Cas d'utilisation de la récupération des informations d'identification de CyberArk

Vous pouvez récupérer les informations d'identification de CyberArk pour ces cas d'utilisation : amorçage, système, connexion automatique et automatisations.

Récupérer les informations d'identification d'amorçage de la Control Room avec CyberArk

La Control Room Automation 360 utilise les informations d'identification d'amorçage pour accéder aux services de support tels que la base de données, le compte de service et l'Active Directory (AD). Vous configurez ces informations d'identification au cours de la l'installation ou la post-installation de Sur site (à l'aide de l'utilitaire de coffre à clé) en spécifiant le nom de sécurité et le nom de l'objet.

L'image suivante montre le processus de récupération des informations d'identification d'amorçage de la Control Room avec CyberArk :

Récupération des informations d'identification d'amorçage de la Control Room avec CyberArk

Lorsque cela s'avère nécessaire au cours de la séquence de démarrage ou des opérations normales (comme l'actualisation de l'authentification d'un service), Control Room utilise la connexion au coffre à clé pour récupérer les informations d'identification et effectuer l'authentification requise.

Remarque : Vous devez sélectionner l'Authentification Microsoft SQL Server pour ce cas d'utilisation ; les autres méthodes d'authentification de la base de données ne sont pas prises en charge pour l'amorçage.

Récupération des informations d'identification du système de la Control Room avec CyberArk

Remarque : Vous ne pouvez configurer le compte de service que lors de l'installation initiale.

Si vous avez configuré un coffre à clé externe au cours de l'installation initiale, vous pouvez ensuite utiliser l'interface utilisateur Automation 360 (après l'installation) pour configurer le protocole SMTP et les informations d'identification de l'Active Directory (AD).

  1. Connectez-vous en tant qu'administrateur à la Control Room Automation 360.
  2. À partir de la Control Room, accédez à : Administration > Paramètres > Paramètres des e-mails.
  3. Vous pouvez mapper les informations d'identification du compte principal AD à partir du coffre à clé externe, configurer les informations d'identification externes ou les définir sur manuel (changer les modes de récupération des informations d'identification du compte principal AD).

Récupération des informations d'identification de connexion automatique avec CyberArk

Les informations d'identification de connexion automatique sont utilisées pour s'authentifier sur un périphérique Automation 360 Bot Agent et démarrer une session Windows active. L'automatisation des processus par la robotique (RPA) nécessite une session Windows active pour fonctionner. La connexion automatique se produit avant l'exécution de l'automatisation lorsque les automatisations sont lancées à partir d'un périphérique Bot Agent distant.
Remarque :

Si la connexion automatique est activée pour les Bot Runners non assistés, tous les périphériques Bot Runner non assistés utiliseront la connexion automatique en recherchant les informations d'identification dans les coffres à clé externe configurés. Veillez à ce que les informations d'identification de tous les périphériques Bot Runner soient créées dans des coffres à clé externe. Sinon, les périphériques Bot Runner rencontreront l'erreur Secret introuvable.

L'image suivante montre le processus de récupération des informations d'identification de connexion automatique avec CyberArk :

CyberArk récupère les informations d'identification de connexion automatique

Un administrateur de la Control Room peut lancer manuellement ou planifier une tâche pour lancer une automatisation sur un périphérique Bot Agent en spécifiant ces détails :

  • Nom de l'automatisation (robot)
  • Nom du périphérique
  • Contexte de l'utilisateur

Le système effectue une connexion automatique au périphérique spécifié avec le nom d'utilisateur et le mot de passe associés au contexte de l'utilisateur, puis exécute l'automatisation sur le périphérique.

Pour configurer la récupération des informations d'identification de connexion automatique à partir du coffre à clé externe, effectuez les étapes suivantes :

Remarque : Assurez-vous de bien comprendre les exigences de la convention de dénomination des coffres à clé avant d'intégrer le coffre à clé CyberArk. Reportez-vous à la rubrique Conventions de dénomination de coffre à clé externe.
  1. Connectez-vous à la Control Room Automation 360 en tant qu'administrateur avec l'autorisation d'afficher et de gérer les paramètres.
  2. À partir de la Control Room, accédez à Administration > Paramètres > Périphériques.
  3. Faites défiler l'écran jusqu'à la section des paramètres de connexion automatique et cliquez sur Modifier.
  4. Si vous avez précédemment configuré CyberArk comme connexion au coffre à clés externe, cliquez sur Activé pour récupérer les informations d'identification de connexion automatique à partir de ce coffre à clé externe.

    Si cette option est désactivée, la connexion au coffre à clé externe n'a pas été configurée.

    Remarque : Si vous désactivez la connexion automatique à partir du coffre à clé externe, les informations d'identification sont récupérées en utilisant le Credential Vault AAI et ses informations d'identification stockées.
    Remarque : Si votre Control Room utilise un pool de périphériques pour récupérer les informations d'identification de connexion automatique à l'aide de CyberArk, assurez-vous que l'option de connexion automatique est activée sur tous les périphériques du pool de périphériques. Dans le cas contraire, les informations d'identification de connexion automatique ne sont pas récupérées pour les périphériques dont l'option de connexion automatique n'est pas activée.
  5. Saisissez le Nom de sécurité (par exemple : AA_Auto-login_Safe).
    Le nom de sécurité que vous entrez est également connu sous le nom de Sécurité des informations d'identification de connexion automatique.
    Remarque : Pour connaître les formats de noms de sécurité et de noms d'objets, consultez Conventions de dénomination de coffre à clé externe.
  6. Saisissez la propriété correspondant à votre nom d'utilisateur CyberArk. Par exemple, pour configurer le nom d'utilisateur dans le format domain\username, vous devez saisir : $domain$\$username$, où les valeurs du domaine et du nom d'utilisateur sont extraites de la réponse secrète de CyberArk.
  7. Pour ajouter une sécurité facultative, cliquez sur Ajouter une sécurité facultative, saisissez le Nom de sécurité, puis sélectionnez les rôles. Vous pouvez ajouter jusqu'à 25 sécurités.
  8. Cliquez sur Enregistrer les modifications.

    En cas de succès, le message « Paramètres de connexion automatique enregistrés avec succès » s'affiche.

Exemple d'informations d'identification de connexion automatique de CyberArk

Pour cet exemple de récupération des informations d'identification de connexion automatique, considérons un utilisateur de Control Room qui souhaite déployer un robot sur un périphérique en tant qu'utilisateur spécifique. Cet exemple utilise les détails suivants :

  • Nom d'automatisation (robot) exécuté sur un périphérique = ProcureToPayGeoEast
  • Nom du périphérique de l'agent = WinVDI1138
  • Contexte de l'utilisateur de l'agent = roboticworker2112@automation.abcd.com

L'image suivante montre un exemple de récupération des identifiants de connexion automatique avec CyberArk :

Exemple d'informations d'identification de connexion automatique de CyberArk

Avant de commencer l'automatisation, assurez-vous des points suivants :

  1. Les détails de connexion de la Control Room ont été configurés avec succès, et la Control Room utilise ces détails de connexion pour se connecter à CyberArk et effectuer l'authentification.
  2. La Control Room interroge le périphérique Bot Agent fonctionnant sur le périphérique WinVDI1138 pour vérifier si une session Windows (système d'exploitation) est actuellement active sur le périphérique WinVDI1138 et si cette session appartient à l'utilisateur de l'agent roboticworker2112.

    S'il existe une session existante sur le périphérique pour l'utilisateur roboticworker2112, alors il n'est pas nécessaire d'effectuer une connexion automatique et le robot continue son déploiement.

  3. Cependant, s'il n'y a pas de session active ou s'il y a une session active qui n'appartient pas à roboticworker2112, alors la Control Room récupère les informations d'identification de connexion automatique dans CyberArk Password Vault.
  4. La Control Room transmet les informations d'identification (le mot de passe) à l'Bot Agent. L'Bot Agent effectue une connexion Windows sur le périphérique WinVDI1138 en tant que roboticworker2112 (en fermant d'abord toute autre session de connexion d'utilisateur) en utilisant les informations d'identification de connexion automatique de roboticworker2112. L'automatisation (Robot) ProcureToPayGeoEast commence alors à s'exécuter sur le périphérique WinVDI1138 comme roboticworker2112.

Récupérer les informations d'identification de l'automatisation avec CyberArk

Les informations d'identification d'automatisation sont des variables utilisées par les développeurs de robot dans les actions d'automatisation (robot) qui définissent et récupèrent les données de stockage chiffré. L'automatisation utilise les informations d'identification pour s'authentifier auprès des applications (par exemple, une application financière). Les informations d'identification d'automatisation sont récupérées par le Bot Agent de Automation 360 pendant l'exécution. Dans CyberArk, un coffre est une consigne, et un objet est une information d'identification.

L'image suivante montre le processus de récupération des informations d'identification d'automatisation avec CyberArk :

CyberArk récupère les informations d'identification de l'automatisation

Les informations d'identification de l'automatisation récupérées à partir de CyberArk Password Vault sont mappées dans la Automation Anywhere Credential Vault. La Credential Vault prend en charge ces deux types d'informations d'identification d'automatisation :

Informations d'identification par défaut
Informations d'identification dans lesquelles la valeur renvoyée par la variable d'identification est la même pour toute automatisation utilisant cette variable.
Informations d'identification basées sur le nom d'utilisateur
Informations d'identification dans lesquelles la valeur renvoyée par la variable d'identification est distincte en fonction du contexte utilisateur dans lequel l'automatisation est exécutée.
Remarque : Vous ne pouvez pas saisir de valeurs dynamiques dans Central Credential Provider (CCP) à partir d'un profil d'utilisateur différent en utilisant une option d'identification basée sur le nom d'utilisateur. Les valeurs et les attributs restent statiques et sont créés dans CyberArk Password Vault.

Pour les informations d'identification du système et les informations d'identification définies par l'utilisateur, le développeur du robot spécifie la même variable d'identification au sein du code de robot. Ensuite, le système détermine quelles informations d'identification récupérer pendant l'exécution du robot.

Les informations d'identification définies par l'utilisateur simplifient le développement de l'automatisation en permettant aux développeurs de robot d'écrire du code en utilisant une variable d'identification unique, où la plateforme RPA remplace la valeur renvoyée pendant l'exécution par une valeur unique propre à l'utilisateur. Les développeurs peuvent éviter d'écrire du code en double avec différentes variables d'identification spécifiques à l'utilisateur.

L'image suivante montre la relation entre les objets Automation Anywhere Credential Vault et les informations d'identification de CyberArk pour le système et les informations d'identification définies par l'utilisateur :

Automation Anywhere et informations d'identification mappées de CyberArk

  • La consigne de la Control Room (Locker1) est mappée avec le nom de sécurité CyberArk (Safe1).
  • Les informations d'identification du système de la Control Room (Credential1) sont mappées avec l'objet CyberArk (Object1).

En tant qu'administrateur, vous créez et configurez une consigne et les informations d'identification à l'aide de la fonctionnalité de coffre à clé externe dans la Control Room Automation 360. Dans la Control Room, un administrateur mappe la consigne Automation Anywhere(Locker1) à un nom de sécurité (Safe1) et mappe les informations d'identification (Credential1) à un nom d'objet (Object1). Les informations d'identification disponibles pour les utilisateurs de la Control Room sont déterminées par ce qui est configuré dans le coffre à clé externe (CyberArk Password Vault).

Si vous souhaitez utiliser des informations d'identification définies par l'utilisateur avec l'intégration CyberArk, l'administrateur CyberArk doit créer des objets pour chaque information d'identification définie par l'utilisateur en nommant ces objets avec le suffixe Control Room_username. Pendant l'exécution, la plateforme RPA récupère le nom de l'objet qui est nommé avec un suffixe qui correspond au contexte utilisateur (informations d'identification définies par l'utilisateur) dans lequel l'automatisation est exécutée. En l'absence d'informations d'identification définies par l'utilisateur, la plateforme RPA récupère le nom de l'objet sans suffixe de nom d'utilisateur (et utilise les informations d'identification du système).

Remarque : Vous pouvez mapper n'importe quelle consigne Automation Anywhere à n'importe quel nom de sécurité CyberArk. Toutefois, les noms de sécurité que vous utilisez pour mapper les informations d'identification d'automatisation doivent être distincts des noms de sécurité que vous utilisez pour la connexion automatique.

En tant qu'administrateur, vous pouvez utiliser les contrôles d'accès de la Control Room Automation 360 pour séparer l'accès aux informations d'identification en donnant aux utilisateurs l'accès à une consigne. Vous contrôlez l'accès aux informations d'identification en assignant différents utilisateurs de Control Room à des rôles différents, puis en associant différents consignes à ces rôles. En mappant les différents coffres CyberArk à des consignes différents, l'accès aux informations d'identification dans les coffres CyberArk est mappé aux contrôles d'accès de la Control Room qui les applique.

Remarque : Les mêmes autorisations et privilèges (attribués par l'intermédiaire de rôles) dans la Control Room s'appliquent aux informations d'identification mappées sur le coffre à clé externe.

Exemple de récupération d'informations d'identification pour les automatisations CyberArk

Pour configurer la récupération des informations d'identification d'automatisation et l'intégrer à CyberArk Password Vault, vous devez d'abord créer une consigne puis des informations d'identification.

Remarque : Si vous souhaitez stocker des infos d\'identification dans les coffres des informations d\'identification de la Control Room et les coffres à clé externe, nous vous recommandons d\'effectuer les opérations suivantes :
  • Créez des consignes distincts dans la Control Room pour stocker les infos d\'identification créées dans le coffre des informations d\'identification de la Control Room.
  • Créez des consignes distincts dans la Control Room pour stocker les infos d\'identification créées dans les coffres à clé externe.

La Control Room ne permet pas de stocker des infos d\'identification des coffres des informations d\'identification de la Control Room et des coffres à clé externe dans le même consigne.

Pour créer une consigne afin de l'intégrer à CyberArk Password Vault, effectuez les étapes suivantes :

  1. À partir de la Control Room de Automation 360, accédez à Gérer > Informations d'identification.

    Un utilisateur avec les autorisations Gérer mes informations d'identification et les consignes est autorisé à créer des informations d'identification.

  2. Cliquez sur l'onglet Consignes.
  3. Cliquez sur Créer une consigne.
  4. Entrez un nom pour le consigne.

    Ce nom est local à la Control Room et ne dépend pas du nom de sécurité CyberArk.

  5. Cliquez sur Coffre à clé externe et saisissez le nom du coffre à clé CyberArk dans le champ Nom du coffre à clé (par exemple : Finance_Safe).
    Remarque : Pour connaître les formats de noms de sécurité et de noms d'objets, consultez Conventions de dénomination de coffre à clé externe.
  6. Cliquez sur Suivant.
  7. Configurez les propriétaires, les gestionnaires, les participants et les consommateurs de la consigne.
  8. Cliquez sur Créer une consigne.

    Reportez-vous à la rubrique Créer consigne.

La Control Room est maintenant prête à récupérer les informations d'identification et à appliquer des contrôles d'accès sur le coffre CyberArk mappé. Pour continuer, vous devez maintenant créer les informations d'identification.

Pour créer des informations d'identification à intégrer à CyberArk Password Vault, effectuez les étapes suivantes :

  1. À partir de la Control Room de Automation 360, accédez à Gérer > Informations d'identification.

    Un utilisateur avec les autorisations Gérer mes informations d'identification et les consignes est autorisé à créer des informations d'identification.

  2. Dans l'onglet Informations d'identification, sélectionnez Créer des informations d'identification.
  3. Saisissez le nom des informations d'identification dans le champ Nom des informations d'identification.

    Ce nom est local à la Control Room et ne dépend pas du nom de sécurité CyberArk.

    Remarque : Pour connaître les formats de noms de sécurité et de noms d'objets, consultez Conventions de dénomination de coffre à clé externe.
  4. Cliquez sur Coffre à clé externe sous le champ du nom.
  5. À partir des consignes disponibles, sélectionnez la consigne appropriée qui a été précédemment mappée au nom de sécurité pour les informations d'identification que vous mappez maintenant à l'objet (informations d'identification).
  6. Saisissez le nom de l'objet CyberArk dans le champ Nom de l'objet.
  7. Cliquez sur Valider et récupérer des attributs.

    Le système valide le mappage en tentant de récupérer dans CyberArk Password Vault la combinaison du nom de sécurité (consigne) et du nom de l'objet (informations d'identification). Dans le nom de sécurité mappé avec la consigne, Automation 360 s'attend à ce que les objets utilisent les conventions de dénomination correctes. . Reportez-vous à la rubrique Conventions de dénomination de coffre à clé externe.

    Si la validation échoue, alors aucun objet n'existe dans CyberArk Password Vault avec le nom qui correspond à la combinaison du nom de sécurité (consigne) et du nom de l'objet (informations d'identification).

    Lorsque le système réussit à récupérer les détails de l'objet, il affiche les attributs de l'objet de CyberArk Password Vault (les champs dans le secret).

  8. Dans la liste des attributs, sélectionnez les attributs à mapper aux informations d'identification.
  9. Cliquez sur Créer des informations d'identification.

    En cas de succès, le message « Informations d'identification créées avec succès » s'affiche.