Cas d\'utilisation de la récupération des informations d\'identification d\'AWS
- Dernière mise à jour2024/11/11
Cas d\'utilisation de la récupération des informations d\'identification d\'AWS
Vous pouvez récupérer les informations d\'identification d\'AWS pour les cas d\'utilisation suivants : amorçage, système, connexion automatique et automatisations.
Récupération des informations d\'identification d\'amorçage de la Control Room
La Automation 360 de Control Room utilise les informations d\'identification d\'amorçage pour accéder aux services de support tels que la base de données, le compte de service et l\'Active Directory (AD). Vous configurez ces informations d\'identification au cours de la l\'installation ou la post-installation de Sur site (à l\'aide de l\'utilitaire de coffre à clé) en spécifiant le nom de l\'objet.
L\'image suivante montre le processus de récupération des informations d\'identification d\'amorçage de la Control Room avec AWS :
Lorsque cela s\'avère nécessaire au cours de la séquence de démarrage ou des opérations normales (comme l\'actualisation de l\'authentification d\'un service), Control Room utilise la connexion au coffre à clé pour récupérer les informations d\'identification et effectuer l\'authentification requise.
Récupération des informations d\'identification du système de la Control Room
Si vous avez configuré un coffre à clé externe au cours de l\'installation initiale, vous pouvez ensuite utiliser l\'interface utilisateur Automation 360 (après l\'installation) pour configurer le protocole SMTP et les informations d\'identification de l\'Active Directory (AD).
- Connectez-vous en tant qu\'administrateur à la Automation 360 Control Room.
- À partir de la Control Room, accédez à : .
- Vous pouvez mapper les informations d\'identification du compte principal AD à partir du coffre à clé externe, configurer les informations d\'identification externes ou les définir sur manuel (changer les modes de récupération des informations d\'identification du compte principal AD).
Récupération des informations d\'identification de connexion automatique
Les informations d\'identification de connexion automatique sont utilisées pour s\'authentifier sur un périphérique Automation 360 Bot Agent et démarrer une session Windows active. L\'automatisation des processus par la robotique (RPA) nécessite une session Windows active pour fonctionner. La connexion automatique se produit avant l\'exécution de l\'automatisation lorsque les automatisations sont lancées à partir d\'un périphérique Bot Agent distant.
L\'image suivante montre le processus de récupération des informations d\'identification de connexion automatique avec AWS :
Un administrateur de la Control Room peut lancer manuellement ou planifier une tâche pour lancer une automatisation sur un périphérique Bot Agent en spécifiant ces détails :
- Nom de l\'automatisation (robot)
- Nom du périphérique
- Contexte de l\'utilisateur
Le système effectue une connexion automatique au périphérique spécifié avec le nom d\'utilisateur et le mot de passe associés au contexte de l\'utilisateur, puis exécute l\'automatisation sur le périphérique.
Vous devez disposer d\'un secret pour chaque utilisateur de Control Room pour lequel les informations d\'identification de connexion automatique seront extraites du coffre à clé externe, et le nom secret dans l\'AWS Secrets Manager doit correspondre au nom d\'utilisateur de la Control Room.
Pour configurer la récupération des informations d\'identification de connexion automatique à partir du coffre à clé externe, effectuez les étapes suivantes :
- Connectez-vous en tant qu\'administrateur à la Automation 360 Control Room.
- À partir de la Control Room, accédez à .
- Cliquez sur Modifier.
- Si vous avez précédemment configuré AWS Secrets Manager comme connexion au coffre à clé externe, cliquez sur Activé pour récupérer les informations d\'identification de connexion automatique à partir de ce coffre à clé externe.
Si cette option est désactivée, la connexion au coffre à clé externe n\'a pas été configurée.
Remarque : Si vous désactivez la connexion automatique à partir du coffre à clé externe, les informations d\'identification sont récupérées en utilisant le Credential Vault AAI et ses informations d\'identification stockées. - AWS Secrets Manager dispose d\'un espace de nom plat sans conteneurs organisationnels, vous n\'avez donc pas besoin de saisir un nom de sécurité. Cliquez sur Enregistrer les modifications.
En cas de succès, le message « Paramètres de connexion automatique enregistrés avec succès » s\'affiche.
Conventions de dénomination de connexion automatique
La Control Room récupère les informations d\'identification de connexion automatique en fonction de la convention de dénomination des objets dans le coffre à clé externe. La Control Room recherche un objet dont le nom de l\'objet (le nom des informations d\'identification dans le coffre à clé externe) correspond au nom d\'utilisateur de Control Room pour lequel il effectue la connexion automatique.
Le préfixe autologin_ est requis dans le cadre de la convention de dénomination des informations d\'identification de connexion automatique pour tous les coffres à clé externes : CyberArk, AWS et Azure. Le nom des informations d\'identification de connexion automatique dans le coffre à clé externe doit contenir autologin_ suivi du nom d\'utilisateur de la Control Room. Dans certains cas, certains coffres à clé ont des restrictions sur les caractères qui peuvent être utilisés dans les noms d\'objets d\'informations d\'identification. En outre, pour prendre en charge la manière dont les différents cas d\'utilisation codent les informations d\'identification, Automation 360 exige que certains caractères soient réservés ou encodés.
Le tableau suivant donne une liste d\'exemples de conventions de dénomination des objets attendues dans la Control Room :
nom d\'utilisateur de la Control Room | Format attendu du nom de l\'objet |
---|---|
ABCD\user123 | autologin_ABCD--user123 |
user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
Pour les informations d\'identification de connexion automatique, gardez ces éléments en tête :
- Le nom de l\'objet dans le coffre à clé externe doit contenir autologin_ comme préfixe.
- Les noms des informations d\'identification de connexion automatique doivent correspondre au nom d\'utilisateur de la Control Room (ID de connexion) pour l\'information d\'identification récupérée.
Certains coffres à clé externes ont des restrictions d\'utilisation de certains caractères, tels que la barre oblique inversée (\) et l\'esperluette (@) dans le nom secret (nom de l\'objet), et des restrictions sur la façon dont les caractères spéciaux sont interprétés dans les appels d\'API. Si l\'ID d\'utilisateur contient des caractères spéciaux, vous devez coder le nom secret (nom de l\'objet) dans le coffre à clé externe en utilisant des substitutions de caractères du code ASCII, comme indiqué dans le tableau suivant.
Ce caractère | Modifications de cette substitution de caractères du code ASCII |
---|---|
\ (barre oblique inversée) | -- |
- (tiret) | -2d- |
_ (underscore) | -5f- |
@ (esperluette) | -40- |
. (point) | -2e- |
Exemple d\'informations d\'identification de connexion automatique d\'AWS
Pour cet exemple de récupération des informations d\'identification de connexion automatique, considérons un utilisateur de Control Room qui souhaite déployer un robot sur un périphérique en tant qu\'utilisateur spécifique. Cet exemple utilise les détails suivants :
- Nom d\'automatisation (robot) exécuté sur un périphérique = ProcureToPayGeoEast
- Nom du périphérique de l\'agent = WinVDI1138
- Contexte de l\'utilisateur de l\'agent = rpauserCR1@abcd.com
L\'image suivante montre un exemple de récupération des informations d\'identification de connexion automatique avec AWS :
Avant de commencer l\'automatisation, assurez-vous des points suivants :
- Les détails de connexion de la Control Room ont été configurés avec succès, et la Control Room utilise ces détails de connexion pour se connecter à AWS et effectuer l\'authentification.
- La Control Room interroge le périphérique Bot Agent fonctionnant sur le périphérique WinVDI1138 pour vérifier si une session Windows (système d\'exploitation) est actuellement active sur le périphérique WinVDI1138 et si cette session appartient à l\'utilisateur de l\'agent rpauserCR1.
S\'il existe une session existante sur le périphérique pour l\'utilisateur rpauserCR1, alors il n\'est pas nécessaire d\'effectuer une connexion automatique et le robot continue son déploiement.
- Cependant, s\'il n\'y a pas de session active ou s\'il y a une session active qui n\'appartient pas à rpauserCR1, alors la Control Room récupère les informations d\'identification de connexion automatique dans AWS Secrets Manager.
- La Control Room transmet les informations d\'identification (le mot de passe) à l\'Bot Agent. L\'Bot Agent effectue une connexion Windows sur le périphérique WinVDI1138 en tant que rpauserCR1 (en fermant d\'abord toute autre session de connexion d\'utilisateur) en utilisant les informations d\'identification de connexion automatique de rpauserCR1. L\'automatisation (Robot) ProcureToPayGeoEast commence alors à s\'exécuter sur le périphérique WinVDI1138 en tant que rpauserCR1.
Récupérer les informations d\'identification de l\'automatisation
Les informations d\'identification d\'automatisation sont des variables utilisées par les développeurs de robot dans les actions d\'automatisation (robot) qui définissent et récupèrent les données de stockage chiffré. L\'automatisation utilise les informations d\'identification pour s\'authentifier auprès des applications (par exemple, une application financière). Les informations d\'identification d\'automatisation sont récupérées par le Automation 360 de Bot Agent pendant l\'exécution.
L\'image suivante montre le processus de récupération des informations d\'identification d\'automatisation avec AWS :
Les informations d\'identification de l\'automatisation récupérées dans AWS Secrets Manager Password sont mappées dans la Automation Anywhere Credential Vault. La Credential Vault prend en charge ces deux types d\'informations d\'identification d\'automatisation :
- Informations d\'identification du système
- Informations d\'identification dans lesquelles la valeur renvoyée par la variable d\'identification est la même pour toute automatisation utilisant cette variable.
- Informations d\'identification définies par l\'utilisateur
- Informations d\'identification dans lesquelles la valeur renvoyée par la variable d\'identification est distincte en fonction du contexte utilisateur dans lequel l\'automatisation est exécutée.
Pour les informations d\'identification du système et les informations d\'identification définies par l\'utilisateur, le développeur du robot spécifie la même variable d\'identification au sein du code de robot. Ensuite, le système détermine quelles informations d\'identification récupérer pendant l\'exécution du robot.
Les informations d\'identification définies par l\'utilisateur simplifient le développement de l\'automatisation en permettant aux développeurs de robot d\'écrire du code en utilisant une variable d\'identification unique, où la plateforme RPA remplace la valeur renvoyée pendant l\'exécution par une valeur unique propre à l\'utilisateur. Les développeurs peuvent éviter d\'écrire du code en double avec différentes variables d\'identification spécifiques à l\'utilisateur.
L\'image suivante montre la convention de dénomination attendue pour les informations d\'identification AWS :
Le diagramme montre six secrets dans AWS Secrets Manager qui peuvent être mappés avec deux informations d\'identification dans la Control Room Credential Vault
- Object3
- Object4
Par exemple, vous pouvez mapper une consigne dans la Control Room à prefixID3 ou prefixID4. Ensuite, vous mappez le secret à une information d\'identification. Pour chaque information d\'identification, les secrets seront consommés (récupérés par la Control Room) sous la forme d\'informations d\'identification définies par le système (sans suffixe de nom d\'utilisateur) et de deux informations d\'identification définies par l\'utilisateur (un pour chaque utilisateur de la Control Room dont le nom d\'utilisateur est User1ID1 et User1ID2).
Dans AWS Secrets Manager, chaque identifiant d\'automatisation est stocké avec un nom qui contient des identifiants spécifiques, notamment : un préfixe, un identifiant d\'objet et un suffixe facultatif qui identifie un nom d\'utilisateur. Il s\'agit d\'une convention de dénomination obligatoire qui garantit la récupération des bonnes informations d\'identification. Le nom secret (l\'information d\'identification) dans AWS Secrets Manager encode les informations sur le mappage au sein de la Automation Anywhere Credential Vault.
En tant qu\'administrateur, pour mapper une Control Room à AWS Secrets Manager, vous devez créer et configurer une consigne et une information d\'identification à l\'aide de l\'option de coffre à clé externe dans les fonctionnalités Créer une consigne et Créer des informations d\'identification dans la Automation 360 Control Room :
- Vous configurez une consigne dans le Credential Vault pour la mapper à un préfixe de nom secret Azure.
- Vous configurez les informations d\'identification dans le Credential Vault qui correspondent à un identifiant d\'objet secret AWS (suffixe facultatif pour les informations d\'identification définies par l\'utilisateur).
Pendant l\'exécution, la plateforme RPA récupère le secret qui est nommé avec un suffixe qui correspond au contexte utilisateur (informations d\'identification définies par l\'utilisateur) dans lequel l\'automatisation est exécutée. En l\'absence d\'informations d\'identification définies par l\'utilisateur, la plateforme RPA récupère le secret sans suffixe de nom d\'utilisateur (informations d\'identification du système).
La Control Room met en œuvre des contrôles d\'accès aux informations d\'identification externes par le biais d\'autorisations au sein des rôles. Vous contrôlez l\'accès aux informations d\'identification en assignant différents utilisateurs de Control Room à des rôles différents, puis en associant différentes consigne à ces rôles.
L\'image suivante montre la Control Room Credential Vault consigne et l\'identifiant mappé à un secret AWS :
Conventions de dénomination de l\'automatisation
Le tableau suivant présente des exemples de coffres à clé externes AWS Secrets Manager utilisant des conventions de dénomination pour l\'automatisation.
Exemple d\'informations d\'identification d\'automatisation | Préfixe AWS | Corps de secret AWS | Secret dans AWS | Nom d\'utilisateur de la Control Room |
---|---|---|---|---|
accounting_pdf Informations d\'identification du système dans la consigne mappées à la comptabilité du préfixe du nom secret d\'AWS |
comptabilité | accounting_pdf (système) | Aucun - informations d\'identification du système | |
accounting_pdf_ABCD--user123 Informations d\'identification définies par l\'utilisateur dans la consigne mappée à la comptabilité du préfixe du nom secret d\'AWS |
comptabilité | accounting_pdf_ABCD--user123 | ABCD\user123 |
Exemple de récupération d\'informations d\'identification pour les automatisations AWS
Pour configurer la récupération des informations d\'identification d\'automatisation et l\'intégrer à AWS Secrets Manager, vous devez d\'abord créer une consigne puis des informations d\'identification.
- Créez des consignes distincts dans la Control Room pour stocker les infos d\'identification créées dans le coffre des informations d\'identification de la Control Room.
- Créez des consignes distincts dans la Control Room pour stocker les infos d\'identification créées dans les coffres à clé externe.
La Control Room ne permet pas de stocker des infos d\'identification des coffres des informations d\'identification de la Control Room et des coffres à clé externe dans le même consigne.
Pour créer une consigne afin de l\'intégrer à AWS Secrets Manager, effectuez les étapes suivantes :
- À partir de Automation 360
Control Room, accédez à .
Un utilisateur avec les autorisations Gérer mes informations d\'identification et les consignes est autorisé à créer des informations d\'identification.
- Dans l\'onglet Informations d\'identification, sélectionnez Créer une consigne.
- Saisissez un nom pour la consigne (par exemple, Locker3).
Ce nom est local à la Control Room et n\'a aucune dépendance avec le nom secret d\'AWS.
- Cliquez sur Coffre à clé externe et saisissez le préfixe du nom secret d\'AWS (par exemple : prefixID3). Vous devez nommer les secrets dans AWS Secrets Manager en utilisant le préfixe de nom pour que la configuration du mappage se fasse avec succès.
- Cliquez sur Suivant.
- Configurez les propriétaires, les gestionnaires, les participants et les consommateurs de la consigne.
- Cliquez sur Créer une consigne.
Reportez-vous à la rubrique Créer consigne.
La Control Room est maintenant prête à récupérer les informations d\'identification et à appliquer des contrôles d\'accès sur tous les secrets Azure avec le préfixe prefixID3. Pour continuer, vous devez maintenant créer les informations d\'identification.
Pour créer une information d\'identification à intégrer à AWS Secrets Manager, effectuez les étapes suivantes :
- À partir de Automation 360
Control Room, accédez à .
Un utilisateur avec les autorisations Gérer mes informations d\'identification et les consignes est autorisé à créer des informations d\'identification.
- Dans l\'onglet Informations d\'identification, sélectionnez Créer des informations d\'identification.
- Saisissez le nom des informations d\'identification dans le champ Nom des informations d\'identification.
Ce nom est local à la Control Room et n\'a aucune dépendance avec le nom secret d\'AWS.
- Cliquez sur Coffre à clé externe sous le champ du nom.
- À partir des consignes disponibles, sélectionnez la consigne appropriée qui a été précédemment mappée au préfixe de nom secret pour les secrets que vous mappez maintenant aux informations d\'identification.
- Saisissez le nom Secret_Name_Body d\'AWS dans le champ Nom secret (par exemple : Object3).
- Cliquez sur Valider et récupérer des attributs.
Le système valide le mappage en tentant de récupérer dans AWS Secrets Manager un secret portant le nom suivant Prefix_Secret_Name_Body (par exemple prefixID3_Object3.
Si la validation échoue, alors aucun secret n\'existe dans AWS Secrets Manager avec le nom qui correspond à la combinaison de consigne (préfixe) et d\'informations d\'identification (Secret_Name_Body). Dans cet exemple, il n\'y a pas de secret dans AWS Secrets Manager portant le nom prefixID3_Object3.
Lorsque le système réussit à récupérer le secret, il affiche les attributs du secret d\'AWS Secrets Manager (les champs du secret).
- Dans la liste des attributs, sélectionnez les attributs à mapper aux informations d\'identification.
- Cliquez sur Créer des informations d\'identification.
En cas de succès, le message « Informations d\'identification créées avec succès » s\'affiche.