Cas d\'utilisation de l\'extraction des informations d\'identification HashiCorp

Vous pouvez récupérer les informations d\'identification de HashiCorp pour ces cas d\'utilisation : amorçage, système, connexion automatique et automatisations.

Récupération des informations d\'identification d\'amorçage de la Control Room

Remarque : Ce cas d\'utilisation s\'applique aux déploiements Sur site uniquement.

La Automation 360 Control Room de utilise les informations d\'identification d\'amorçage pour accéder aux services de support tels que la base de données, le compte de service et l\'Active Directory (AD). Vous configurez ces informations d\'identification au cours de l\'installation initiale Sur site ou de la post-installation de (à l\'aide de l\'utilitaire de coffre à clé) en spécifiant le nom du secret.

L\'image suivante montre le processus de récupération des informations d\'identification d\'amorçage de la Control Room avec HashiCorp :

HashiCorp control-room Extraction des informations d\'identification d\'amorçage de la control-room avec HashiCorp

Lorsque cela s\'avère nécessaire au cours de la séquence de démarrage ou des opérations normales (comme l\'actualisation de l\'authentification d\'un service), Control Room utilise la connexion au coffre à clé pour récupérer les informations d\'identification et effectuer l\'authentification requise.

Remarque : Vous devez sélectionner l\'Authentification Microsoft SQL Server pour ce cas d\'utilisation ; les autres méthodes d\'authentification de la base de données ne sont pas prises en charge pour l\'amorçage.

Récupération des informations d\'identification du système de la Control Room

Remarque : Ce cas d\'utilisation s\'applique aux déploiements Sur site uniquement et vous ne pouvez configurer le compte de service que lors de l\'installation initiale.

Si vous avez configuré un coffre à clé externe au cours de l\'installation initiale, vous pouvez ensuite utiliser l\'interface utilisateur Automation 360 (après l\'installation) pour configurer le protocole SMTP et les informations d\'identification de l\'Active Directory (AD).

Pour configurer SMTP :
  1. Connectez-vous en tant qu\'administrateur à la Automation 360 Control Room.
  2. À partir de la Control Room, accédez à : Administration > Paramètres > Paramètres des e-mails.

Pour configurer les informations d\'identification Active Directory :

  1. Connectez-vous en tant qu\'administrateur à la Automation 360 Control Room.
  2. À partir de la Control Room, accédez à : Administration > Paramètres > Paramètres Active Directory.
  3. Vous pouvez mapper les informations d\'identification du compte principal AD à partir du coffre à clé externe, configurer les informations d\'identification externes ou les définir sur manuel (changer les modes de récupération des informations d\'identification du compte principal AD).

Récupération des informations d\'identification de connexion automatique

Remarque : Ce cas d\'utilisation s\'applique à la fois aux déploiements Sur site et cloud.

Les informations d\'identification de connexion automatique sont utilisées pour s\'authentifier sur un périphérique Automation 360 Bot Agent et démarrer une session Windows active. L\'automatisation des processus par la robotique (RPA) nécessite une session Windows active pour fonctionner. La connexion automatique se produit avant l\'exécution de l\'automatisation lorsque les automatisations sont lancées à partir d\'un périphérique Bot Agent distant.

L\'image suivante montre le processus de récupération des informations d\'identification de connexion automatique avec HashiCorp :

HashiCorp récupère les informations d\'identification de connexion automatique

Un administrateur de la Control Room peut lancer manuellement ou planifier une tâche pour lancer une automatisation sur un périphérique Bot Agent en spécifiant ces détails :

  • Nom de l\'automatisation (robot)
  • Nom du périphérique
  • Contexte de l\'utilisateur

Le système effectue une connexion automatique au périphérique spécifié avec le nom d\'utilisateur et le mot de passe associés au contexte de l\'utilisateur, puis exécute l\'automatisation sur le périphérique.

Vous devez disposer d\'un secret pour chaque utilisateur de Control Room pour lequel les informations d\'identification de connexion automatique seront extraites du coffre à clé externe, et le nom secret dans le coffre HashiCorp doit correspondre au nom d\'utilisateur de la Control Room.

Pour configurer la récupération des informations d\'identification de connexion automatique à partir du coffre à clé externe, effectuez les étapes suivantes :

  1. Connectez-vous en tant qu\'administrateur à la Automation 360 Control Room.
  2. À partir de la Control Room, accédez à Administration > Paramètres > Coffre à clé externe > Connexion automatique de l\'appareil.
  3. Cliquez sur Modifier.
  4. Si vous avez précédemment configuré le coffre HashiCorp comme connexion au coffre à clé externe, cliquez sur Activé pour récupérer les informations d\'identification de connexion automatique à partir de ce coffre à clé externe.

    Si cette option est désactivée, la connexion au coffre à clé externe n\'a pas été configurée.

    Remarque : Si vous désactivez la connexion automatique à partir du coffre à clé externe, les informations d\'identification sont récupérées en utilisant le Credential Vault AAI et ses informations d\'identification stockées.
    Remarque : Lorsque vous intégrez le serveur Automation 360 avec un coffre de clés externe pour la connexion automatique, vous pouvez désormais configurer la correspondance entre le nom d\'utilisateur et les noms des objets du coffre de clés en utilisant les paramètres Control Room, au lieu de suivre les conventions de nommage Automation 360. Reportez-vous à la rubrique Mappage des secrets personnalisés.
  5. Le coffre HashiCorp dispose d\'un espace de nom plat sans conteneurs organisationnels, vous n\'avez donc pas besoin de saisir un nom de sécurité. Cliquez sur Enregistrer les modifications.

En cas de succès, le message « Paramètres de connexion automatique enregistrés avec succès » s\'affiche.

Conventions de dénomination de connexion automatique

La Control Room récupère les informations d\'identification de connexion automatique en fonction de la convention de dénomination des secrets dans le coffre à clé externe. La Control Room recherche un objet dont le nom du secret (le nom des informations d\'identification dans le coffre à clé externe) correspond au nom d\'utilisateur de Control Room pour lequel il effectue la connexion automatique.

Le préfixe autologin_ est requis dans le cadre de la convention de dénomination des informations d\'identification de connexion automatique pour tous les coffres à clé externes : CyberArk, AWS, HashiCorp et Azure. Le nom des informations d\'identification de connexion automatique dans le coffre à clé externe doit contenir autologin_ suivi du nom d\'utilisateur de la Control Room. Dans certains cas, certains coffres à clé ont des restrictions sur les caractères qui peuvent être utilisés dans les noms de secrets d\'informations d\'identification. En outre, pour prendre en charge la manière dont les différents cas d\'utilisation codent les informations d\'identification, Automation 360 exige que certains caractères soient réservés ou encodés.

Le tableau suivant donne une liste d\'exemples de conventions de dénomination des secrets attendues dans la Control Room:

nom d\'utilisateur de la Control Room Format attendu du nom du secret
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Remarque : Pour les clients Sur site utilisant l\'authentification AD, vous devez formater les noms d\'utilisateurs de la connexion automatique en utilisant le format UPN ou le suffixe domain\username.

Pour les informations d\'identification de connexion automatique, gardez ces éléments en tête :

  • Le nom du secret dans le coffre à clé externe doit contenir autologin_ comme préfixe.
  • Les noms des informations d\'identification de connexion automatique doivent correspondre au nom d\'utilisateur de la Control Room (ID de connexion) pour l\'information d\'identification récupérée.

    Certains coffres à clé externes ont des restrictions d\'utilisation de certains caractères, tels que la barre oblique inversée (\) et l\'esperluette (@) dans le nom secret, et des restrictions sur la façon dont les caractères spéciaux sont interprétés dans les appels d\'API. Si l\'ID d\'utilisateur contient des caractères spéciaux, vous devez coder le nom secret dans le coffre à clé externe en utilisant des substitutions de caractères du code ASCII, comme indiqué dans le tableau suivant.

Ce caractère Modifications de cette substitution de caractères du code ASCII
\ (barre oblique inversée) --
- (tiret) -2d-
_ (underscore) -5f-
@ (esperluette) -40-
. (point) -2e-
Remarque : À l\'exception de la barre oblique inversée qui est représentée par des doubles tirets, le tiret, le point, l\'underscore et l\'esperluette sont représentés par leur code ASCII entre crochets.

HashiCorp Exemple d\'informations d\'identification de connexion automatique

Pour cet exemple de récupération des informations d\'identification de connexion automatique, considérons un utilisateur de Control Room qui souhaite déployer un robot sur un périphérique en tant qu\'utilisateur spécifique. Cet exemple utilise les détails suivants :

  • Nom d\'automatisation (robot) exécuté sur un périphérique = ProcureToPayGeoEast
  • Nom du périphérique de l\'agent = WinVDI1138
  • Contexte de l\'utilisateur de l\'agent = autologin-5f-rpauserCR1-40-abcd-2e-com

L\'image suivante montre un exemple de récupération des identifiants de connexion automatique avec HashiCorp Vault : hashicorp_auto_login-credentials

Avant de commencer l\'automatisation, assurez-vous des points suivants :

  1. Les détails de connexion de la Control Room ont été configurés avec succès, et la Control Room utilise ces détails de connexion pour se connecter à HashiCorp et effectuer l\'authentification.
  2. La Control Room interroge le périphérique Bot Agent fonctionnant sur le périphérique WinVDI1138 pour vérifier si une session Windows (système d\'exploitation) est actuellement active sur le périphérique WinVDI1138 et si cette session appartient à l\'utilisateur de l\'agent rpauserCR1.

    S\'il existe une session existante sur le périphérique pour l\'utilisateur rpauserCR1, alors il n\'est pas nécessaire d\'effectuer une connexion automatique et le robot continue son déploiement.

  3. Cependant, s\'il n\'y a pas de session active ou s\'il y a une session active qui n\'appartient pas à rpauserCR1, alors la Control Room récupère les informations d\'identification de connexion automatique dans le coffre HashiCorp.
  4. La Control Room transmet les informations d\'identification (le mot de passe) à l\'Bot Agent. L\'Bot Agent effectue une connexion Windows sur le périphérique WinVDI1138 en tant que rpauserCR1 (en fermant d\'abord toute autre session de connexion d\'utilisateur) en utilisant les informations d\'identification de connexion automatique de rpauserCR1. L\'automatisation (Robot) ProcureToPayGeoEast commence alors à s\'exécuter sur le périphérique WinVDI1138 en tant que rpauserCR1.

Récupérer les informations d\'identification de l\'automatisation

Remarque : Ce cas d\'utilisation s\'applique à la fois aux déploiements Sur site et cloud.

Les informations d\'identification d\'automatisation sont des variables utilisées par les développeurs de robot dans les actions d\'automatisation (robot) qui définissent et récupèrent les données de stockage chiffré. L\'automatisation utilise les informations d\'identification pour s\'authentifier auprès des applications (par exemple, une application financière). Les informations d\'identification d\'automatisation sont récupérées par le Automation 360 Bot Agent de pendant l\'exécution.

L\'image suivante montre le processus de récupération des informations d\'identification d\'automatisation avec HashiCorp :

hashicorp_récupérer_les_informations_d\'identification_d\'automatisation

Les informations d\'identification d\'automatisation récupérées du coffre HashiCorp sont mappées dans le Automation Anywhere Credential Vault. La Credential Vault prend en charge ces deux types d\'informations d\'identification d\'automatisation :

Informations d\'identification du système
Informations d\'identification dans lesquelles la valeur renvoyée par la variable d\'identification est la même pour toute automatisation utilisant cette variable.
Informations d\'identification définies par l\'utilisateur
Informations d\'identification dans lesquelles la valeur renvoyée par la variable d\'identification est distincte en fonction du contexte utilisateur dans lequel l\'automatisation est exécutée.

Pour les informations d\'identification du système et les informations d\'identification définies par l\'utilisateur, le développeur du robot spécifie la même variable d\'identification au sein du code de robot. Ensuite, le système détermine quelles informations d\'identification récupérer pendant l\'exécution du robot.

Les informations d\'identification définies par l\'utilisateur simplifient le développement de l\'automatisation en permettant aux développeurs de robot d\'écrire du code en utilisant une variable d\'identification unique, où la plateforme RPA remplace la valeur renvoyée pendant l\'exécution par une valeur unique propre à l\'utilisateur. Les développeurs peuvent éviter d\'écrire du code en double avec différentes variables d\'identification spécifiques à l\'utilisateur.

L\'image suivante montre la convention de dénomination attendue pour les informations d\'identification HashiCorp :

HashiCorp informations d\'identification attendues

Le diagramme montre six secrets dans le coffre HashiCorp qui peuvent être mappés avec deux informations d\'identification dans le Control Room Credential Vault de la

  • Object3
  • Object4

Par exemple, vous pouvez mapper une consigne dans la Control Room à prefixID3 ou prefixID4. Ensuite, vous mappez le secret à une information d\'identification. Pour chaque information d\'identification, les secrets seront consommés (récupérés par la Control Room) sous la forme d\'informations d\'identification définies par le système (sans suffixe de nom d\'utilisateur) et de deux informations d\'identification définies par l\'utilisateur (un pour chaque utilisateur de la Control Room dont le nom d\'utilisateur est User1ID1 et User1ID2).

Remarque : Dans le Control Room Credential Vault de la , le nom de la consigne et le nom des informations d\'identification sont arbitraires et locaux à la Control Room. Vous mappez ces noms à des secrets spécifiques dans le coffre à clé externe.

Dans le coffre HashiCorp, chaque information d\'identification d\'automatisation est stockée avec un nom qui contient des identifiants spécifiques, notamment : un préfixe, un identifiant d\'objet et un suffixe facultatif qui identifie un nom d\'utilisateur. Il s\'agit d\'une convention de dénomination obligatoire qui garantit la récupération des bonnes informations d\'identification. Le nom secret (l\'information d\'identification) dans le coffre HashiCorp encode les informations sur le mappage au sein du Automation Anywhere Credential Vault.

En tant qu\'administrateur, pour mapper une Control Room au coffre HashiCorp, vous devez créer et configurer un consigne et une information d\'identification à l\'aide de l\'option de coffre à clé externe dans les fonctionnalités Créer une consigne et Créer des informations d\'identification dans Automation 360 Control Room:

  • Vous configurez une consignes dans le Credential Vault pour la mapper à un préfixe de nom de coffre HashiCorp.
  • Vous configurez les informations d\'identification dans le Credential Vault qui correspondent à un identifiant d\'objet de coffre HashiCorp (suffixe facultatif pour les informations d\'identification définies par l\'utilisateur).

Pendant l\'exécution, la plateforme RPA récupère le secret qui est nommé avec un suffixe qui correspond au contexte utilisateur (informations d\'identification définies par l\'utilisateur) dans lequel l\'automatisation est exécutée. En l\'absence d\'informations d\'identification définies par l\'utilisateur, la plateforme RPA récupère le secret sans suffixe de nom d\'utilisateur (informations d\'identification du système).

La Control Room met en œuvre des contrôles d\'accès aux informations d\'identification externes par le biais d\'autorisations au sein des rôles. Vous contrôlez l\'accès aux informations d\'identification en assignant différents utilisateurs de Control Room à des rôles différents, puis en associant différentes consigne à ces rôles.

L\'image suivante montre la Control Room Credential Vault consigne et l\'identifiant mappé à un coffre HashiCorp :

HashiCorpidentifiants mappés au Credential Vault

Important : Lors de la création d\'informations d\'identification mappées en externe, vous devez placer les informations d\'identification dans la consigne appropriée mappée en externe (la consigne est mappée sur le préfixe du nom secret). Le nom du coffre HashiCorp aura une convention de dénomination : Préfixe + Secret_Name_Body + Suffixe (facultatif pour les informations d\'identification définies par l\'utilisateur).
Remarque : Les mêmes autorisations et privilèges (attribués par l\'intermédiaire de rôles) dans la Control Room s\'appliquent aux informations d\'identification mappées sur le coffre à clé externe.

Conventions de dénomination de l\'automatisation

Le tableau suivant présente des exemples de coffres à clé externes HashiCorp utilisant des conventions de dénomination pour l\'automatisation.

Remarque : Le préfixe HashiCorp correspond à la consigne de la Control Room, et le coffre HashiCorp correspond aux informations d\'identification de la Control Room.
Exemple d\'informations d\'identification d\'automatisation HashiCorp Préfixe HashiCorp moteur de secrets clé/valeur Secret dans HashiCorp Nom d\'utilisateur de la Control Room

accounting_pdf

Informations d\'identification du système dans la consigne mappées au préfixe du nom des secrets du coffre HashiCorp accounting

comptabilité pdf accounting_pdf (système) Aucun - informations d\'identification du système

accounting_pdf_ABCD--user123

Informations d\'identification définies par l\'utilisateur dans le locker mappées au préfixe du nom secret HashiCorp comptabilité

comptabilité pdf accounting_pdf_ABCD--user123 ABCD\user123

Exemple d\'extraction des informations d\'identification pour les automatisations HashiCorp

Pour configurer l\'extraction des informations d\'identification d\'automatisation et l\'intégrer au coffre HashiCorp, vous devez d\'abord créer un consigne puis des informations d\'identification.

Remarque : Si vous souhaitez stocker des infos d\'identification dans les coffres des informations d\'identification de la Control Room et les coffres à clé externe, nous vous recommandons d\'effectuer les opérations suivantes :
  • Créez des consignes distincts dans la Control Room pour stocker les infos d\'identification créées dans le coffre des informations d\'identification de la Control Room.
  • Créez des consignes distincts dans la Control Room pour stocker les infos d\'identification créées dans les coffres à clé externe.

La Control Room ne permet pas de stocker des infos d\'identification des coffres des informations d\'identification de la Control Room et des coffres à clé externe dans le même consigne.

Pour créer une consigne afin de l\'intégrer au coffre HashiCorp, effectuez les étapes suivantes :

  1. À partir de Automation 360 Control Room, accédez à Gérer > Informations d\'identification.

    Un utilisateur avec les autorisations Gérer mes informations d\'identification et les consignes est autorisé à créer des informations d\'identification.

  2. Dans l\'onglet Informations d\'identification, sélectionnez Créer une consigne.
  3. Saisissez un nom pour la consigne (par exemple, Locker3).

    Ce nom est local à la Control Room et n\'a aucune dépendance avec le nom secret du coffre HashiCorp.

  4. Cliquez sur Coffre à clé externe et saisissez le préfixe du nom des secrets du coffre HashiCorp (par exemple : prefixID3). Vous devez nommer les secrets dans le coffre HashiCorp en utilisant le préfixe de nom pour que la configuration du mappage se fasse avec succès.
  5. Cliquez sur Suivant.
  6. Configurez les propriétaires, les gestionnaires, les participants et les consommateurs de la consigne.
  7. Cliquez sur Créer une consigne.

    Reportez-vous à la rubrique Créer consigne.

La Control Room est maintenant prête à récupérer les informations d\'identification et à appliquer des contrôles d\'accès sur tous les secrets HashiCorp avec le préfixe prefixID3. Pour continuer, vous devez maintenant créer les informations d\'identification.

Pour créer des informations d\'identification à intégrer à la voûte HashiCorp, effectuez les étapes suivantes :

  1. À partir de Automation 360 Control Room, accédez à Gérer > Informations d\'identification.

    Un utilisateur avec les autorisations Gérer mes informations d\'identification et les consignes est autorisé à créer des informations d\'identification.

  2. Dans l\'onglet Informations d\'identification, sélectionnez Créer des informations d\'identification.
  3. Saisissez le nom des informations d\'identification dans le champ Nom des informations d\'identification.

    Ce nom est local à la Control Room et n\'a aucune dépendance avec le nom des secrets du coffre HashiCorp.

  4. Cliquez sur Coffre à clé externe sous le champ du nom.
  5. À partir des consignes disponibles, sélectionnez la consigne appropriée qui a été précédemment mappée au préfixe de nom secret pour les secrets que vous mappez maintenant aux informations d\'identification.
  6. Saisissez le HashiCorp Secret_Name_Body dans le champ Nom secret (par exemple : Object3).
  7. Cliquez sur Valider et récupérer des attributs.

    Le système valide le mappage en tentant de récupérer dans le coffre HashiCorp un secret portant le nom suivant Prefix_Secret_Name_Body (par exemple prefixID3_Object3.

    Si la validation échoue, alors aucun secret n\'existe dans le coffre HashiCorp avec le nom qui correspond à la combinaison de consigne (préfixe) et d\'informations d\'identification (Secret_Name_Body). Dans cet exemple, il n\'y a pas de secret dans le coffre HashiCorp portant le nom prefixID3_Object3.

    Lorsque le système réussit à récupérer le secret, il affiche les attributs du secret de HashiCorp vault (les champs du secret).

  8. Dans la liste des attributs, sélectionnez les attributs à mapper aux informations d\'identification.
  9. Cliquez sur Créer des informations d\'identification.

    En cas de succès, le message « Informations d\'identification créées avec succès » s\'affiche.