Cas d'utilisation de la récupération des informations d'identification Azure

Vous pouvez récupérer les informations d'identification d'Azure pour les cas d'utilisation suivants : amorçage, système, connexion automatique et automatisations.

Récupération des informations d'identification d'amorçage de la Control Room

Remarque : Ce cas d'utilisation s'applique aux déploiements Sur site uniquement.

La Control Room de Automation 360 utilise les informations d'identification d'amorçage pour accéder aux services de support tels que la base de données, le compte de service et l'Active Directory (AD). Vous configurez ces informations d'identification au cours de la l'installation ou la post-installation de Sur site (à l'aide de l'utilitaire de coffre à clé) en spécifiant le nom de l'objet.

L'image suivante montre le processus de récupération des informations d'identification d'amorçage de la Control Room avec Azure :

Récupération des informations d'identification d'amorçage de la Control Room avec Azure

Lorsque cela s'avère nécessaire au cours de la séquence de démarrage ou des opérations normales (comme l'actualisation de l'authentification d'un service), Control Room utilise la connexion au coffre à clé pour récupérer les informations d'identification et effectuer l'authentification requise.

Remarque : Vous devez sélectionner l'Authentification Microsoft SQL Server pour ce cas d'utilisation ; les autres méthodes d'authentification de la base de données ne sont pas prises en charge pour l'amorçage.

Récupération des informations d'identification du système de la Control Room

Remarque : Ce cas d'utilisation s'applique aux déploiements Sur site uniquement et vous ne pouvez configurer le compte de service que lors de l'installation initiale.

Si vous avez configuré un coffre à clé externe au cours de l'installation initiale, vous pouvez ensuite utiliser l'interface utilisateur Automation 360 (après l'installation) pour configurer le protocole SMTP et les informations d'identification de l'Active Directory (AD).

  1. Connectez-vous en tant qu'administrateur à la Control Room Automation 360.
  2. À partir de la Control Room, accédez à : Administration > Paramètres > Paramètres des e-mails.
  3. Vous pouvez mapper les informations d'identification du compte principal AD à partir du coffre à clé externe, configurer les informations d'identification externes ou les définir sur manuel (changer les modes de récupération des informations d'identification du compte principal AD).

Récupération des informations d'identification de connexion automatique

Remarque : Ce cas d'utilisation s'applique à la fois aux déploiements Sur site et Cloud.

Les informations d'identification de connexion automatique sont utilisées pour s'authentifier sur un périphérique Automation 360 Agent de robot et démarrer une session Windows active. L'automatisation des processus par la robotique (RPA) nécessite une session Windows active pour fonctionner. La connexion automatique se produit avant l'exécution de l'automatisation lorsque les automatisations sont lancées à partir d'un périphérique Agent de robot distant.

L'image suivante montre le processus de récupération des informations d'identification de connexion automatique avec Azure :

Azure récupère les informations d'identification de connexion automatique

Un administrateur de la Control Room peut lancer manuellement ou planifier une tâche pour lancer une automatisation sur un périphérique Agent de robot en spécifiant ces détails :

  • Nom de l'automatisation (robot)
  • Nom du périphérique
  • Contexte de l'utilisateur

Le système effectue une connexion automatique au périphérique spécifié avec le nom d'utilisateur et le mot de passe associés au contexte de l'utilisateur, puis exécute l'automatisation sur le périphérique.

Vous devez disposer d'un secret pour chaque utilisateur de Control Room pour lequel les informations d'identification de connexion automatique seront extraites du coffre à clé externe, et le nom secret dans Azure Key Vault doit correspondre au nom d'utilisateur de la Control Room.

Pour configurer la récupération des informations d'identification de connexion automatique à partir du coffre à clé externe, effectuez les étapes suivantes :

  1. Connectez-vous en tant qu'administrateur à la Control Room Automation 360.
  2. À partir de la Control Room, accédez à Administration > Paramètres > Périphériques.
  3. Faites défiler l'écran jusqu'à la section des paramètres de connexion automatique et cliquez sur Modifier.
  4. Si vous avez précédemment configuré Azure Key Vault comme connexion au coffre à clé externe, cliquez sur Activé pour récupérer les informations d'identification de connexion automatique à partir de ce coffre à clé externe.

    Si cette option est désactivée, la connexion au coffre à clé externe n'a pas été configurée.

    Remarque : Si vous désactivez la connexion automatique à partir du coffre à clé externe, les informations d'identification sont récupérées en utilisant le Credential Vault AAI et ses informations d'identification stockées.
  5. Azure Key Vault dispose d'un espace de nom plat sans conteneurs organisationnels, vous n'avez donc pas besoin de saisir un nom de sécurité. Cliquez sur Enregistrer les modifications.

En cas de succès, le message « Paramètres de connexion automatique enregistrés avec succès » s'affiche.

Conventions de dénomination de connexion automatique

La Control Room récupère les informations d'identification de connexion automatique en fonction de la convention de dénomination des objets dans le coffre à clé externe. La Control Room recherche un objet dont le nom de l'objet (le nom des informations d'identification dans le coffre à clé externe) correspond au nom d'utilisateur de Control Room pour lequel il effectue la connexion automatique.

Le préfixe autologin_ est requis dans le cadre de la convention de dénomination des informations d'identification de connexion automatique pour tous les coffres à clé externes : CyberArk, AWS et Azure. Le nom des informations d'identification de connexion automatique dans le coffre à clé externe doit contenir autologin_ suivi du nom d'utilisateur de la Control Room. Dans certains cas, certains coffres à clé ont des restrictions sur les caractères qui peuvent être utilisés dans les noms d'objets d'informations d'identification. En outre, pour prendre en charge la manière dont les différents cas d'utilisation codent les informations d'identification, Automation 360 exige que certains caractères soient réservés ou encodés.

Le tableau suivant donne une liste d'exemples de conventions de dénomination des objets attendues dans la Control Room :

nom d'utilisateur de la Control Room Format attendu du nom de l'objet
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Remarque : Pour les clients Sur site utilisant l'authentification AD, vous devez formater les noms d'utilisateurs de la connexion automatique en utilisant le format UPN ou le suffixe domain\username.

Pour les informations d'identification de connexion automatique, gardez ces éléments en tête :

  • Le nom de l'objet dans le coffre à clé externe doit contenir autologin_ comme préfixe.
  • Les noms des informations d'identification de connexion automatique doivent correspondre au nom d'utilisateur de la Control Room (ID de connexion) pour l'information d'identification récupérée.

    Certains coffres à clé externes ont des restrictions d'utilisation de certains caractères, tels que la barre oblique inversée (\) et l'esperluette (@) dans le nom secret (nom de l'objet), et des restrictions sur la façon dont les caractères spéciaux sont interprétés dans les appels d'API. Si l'ID d'utilisateur contient des caractères spéciaux, vous devez coder le nom secret (nom de l'objet) dans le coffre à clé externe en utilisant des substitutions de caractères du code ASCII, comme indiqué dans le tableau suivant.

Ce caractère Modifications de cette substitution de caractères du code ASCII
\ (barre oblique inversée) --
- (tiret) -2d-
_ (underscore) -5f-
@ (esperluette) -40-
. (point) -2e-
Remarque : À l'exception de la barre oblique inversée qui est représentée par des doubles tirets, le tiret, le point, l'underscore et l'esperluette sont représentés par leur code ASCII entre crochets.

Exemple d'informations d'identification de connexion automatique Azure

Pour cet exemple de récupération des informations d'identification de connexion automatique, considérons un utilisateur de Control Room qui souhaite déployer un robot sur un périphérique en tant qu'utilisateur spécifique. Cet exemple utilise les détails suivants :

  • Nom d'automatisation (robot) exécuté sur un périphérique = ProcureToPayGeoEast
  • Nom du périphérique de l'agent = WinVDI1138
  • Contexte de l'utilisateur de l'agent = rpauserCR1@abcd.com

L'image suivante montre un exemple de récupération des informations d'identification de connexion automatique avec Azure :

Exemple d'informations d'identification de connexion automatique Azure

Avant de commencer l'automatisation, assurez-vous des points suivants :

  1. Les détails de connexion à la Control Room ont été configurés avec succès, et la Control Room utilise ces détails de connexion pour se connecter à Azure et effectuer l'authentification.
  2. La Control Room interroge le périphérique Agent de robot fonctionnant sur le périphérique WinVDI1138 pour vérifier si une session Windows (système d'exploitation) est actuellement active sur le périphérique WinVDI1138 et si cette session appartient à l'utilisateur de l'agent rpauserCR1.

    S'il existe une session existante sur le périphérique pour l'utilisateur rpauserCR1, alors il n'est pas nécessaire d'effectuer une connexion automatique et le robot continue son déploiement.

  3. Cependant, s'il n'y a pas de session active ou s'il y a une session active qui n'appartient pas à rpauserCR1, alors la Control Room récupère les informations d'identification de connexion automatique dans Azure Key Vault.
  4. La Control Room transmet les informations d'identification (le mot de passe) à l'Agent de robot. L'Agent de robot effectue une connexion Windows sur le périphérique WinVDI1138 en tant que rpauserCR1 (en fermant d'abord toute autre session de connexion d'utilisateur) en utilisant les informations d'identification de connexion automatique de rpauserCR1. L'automatisation (Robot) ProcureToPayGeoEast commence alors à s'exécuter sur le périphérique WinVDI1138 en tant que rpauserCR1.

Récupérer les informations d'identification de l'automatisation

Remarque : Ce cas d'utilisation s'applique à la fois aux déploiements Sur site et Cloud.

Les informations d'identification d'automatisation sont des variables utilisées par les développeurs de robot dans les actions d'automatisation (robot) qui définissent et récupèrent les données de stockage chiffré. L'automatisation utilise les informations d'identification pour s'authentifier auprès des applications (par exemple, une application financière). Les informations d'identification d'automatisation sont récupérées par le Agent de robot de Automation 360 pendant l'exécution.

L'image suivante montre le processus de récupération des informations d'identification d'automatisation avec Azure :

Azure récupère les informations d'identification d'automatisation

Les informations d'identification d'automatisation récupérées d'Azure Key Vault sont mappées dans le Credential Vault Automation Anywhere. La Credential Vault prend en charge ces deux types d'informations d'identification d'automatisation :

Informations d'identification du système
Informations d'identification dans lesquelles la valeur renvoyée par la variable d'identification est la même pour toute automatisation utilisant cette variable.
Informations d'identification définies par l'utilisateur
Informations d'identification dans lesquelles la valeur renvoyée par la variable d'identification est distincte en fonction du contexte utilisateur dans lequel l'automatisation est exécutée.

Pour les informations d'identification du système et les informations d'identification définies par l'utilisateur, le développeur du robot spécifie la même variable d'identification au sein du code de robot. Ensuite, le système détermine quelles informations d'identification récupérer pendant l'exécution du robot.

Les informations d'identification définies par l'utilisateur simplifient le développement de l'automatisation en permettant aux développeurs de robot d'écrire du code en utilisant une variable d'identification unique, où la plateforme RPA remplace la valeur renvoyée pendant l'exécution par une valeur unique propre à l'utilisateur. Les développeurs peuvent éviter d'écrire du code en double avec différentes variables d'identification spécifiques à l'utilisateur.

L'image suivante montre la convention de dénomination attendue pour les informations d'identification Azure :

Informations d'identification Azure attendues

Le diagramme affiche six secrets dans Azure Key Vault qui peuvent être mappés avec deux informations d'identification dans le Credential Vault de la Control Room

  • Object3
  • Object4

Par exemple, vous pouvez mapper une consigne dans la Control Room à prefixID3 ou prefixID4. Ensuite, vous mappez le secret à une information d'identification. Pour chaque information d'identification, les secrets seront consommés (récupérés par la Control Room) sous la forme d'informations d'identification définies par le système (sans suffixe de nom d'utilisateur) et de deux informations d'identification définies par l'utilisateur (un pour chaque utilisateur de la Control Room dont le nom d'utilisateur est User1ID1 et User1ID2).

Remarque : Dans le Credential Vault de la Control Room, le nom de la consigne et le nom des informations d'identification sont arbitraires et locaux à la Control Room. Vous mappez ces noms à des secrets spécifiques dans le coffre à clé externe.

Dans Azure Key Vault, chaque information d'identification d'automatisation est stockée avec un nom qui contient des identifiants spécifiques, notamment : un préfixe, un identifiant d'objet et un suffixe facultatif qui identifie un nom d'utilisateur. Il s'agit d'une convention de dénomination obligatoire qui garantit la récupération des bonnes informations d'identification. Le nom secret (l'information d'identification) dans Azure Key Vault encode les informations sur le mappage dans le Credential Vault Automation Anywhere.

En tant qu'administrateur, pour mapper une Control Room à Azure Key Vault, vous devez créer et configurer un consigne et une information d'identification à l'aide de l'option coffre à clé externe dans les fonctionnalités Créer une consigne et Créer des informations d'identification dans la Control Room de Automation 360 :

  • Vous configurez une consigne dans le Credential Vault pour la mapper à un préfixe de nom secret Azure.
  • Vous configurez les informations d'identification dans le Credential Vault qui correspondent à un identifiant d'objet secret Azure (suffixe facultatif pour les informations d'identification définies par l'utilisateur).

Pendant l'exécution, la plateforme RPA récupère le secret qui est nommé avec un suffixe qui correspond au contexte utilisateur (informations d'identification définies par l'utilisateur) dans lequel l'automatisation est exécutée. En l'absence d'informations d'identification définies par l'utilisateur, la plateforme RPA récupère le secret sans suffixe de nom d'utilisateur (informations d'identification du système).

Remarque : Lorsque vous ajoutez un attribut pour une information d'identification dans la Control Room, vous pouvez sélectionner Standard ou Fourni par l'utilisateur comme type d'entrée pour l'attribut et le type d'entrée correspondant s'affiche pour l'attribut lorsque vous visualisez l'information d'identification. Toutefois, lorsque vous récupérez un attribut et sa valeur dans des coffres à clé externes, leur type est fourni par l'utilisateur et implique une information d'identification gérée de manière externe.

La Control Room met en œuvre des contrôles d'accès aux informations d'identification externes par le biais d'autorisations au sein des rôles. Vous contrôlez l'accès aux informations d'identification en assignant différents utilisateurs de Control Room à des rôles différents, puis en associant différentes consigne à ces rôles.

L'image suivante affiche le consigne du Credential Vault de la Control Room et les informations d'identification mappées à un secret Azure :

Informations d'identification mappées par Azure vers le coffre des informations d'identification
Important : Lors de la création d'informations d'identification mappées en externe, vous devez placer les informations d'identification dans la consigne appropriée mappée en externe (la consigne est mappée sur le préfixe du nom secret). Le nom secret d'Azure aura une convention de dénomination : Préfixe + Secret_Name_Body + Suffixe (facultatif pour les informations d'identification définies par l'utilisateur).
Remarque : Les mêmes autorisations et privilèges (attribués par l'intermédiaire de rôles) dans la Control Room s'appliquent aux informations d'identification mappées sur le coffre à clé externe.

Conventions de dénomination de l'automatisation

Le tableau suivant présente des exemples de coffres à clé externes Azure Key Vault utilisant des conventions de dénomination pour l'automatisation.

Remarque : Le préfixe Azure correspond à la consigne de la Control Room et le corps de secret Azure correspond aux informations d'identification de la Control Room.
Exemple d'informations d'identification d'automatisation Préfixe Azure Corps de secret Azure Secret dans Azure Nom d'utilisateur de la Control Room

accounting_cv1

Informations d'identification du système dans la consigne mappées à la comptabilité du préfixe du nom secret d'Azure

comptabilité cv1 pdf-5f-cv1 (système) Aucun - informations d'identification du système

accounting_cv1_ABCD\user123

Informations d'identification définies par l'utilisateur dans la consigne mappées au préfixe Azure

comptabilité cv1 pdf-5f-cv1-5f-ABCD--user123 ABCD\user123

Lors du déploiement d'informations d'identification Azure, le trait de soulignement (_) d'Azure Key Vault est un caractère réservé et ne peut pas être utilisé dans les noms d'informations d'identification. Vous devez remplacer toute utilisation de l'underscrore (_) par la valeur du code ASCII 5f entre crochets :

Ce caractère Modifications de cette substitution de caractères du code ASCII
\ (barre oblique inversée) --
- (tiret) -2d-
_ (underscore) -5f-
@ (esperluette) -40-
. (point) -2e-

Exemple de récupération des informations d'identification pour les automatisations Azure

Pour configurer la récupération des informations d'identification d'automatisation et l'intégrer à Azure Key Vault, vous devez d'abord créer une consigne puis des informations d'identification.

Remarque : Si vous souhaitez stocker des infos d'identification dans les coffres des informations d'identification de la Control Room et les coffres à clé externe, nous vous recommandons d'effectuer les opérations suivantes :
  • Créez des consignes distincts dans la Control Room pour stocker les infos d'identification créées dans le coffre des informations d'identification de la Control Room.
  • Créez des consignes distincts dans la Control Room pour stocker les infos d'identification créées dans les coffres à clé externe.

La Control Room ne permet pas de stocker des infos d'identification des coffres des informations d'identification de la Control Room et des coffres à clé externe dans le même consigne.

Pour créer une consigne afin de l'intégrer à Azure Key Vault, effectuez les étapes suivantes :

  1. À partir de la Control Room de Automation 360, accédez à Gérer > Informations d'identification.

    Un utilisateur avec les autorisations Gérer mes informations d'identification et les consignes est autorisé à créer des informations d'identification.

  2. Dans l'onglet Informations d'identification, sélectionnez Créer une consigne.
  3. Saisissez un nom pour la consigne (par exemple, Locker3).

    Ce nom est local à la Control Room et n'a aucune dépendance avec le nom secret d'Azure.

  4. Cliquez sur Coffre à clé externe et saisissez le préfixe du nom secret d'Azure (par exemple : prefixID3). Vous devez nommer les secrets dans Azure Key Vault en utilisant le préfixe de nom pour que la configuration du mappage se fasse avec succès.
  5. Cliquez sur Suivant.
  6. Configurez les propriétaires, les gestionnaires, les participants et les consommateurs de la consigne.
  7. Cliquez sur Créer une consigne.

    Reportez-vous à la rubrique Créer consigne.

La Control Room est maintenant prête à récupérer les informations d'identification et à appliquer des contrôles d'accès sur tous les secrets Azure avec le préfixe prefixID3. Pour continuer, vous devez maintenant créer les informations d'identification.

Pour créer des informations d'identification à intégrer à Azure Key Vault, effectuez les étapes suivantes :

  1. À partir de la Control Room de Automation 360, accédez à Gérer > Informations d'identification.

    Un utilisateur avec les autorisations Gérer mes informations d'identification et les consignes est autorisé à créer des informations d'identification.

  2. Dans l'onglet Informations d'identification, sélectionnez Créer des informations d'identification.
  3. Saisissez le nom des informations d'identification dans le champ Nom des informations d'identification.

    Ce nom est local à la Control Room et n'a aucune dépendance avec le nom secret d'Azure.

  4. Cliquez sur Coffre à clé externe sous le champ du nom.
  5. À partir des consignes disponibles, sélectionnez la consigne appropriée qui a été précédemment mappée au préfixe de nom secret pour les secrets que vous mappez maintenant aux informations d'identification.
  6. Saisissez le Secret_Name_Body d'Azure dans le champ Nom secret (par exemple : Object3).
  7. Cliquez sur Valider et récupérer des attributs.

    Le système valide le mappage en tentant de récupérer dans Azure Key Vault un secret portant le nom Prefix_Secret_Name_Body_LoggedInUser (par exemple : prefixID3_Object3_testuser1).

    Si la validation échoue, vérifiez les paramètres suivants :
    • Vérifiez qu'aucun secret n'existe dans Azure Key Vault avec le nom qui correspond à la combinaison de consigne (préfixe) et d'informations d'identification (Secret_Name_Body). Dans cet exemple, il n'y a pas de secret dans Azure Key Vault portant le nom prefixID3_Object3.
    • Vérifiez l'absence de caractères spéciaux ou de codage dans le nom d'utilisateur ou le nom secret.

    Voir : Conventions de dénomination de coffre à clé externe.

    Lorsque le système réussit à récupérer le secret, il affiche les attributs du secret d'Azure Key Vault (les champs du secret).

    Remarque : La valeur de secret doit être au format JSON suivant :
    {    
    "username": "dummyUserName",    
    "password": "dummyPassword"
    }
  8. Dans la liste des attributs, sélectionnez les attributs à mapper aux informations d'identification.
  9. Cliquez sur Créer des informations d'identification.

    En cas de succès, le message « Informations d'identification créées avec succès » s'affiche.