Integración de CyberArk Password Vault

Puede integrar Automation 360 para recuperar credenciales de CyberArk Password Vault. Las credenciales pasan a residir dentro de CyberArk Password Vault, donde se administran, rotan y sincronizan.

Nota: La marca y el logotipo de CyberArk son marcas comerciales o marcas comerciales registradas de CyberArk Software Ltd y se utilizan únicamente con fines de identificación.

Puede integrar Control Room de Automation 360 conectándola a CyberArk Password Vault a través de las API del Proveedor de credenciales central (CCP) de CyberArk. No es obligatoria ninguna licencia adicional para integrarse con la bóveda de contraseñas de CyberArk o usar las API de CCP.

Nota: Le recomendamos que controle el acceso a CyberArk Password Vault a través de una dirección IP.

Puede integrar Automation 360 con CyberArk Password Vault utilizando cualquiera de estas implementaciones:

  • Nube
  • Local

El siguiente diagrama muestra una implementación de Automation 360 Nube donde la Control Room está alojada en AAI Cloud:

Implementación de CyberArk en la nube

Para implementaciones Locales se implementa lo siguiente:

  • Control Room como software dentro del entorno de su cliente.
  • Bot Agent dentro de su entorno de cliente donde las automatizaciones se ejecutan y acceden a las aplicaciones del cliente.
Importante: Puede editar la configuración de la conexión de la bóveda de claves externa a través de la interfaz de usuario solo en implementaciones en la nube. La configuración de la bóveda de claves externa en implementaciones Locales solo pueden configurarse durante la instalación o con la utilidad de la bóveda de claves después de la instalación.

Requisitos de integración de CyberArk Password Vault

Instalar el proveedor central de credenciales de CyberArk

Debe instalar y configurar el proveedor central de credenciales de CyberArk en el servidor de CyberArk. Consulte CyberArk Central Credential Provider installation.

Implementar el método de autenticación de certificados de cliente X.509

Un certificado de cliente X.509 es un tipo de certificado digital utilizado por los sistemas cliente para realizar solicitudes autenticadas a un servidor remoto y utiliza el estándar internacional ampliamente aceptado de infraestructura de clave pública (PKI) X.509 para verificar que una clave pública pertenece a la identidad del usuario, equipo o servicio contenido en el certificado.

Control Room de Automation 360 utiliza un certificado de cliente como método de autenticación cuando se conecta a las API de CyberArk CCP.

Este método de autenticación es altamente seguro y aprovecha el almacén de confianza del sistema para almacenar el certificado del cliente, el certificado del servidor y la clave privada. El almacén de confianza es una ubicación de almacenamiento de certificados proporcionada por el software del sistema operativo y contiene el certificado de la Autoridad de Certificación (CA) emisora. Puede importar certificados individuales del servidor al almacén de confianza. Sin embargo, es más eficiente importar el certificado de la Autoridad de Certificación (CA) emisora.

La siguiente imagen ofrece un resumen de la autenticación basada en certificados:

Método de autenticación basado en certificados

  1. El cliente (Automation 360Control Room) envía una solicitud al servidor AIM de CyberArk (recurso protegido).
  2. El servidor responde enviando un certificado de vuelta al cliente.
  3. Automation 360Control Room verifica el certificado enviado por el servidor de CyberArk AIM validándolo con la información de certificación del servidor de confianza almacenada en la parte pública del almacén de confianza de Control Room.
  4. Después de validar la información en el almacén de confianza, Automation 360Control Room vuelve a enviar el certificado al servidor AIM de CyberArk.
  5. Luego, el servidor de AIM CyberArk valida el certificado enviado por Automation 360Control Room con la información de certificación del cliente de confianza almacenada en la parte pública del almacén de confianza del servidor AIM

    Debido a que los certificados de los clientes (aquellos con su clave privada) se distribuyen generalmente en formato protegido por contraseña, el archivo de certificado (utilizando el formato .p12, como c:\PATH\aaeCyberArkCertificate.p12) requiere una contraseña.

  6. Ambas partes (cliente y servidor) obtienen acceso a los recursos protegidos si los certificados pasan la validación en base a lo siguiente:
    • El certificado de Control Room debe ser de confianza para el servidor AIM de CyberArk
    • La Control Room debe confiar en el certificado del servidor AIM de CyberArk
    • El campo Asunto del certificado coincide con el Nombre de Dominio Completamente Calificado (Nombre DNS) del sistema de llamada
    • El certificado no ha caducado
Importante: Como parte de la fase de planificación de la integración, coordine los certificados y las solicitudes de certificados. Tendrá que solicitar que el equipo de la Infraestructura de Clave Pública (PKI) emita los certificados antes de que pueda comenzar la configuración de la integración. Los archivos de certificado se almacenan en la carpeta PKI y se accede a ellos con la contraseña de Control Room cuando sea necesario. La contraseña de Control Room se almacena cifrada en el archivo keyvault.properties.

Requisitos de configuración de la API del proveedor de credenciales central de CyberArk

Debe tener conectividad de red entre la Control Room de Automation 360 y el servidor AIM de CyberArk. La Control Room de Automation 360 está conectada a CyberArk Password Vault a través de las API del proveedor de credenciales central (CCP) de CyberArk tanto para las implementaciones Locales o Nube.

Configuración de la API del CCP de CyberArk

Nota: No es obligatoria ninguna licencia adicional para utilizar las API de CCP.

Para utilizar la API de CCP, debe establecer los siguientes parámetros obligatorios:

  • Automation 360 v.20 (admite credenciales de arranque solo con la implementación Local)
  • Automation 360 v.21 o posterior (admite todos los casos de uso del sistema y de arranque para implementaciones Local, inicio de sesión automático y credenciales de automatización tanto para las implementaciones Local y Nube)
  • La bóveda de claves de Control Room contiene los siguientes detalles de conexión:
    • Dirección URL de conexión de la API de CCP - Por ejemplo https://<host:port>/AIMWebService/api/Accounts?
    • AppID de la API de CCP: debe configurar el servidor AIM de CyberArk con una ID de la aplicación (AppID). Por ejemplo: AACompanyControlRoom1.

      Consulte Integración de CyberArk Password Vault.

    • Certificado de cliente X.509 con clave privada emitido para Automation 360Control Room

      (El nombre de dominio completamente calificado de la Control Room se encuentra en el campo Asunto: del certificado) y está configurado con el servidor AIM de CyberArk para la autenticación. Por ejemplo: c:\PATH\aaeCyberArkCertificate.p12

      Nota: El formato .p12 es obligatorio.

Revise la terminología y los identificadores de credenciales de CyberArk

CyberArk y Automation Anywhere utilizan una terminología diferente para describir e identificar las credenciales:

Descripción CyberArk Automation Anywhere
El lugar donde se almacenan las credenciales objeto credenciales
Partición primaria de la bóveda de claves caja fuerte (contiene objetos) casillero (contiene credenciales)
  • Las credenciales en CyberArk se almacenan en objetos, y cada objeto está contenido en una caja fuerte.

    Una sola instancia de CyberArk puede tener múltiples cajas fuertes, y cada una de ellas tiene controles de acceso para los usuarios.

  • Las credenciales en Automation Anywhere se almacenan en casilleros, y cada casillero tiene controles de acceso para los usuarios de Control Room.

CyberArk identifica las credenciales por nombre de caja fuerte Y nombre de objeto. La API de CCP utiliza un nombre de caja fuerte de CyberArk y un nombre de objeto de CyberArk para acceder a las credenciales dentro de la bóveda de contraseñas de CyberArk (la credencial debe existir en CyberArk).

A continuación, se muestra un código de ejemplo de llamada a la API de CCP y su respuesta correspondiente:

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

Respuesta

{
       "Content":"",
       "PolicyID":"CyberArk",
       "CreationMethod":"PVWA",
       "Folder":"Root",
       "Address":"address tbd",
       "Name":"Application-CyberArk-address tbd-vb",
       "Safe":"aa_vb_safe",
       "DeviceType":"Application",
       "UserName":"vb",
       "PasswordChangeInProcess":"False"
}

El valor o secreto de la credencial (por ejemplo, la contraseña) se almacena en el atributo Content y la ID de usuario (el nombre de usuario de Control Room, por ejemplo vb) se almacena en el atributo UserName.

Definir la ID de la aplicación CyberArk

Automation 360 se integra con la bóveda de contraseñas de CyberArk a través de la API del proveedor de credenciales central (CCP) de CyberArk. La ID de la aplicación (AppID) es un parámetro de configuración obligatorio.

Como administrador de CyberArk, utilice la interfaz de acceso web a la bóveda de contraseñas de CyberArk (PVWA) para definir la ID de la aplicación siguiendo el procedimiento especificado para preparar el servidor AIM de CyberArk para su integración con la Control Room. Consulte CyberArk Password Vault Web Access.

  1. Debe iniciar sesión como usuario con permiso para administrar aplicaciones en la plataforma de CyberArk (requiere autorización para administrar usuarios).
  2. Desde la pestaña Aplicaciones, haga clic en Agregar aplicación.
  3. Desde el panel Agregar aplicación, introduzca la siguiente información:
    Opción Acción
    Nombre Especifique el nombre único (ID) de la aplicación.

    Se recomienda utilizar un nombre basado en el nombre o la función de Control Room, por ejemplo: AACompanyControlRoom1.
    Descripción Introduzca una breve descripción de la aplicación para ayudar a identificarla.
    Dueño de empresa Introduzca la información de contacto del dueño de la empresa de la aplicación.
    Ubicación Seleccione la ubicación de la aplicación en la jerarquía de la bóveda.

    Si no se selecciona una ubicación, la aplicación se agregará en la misma ubicación que el usuario que está creando esta aplicación.
  4. Haga clic en Agregar para agregar la nueva aplicación y mostrarla en la página Detalles de aplicaciones.
  5. Desde la página Detalles de aplicaciones, seleccione la casilla de verificación Permitir restricciones de autenticación ampliadas para especificar un número ilimitado de máquinas y usuarios del SO del dominio Windows para una sola aplicación.
  6. En la pestaña Autenticación, haga clic en Agregar para añadir detalles a la nueva aplicación.

    Se muestra una lista de características de autenticación disponibles, que el proveedor de credenciales utiliza para verificar antes de recuperar la contraseña de la aplicación.

    Características de autenticación del proveedor de credenciales

  7. Opcional: Seleccione Usuario del SO e introduzca el nombre del usuario que ejecutará la aplicación y, luego, haga clic en Agregar para agregar el usuario del sistema operativo a la lista de usuarios en la pestaña Autenticación.
  8. Seleccione Número de serie del certificado e introduzca el número de serie del certificado del certificado de cliente de Control Room y, luego, haga clic en Agregar.
  9. (Se recomienda Automation 360): En la pestaña Máquinas permitidas, haga clic en Agregary especifique la dirección IP/nombre del host/DNS en la que se permite que la aplicación se ejecute y solicite contraseñas.

    El servidor AIM de CyberArk usa esta dirección para garantizar que solo las aplicaciones que se ejecutan desde los equipos especificados puedan acceder a sus contraseñas.

  10. Haga clic en Agregar para agregar la dirección IP a la lista de máquinas permitidas.

Cuentas de aprovisionamiento en la bóveda de contraseñas de CyberArk

Antes de que una aplicación pueda funcionar, debe dar a la aplicación acceso a las cuentas de usuario existentes o a las nuevas cuentas de usuario para aprovisionar la bóveda de contraseñas de CyberArk.

Utilice la caja fuerte de contraseñas para aprovisionar las cuentas de usuario con privilegios requeridas por la aplicación. Puede aprovisionar las cuentas utilizando uno de estos métodos:

  • Manualmente: agregue las cuentas de una en una, y luego especifique todos los detalles de la cuenta.
  • Automáticamente: agregar varias cuentas mediante la característica de carga de contraseñas. Para agregar una cuenta automáticamente, debe tener autorización para la característica Agregar cuentas en la caja fuerte de contraseñas.

Para obtener más información sobre cómo agregar y administrar cuentas con privilegios, consulte Privileged Access Manager - Self-Hosted.

Configurar el acceso a la aplicación y a los proveedores de contraseñas

Después de que las cuentas de usuario hayan sido aprovisionadas por CyberArk, debe configurar el acceso tanto a la aplicación como a los proveedores de contraseñas de aplicaciones de CyberArk que sirven la aplicación.

Desde donde está instalado el Proveedor de credenciales central, agregue el usuario del proveedor y los usuarios de la aplicación como miembros de las cajas fuerte de contraseñas (donde se almacenan las contraseñas de la aplicación). Puede agregar usuarios utilizando uno de estos métodos:

  • Manualmente desde la pestaña Cajas fuertes
  • Especificando los nombres de las cajas fuerte en el archivo CSV cuando agrega varias aplicaciones

Para agregar usuarios como miembros seguros, desde el cuadro de diálogo Agregar miembro seguro, agregue el proveedor como miembro seguro con estas autorizaciones de acceso seleccionadas y, luego, haga clic en Agregar:

  • Recuperar cuentas (Acceso)
  • Lista de cuentas (Acceso)
  • Ver miembros seguros (Monitor)

CyberArk añade un miembro seguro

Nota: Cuando instale varios proveedores para la integración de CyberArk Password Vault, le recomendamos que primero cree un grupo para ellos y luego agregue ese grupo a la caja fuerte con las mismas autorizaciones de acceso seleccionadas.

Para agregar la aplicación (AppID) como miembro seguro, realice estos pasos:

  1. Desde el cuadro de diálogo Agregar miembro seguro, agregue la (AppID) como miembro seguro con la opción Recuperar cuentas (Acceso) seleccionada como autorización de acceso.
  2. Haga clic en Agregar.

Si la caja fuerte está configurada para el acceso a nivel de objeto, asegúrese de que tanto el usuario proveedor como la aplicación tengan acceso a las contraseñas que quiere recuperar. Para obtener más información sobre cómo agregar y administrar cuentas con privilegios, consulte Privileged Access Manager - Self-Hosted.