Integración de HashiCorp Vault

Puede integrar Automation 360 para recuperar las credenciales de HashiCorp Vault. Las credenciales residen en HashiCorp Vault, donde puede gestionarlas, rotarlas y sincronizarlas.

Nota: La marca y el logotipo de HashiCorp son marcas comerciales o registradas de HashiCorp, Inc. y se utilizan únicamente con fines de identificación.

Nota: No se requiere ninguna licencia adicional de Automation Anywhere para integrarse a HashiCorp Vault o usar las API de HashiCorp.

El usuario integra Control Room al conectarla a HashiCorp Vault a través de las API de HTTP de HashiCorp.

En la siguiente tabla se enumeran las funciones de los distintos tipos de implementación:

Característica Nube Local
Credenciales de automatización del agente Compatible Compatible
Credenciales de inicio de sesión automático del agente Compatible Compatible
Credenciales de arranque y del sistema No compatible Compatible

Puede integrar Control Room a HashiCorp Vault utilizando cualquiera de estas implementaciones:

  • Nube

    El siguiente diagrama muestra una implementación de la nube en el sitio donde se encuentra alojada Control Room en la nube de AAI:Implementación en la nube de HashiCorp

  • En las instalaciones

    Para implementaciones Locales se implementa lo siguiente:

    • Control Room como software dentro del entorno de su cliente.
    • Bot Agent dentro de su entorno de cliente donde las automatizaciones se ejecutan y acceden a las aplicaciones del cliente.
    Nota: También puede conectar su Control Room en las instalaciones a Nube de HashiCorp a través de internet.

Implementación en las instalaciones de HashiCorp

Requisitos de integración de HashiCorp Vault

  • Se debe poder acceder al servicio de HashiCorp desde Control Room.
  • Se debe poder acceder a la bóveda de claves externas de HashiCorp desde Control Room de la Nube mediante las reglas del cortafuegos perimetral de la red. Para conocer los detalles de configuración de las reglas del firewall externo, consulte Direcciones IP de Automation 360 para integraciones externas.
  • Asegúrese de utilizar lo siguiente:
    • Motor de secretos con clave-valor HashiCorp Vault 1.13.x o 1.14.x.y HashiCorp, versión 2.
    • Ruta del motor de secretos predeterminada como /secret. Todos los secretos deben crearse en la raíz del motor de secretos (/secret). Para acceder a las API de HashiCorp Vault, la Control Room agregará de manera automática la ruta predeterminada del motor de secretos v1/secret/data a la URL de la bóveda que ingrese (por ejemplo: https://<hostname1:port_num>/v1/secret/data). Asegúrese de que el rol con el ID de rol dado tenga al menos permiso de lectura para esta ruta y que todos los secretos se creen en el motor de secretos.
    • API de REST de HashiCorp Vault.
    • Ruta del motor de API como /v1/secret/data.
    • Las operaciones de API con un espacio de nombres específico al configurar el encabezado X-Vault-Namespace en la ruta del espacio de nombres absoluto o relativo.
    • El método de autenticación que utiliza AppRole con un nombre de ruta predeterminado como "approle". No se admite un nombre de ruta de AppRole personalizado.

Instalar HashiCorp Vault

Debe instalar y configurar el HashiCorp Vault. Consulte HCP Vault Quick Start.

Utilice AppRole en HashiCorp Vault

AppRole es un método de autenticación que se utiliza en HashiCorp Vault para que las aplicaciones interactúen con la bóveda. AppRole utiliza los siguientes valores para la autenticación:

  • ID de rol: Un identificador único para AppRole. Puede utilizar el ID de rol con cualquier número de instancias de una aplicación.
  • ID secreta: Un valor generado aleatoriamente que se utiliza para autenticar el AppRole. La ID secreta está diseñada para una sola instancia de una aplicación, es de corta duración y solo puede ser utilizado por aplicaciones autorizadas.
    Importante: Le recomendamos no compartir este valor.
  • Nombre del rol: Los roles se enumeran por su nombre.
  • Espacio de nombres: Permite crear grupos de secretos y aplicar políticas a esos espacios de nombres para garantizar que cada cliente solo pueda acceder a los secretos para los que tiene permiso.

Para obtener información sobre cómo configurar AppRole, consulte AppRole Auth Method.

Importar certificado de servidor

En implementaciones Local, puede importar certificados individuales del servidor en el almacén de confianza. Sin embargo, le recomendamos que importe el certificado de la Autoridad de Certificación (CA) emisora. Para obtener más información, consulte Importar certificados HTTPS SSL, intermedios y CA.

  1. El cliente (Control Room de Automation 360 ) envía una solicitud a HashiCorp Vault (recurso protegido).
  2. El servidor responde enviando un certificado de vuelta al cliente.
  3. Control Room verifica el certificado enviado por HashiCorp al validarlo con la información de certificación del servidor de confianza almacenada en la parte pública del almacén de confianza de Control Room .
  4. Ambas partes (cliente y servidor) obtienen acceso a los recursos protegidos si los certificados pasan la validación en base a lo siguiente:
    • Control Room debe confiar en el certificado del servidor de HashiCorp
    • El campo Asunto del certificado coincide con el Nombre de dominio completamente calificado (Nombre DNS) del sistema de llamada.
    • El certificado no ha caducado.

Requisitos de configuración de la API de HTTP de HashiCorp

Debe tener conectividad de red entre Control Room y el servidor de HashiCorp. Control Room se conecta a HashiCorp Vault a través de las API de HTTP de HashiCorp, tanto para implementaciones en las instalaciones como para implementaciones en la Nube.

Para utilizar la API de HashiCorp, debe establecer los siguientes parámetros obligatorios:

  • URL de la bóveda
  • ID de rol
  • Nombre del rol
  • Identificación secreta
  • Ruta del motor de secretos
  • Espacio de nombres (opcional)
  • Certificado opcional

Revise la terminología de las credenciales y los identificadores de HashiCorp

HashiCorp y Automation Anywhere utilizan una terminología diferente para la descripción e identificación de las credenciales:

Descripción HashiCorp Automation Anywhere
El lugar donde se almacenan las credenciales secretos credenciales
  • Las credenciales en HashiCorp se almacenan como secretos.
  • Las credenciales en Automation Anywhere se almacenan en casilleros, y cada casillero tiene controles de acceso para los usuarios de Control Room.
Para las credenciales de la base de datos, la cuenta de servicio, el SMTP y el AD, los datos secretos del almacén de claves deben utilizar el siguiente formato:
  • nombre de usuario: john
  • contraseña: 2zR%#sX#g
Para la automatización, los datos secretos del almacén de claves deben utilizar el siguiente formato:
  • correo electrónico: john@email.com
  • código de acceso: my-long-passcode

Rotación de la ID secreta de HashiCorp

Control Room ejecuta un trabajo programado para rotar proactivamente la ID secreta de HashiCorp para un inquilino. Este proceso garantiza que la automatización relacionada con las credenciales de la bóveda de claves funcione sin interrupciones. Por defecto, la frecuencia de rotación de la ID secreta es cada una hora. La ID secreta se cambia en función de su tiempo de caducidad. Puedes cambiar la ID secreta cuando hayan caducado dos tercios de esta.

Si falla la rotación de la ID secreta de HashiCorp, puede cambiarla manualmente con los siguientes procedimientos en la Nube o Local: