nombre de usuario de la Control Room (ID de inicio de sesión) para la credencial que se está recuperando.
Algunas bóvedas externas de claves tienen restricciones de uso para ciertos caracteres, como la barra diagonal inversa (\) y el ampersand (@) en el nombre secreto (nombre del objeto), y restricciones sobre cómo se interpretan los caracteres especiales dentro de las llamadas a la API. Si la ID de usuario contiene caracteres especiales, entonces debe codificar el nombre secreto (nombre del objeto) en la bóveda de claves externa utilizando sustituciones de caracteres del código ASCII, como se indica en la siguiente tabla.
| Este carácter | Cambia a este carácter del código ASCII |
|---|---|
| \ (barra diagonal inversa) | -- |
| - (guion) | -2d- |
| _ (guion bajo) | -5f- |
| @ (ampersand) | -40- |
| . (punto) | -2e- |
Convenciones de nomenclatura para la automatización de agentes
Las credenciales de automatización del agente son credenciales recuperadas por la automatización durante el tiempo de ejecución y utilizadas por la automatización de bot para autenticarse con las aplicaciones. Las credenciales de automatización recuperadas de bóvedas de claves externas se asignan en la Credential Vault de Automation Anywhere utilizando la opción bóveda de claves externa cuando se configuran los casilleros y las credenciales.
El casillero de Automation Anywhere se asigna a cualquiera de los siguientes:
- Nombre de caja fuerte (CyberArk)
- Prefijo del nombre secreto (AWS, Azure y HashiCorp)
Una credencial se asigna a cualquiera de los siguientes:
- Un nombre de objeto (CyberArk)
- Un cuerpo de nombre secreto (AWS, Azure y HashiCorp)
Para soportar la funcionalidad de credenciales de Automation Anywhere definidas por el usuario, puede crear credenciales utilizando un sufijo Control Room_nombre de usuario porque estas credenciales se recuperan en función del contexto de usuario del bot en ejecución. Si no crea credenciales definidas por el usuario, el proceso de automatización de recuperación de credenciales del bot recupera la credencial del sistema.
Las bóvedas de claves externas prohíben diferentes caracteres especiales en los nombres secretos. En consecuencia, debe codificar algunos caracteres en el nombre de la credencial (secreto) de la bóveda de claves externa en función de qué tipo (CyberArk, AWS o Azure) utiliza actualmente y sus requisitos específicos.
convención de nomenclatura secreta de HashiCorp
- Caracteres en mayúsculas (A-Z)
- Caracteres en minúsculas (a-z)
- Números (0-9)
- Caracteres especiales (+=)
Para otros caracteres especiales, el nombre secreto debe tener el valor ASCII codificado para el carácter especial. Por ejemplo, un carácter de subrayado (_) se debe usar como -5f-.
Implementaciones Local: Para anular los caracteres predeterminados codificados por Control Room, agregue la siguiente propiedad y el valor de expresión común en el archivo keyvault.properties situado en el directorio de configuración Automation Anywhere. Por ejemplo, use la siguiente expresión si no desea codificar caracteres especiales:name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$.
Ejemplo de automatización de CyberArk Password Vault
La siguiente tabla muestra ejemplos de bóvedas de claves externas de CyberArk que utilizan convenciones de nomenclatura para la automatización.
- El nombre de caja fuerte se asigna al casillero de la Control Room y el nombre del objeto corresponde a la credencial de la Control Room.
| Ejemplo de credencial de automatización | Nombre de usuario de Control Room | Nombre de caja fuerte | Objeto en casillero |
|---|---|---|---|
| Credencial del sistema en el casillero asignada al nombre de caja fuerte | Ninguno: credencial del sistema | finanzas | glaccess |
| Credencial definida por el usuario en el casillero asignada al nombre de caja fuerte | ABCD\RPA\user123 | finanzas | glaccess_ABCD--RPA--user123 |
| Credencial definida por el usuario en el casillero asignada al nombre de la caja fuerte donde el nombre de usuario está codificado con mapeo ASCII | ABCD\RPA.user123 | finanzas | glaccess_ABCD--RPA-2e-user123 |
Configure el nombre de usuario para diferentes servicios de Automation 360 con la respuesta secreta de CyberArk
Al configurar los ajustes de CyberArk para algunos de los servicios de Automation 360, como el inicio de sesión automático, el protocolo ligero de acceso a directorios (LDAP) y las credenciales de servicio, puede configurar opcionalmente el nombre de usuario para la opción Enter property set to your CyberArk username. Los nombres de usuario pueden ser una combinación de valores de la respuesta secreta o literales de cadenas. La respuesta secreta de CyberArk contiene valores de campo que debe encerrar entre signos de dólar ($) para construir el nombre de usuario. Por ejemplo, para configurar el nombre de usuario en el formato domain\username, debe ingresar lo siguiente: $domain$\$username$. Los valores de dominio y nombre de usuario de esta expresión se sustituirán por los valores correspondientes de la respuesta secreta.
Ejemplo de automatización de Administrador de secretos de AWS
La siguiente tabla muestra ejemplos de bóvedas de claves externas del AWS Secrets Manager que utilizan convenciones de nomenclatura para la automatización.
| Ejemplo de credencial de automatización | Nombre de usuario de Control Room | Prefijo de AWS | Cuerpo secreto de AWS | Secreto en AWS |
|---|---|---|---|---|
|
accounting_pdf Credencial del sistema en el casillero asignada al prefijo del nombre secreto de AWS accounting |
Ninguno: credencial del sistema | accounting | accounting_pdf (sistema) | |
|
accounting_pdf_ABCD--user123 Credencial definida por el usuario en el casillero asignada al prefijo del nombre secreto de AWS accounting |
ABCD\user123 | accounting | accounting_pdf_ABCD--user123 |
Ejemplo de automatización de Bóveda de claves Azure
La siguiente tabla muestra ejemplos de bóvedas de claves externas de Azure Key Vault que utilizan convenciones de nomenclatura para la automatización.
| Ejemplo de credencial de automatización | Nombre de usuario de Control Room | Prefijo de Azure | Cuerpo secreto de Azure | Secreto en Azure |
|---|---|---|---|---|
|
accounting_cv1 Credencial del sistema en el casillero asignada al prefijo del nombre secreto de Azure accounting |
Ninguno: credencial del sistema | accounting | cv1 | pdf-5f-cv1 (sistema) |
|
accounting_cv1_ABCD\user123 Credencial definida por el usuario en el casillero asignada al prefijo Azure |
ABCD\user123 | accounting | cv1 | pdf-5f-cv1-5f-ABCD--user123 |
Al implementar las credenciales de Azure, el carácter de guion bajo (_) de Azure Key Vault es un carácter reservado y no puede utilizarse en los nombres de las credenciales. Debe sustituir cualquier uso del guion bajo (_) por el valor del código ASCII 5f entre guiones:
| Este carácter | Cambia a este carácter del código ASCII |
|---|---|
| \ (barra diagonal) | -- |
| - (guion) | -2d- |
| _ (guion bajo) | -5f- |
| @ (ampersand) | -40- |
| . (punto) | -2e- |
Ejemplo de automatización de HashiCorp Vault
La siguiente tabla muestra ejemplos de automatización de HashiCorp Vault que utilizan convenciones de nomenclatura para bóvedas de claves externas.
| Ejemplo de credencial de automatización | Nombre de usuario de Control Room | Prefijo del casillero | Nombre secreto de la credencial | Nombre secreto en HashiCorp |
|---|---|---|---|---|
|
accounting_cred01 Credencial del sistema en el casillero asignado al prefijo del nombre secreto de HashiCorpaccounting |
Ninguno: credencial del sistema | accounting | cred01 | accounting-5f-cred01(system) |
|
accounting_cred01_ABCD\user123 Credencial definida por el usuario en el casillero asignado al prefijo de HashiCorp |
ABCD\user123 | accounting | cred01 | accounting-5f-cred01-5f-ABCD--user123 |
|
accounting_cred01_john Credencial definida por el usuario en el casillero asignado al prefijo de HashiCorp Nota: Este ejemplo muestra valores sin codificar.
|
john | accounting | cred01 | accounting_cred01_john |