Conventions de dénomination de coffre à clé externe
- Dernière mise à jour2024/10/14
Conventions de dénomination de coffre à clé externe
Les informations d\'identification d\'authentification spécifiques et les coffres à clé externes comportent des restrictions quant à l\'utilisation de certains caractères dans les noms d\'utilisateur, les phrases et autres textes. En outre, il existe différentes conventions de dénomination à suivre en fonction du coffre à clé externe et des cas d\'utilisation d\'informations d\'identification : Connexion automatique de l\'agent ou automatisation de l\'agent.
Conventions de dénomination de connexion automatique de l\'agent
Pour CyberArk, toutes les informations d\'identification de connexion automatique de l\'agent sont extraites du nom de sécurité spécifié et supposées exister dans le coffre des informations d\'identification de connexion automatique. Pour AWS Secrets Manager, Microsoft Azure Key Vault et HashiCorp Vault, les informations d\'identification de connexion automatique de l\'agent doivent respecter les conventions de dénomination requises présentées en détail sur cette page.
Si la Control Room effectue une récupération d\'informations d\'identification de connexion automatique, mais qu\'il n\'existe aucune information d\'identification dans le coffre des informations d\'identification de connexion automatique correspondant à ce nom d\'utilisateur, la connexion automatique échouera. Pour toute automatisation non assistée, tous les identifiants d\'utilisateurs de robots ou de professionnels du numérique doivent disposer d\'une information d\'identification de connexion automatique configurée pour chaque utilisateur de la Control Room dans le coffre à clé externe.
La Control Room récupère les informations d\'identification de connexion automatique en fonction de la convention de dénomination des objets dans le coffre à clé externe. La Control Room recherche un objet dont le nom de l\'objet (le nom des informations d\'identification dans le coffre à clé externe) correspond au nom d\'utilisateur de Control Room pour lequel il effectue la connexion automatique.
Le préfixe autologin_ est requis dans le cadre de la convention de dénomination des informations d\'identification de connexion automatique pour tous les coffres à clé externes pris en charge. Le nom des informations d\'identification de connexion automatique dans le coffre à clé externe doit contenir autologin_ suivi du nom d\'utilisateur de la Control Room. Dans certains cas, certains coffres à clé ont des restrictions sur les caractères qui peuvent être utilisés dans les noms d\'objets d\'informations d\'identification. En outre, pour prendre en charge la manière dont les différents cas d\'utilisation codent les informations d\'identification, Automation 360 exige que certains caractères soient réservés ou encodés.
Le tableau suivant donne une liste d\'exemples de conventions de dénomination des objets attendues dans la Control Room :
| nom d\'utilisateur de la Control Room | Format attendu du nom de l\'objet |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
| ABCD\user123 | autologin_ABCD\user123 |
| user123@rpa.abcd.com | autologin_user123@rpa.abcd.com |
| john | autologin_john |
Pour les informations d\'identification de connexion automatique, gardez ces éléments en tête :
- Le nom de l\'objet dans le coffre à clé externe doit contenir autologin_ comme préfixe.
- Les noms des informations d\'identification de connexion automatique doivent correspondre au nom d\'utilisateur de la Control Room (ID de connexion) pour l\'information d\'identification récupérée.
Certains coffres à clé externes ont des restrictions d\'utilisation de certains caractères, tels que la barre oblique inversée (\) et l\'esperluette (@) dans le nom secret (nom de l\'objet), et des restrictions sur la façon dont les caractères spéciaux sont interprétés dans les appels d\'API. Si l\'ID d\'utilisateur contient des caractères spéciaux, vous devez coder le nom secret (nom de l\'objet) dans le coffre à clé externe en utilisant des substitutions de caractères du code ASCII, comme indiqué dans le tableau suivant.
| Ce caractère | Modifications de cette substitution de caractères du code ASCII |
|---|---|
| \ (barre oblique inversée) | -- |
| - (tiret) | -2d- |
| _ (underscore) | -5f- |
| @ (esperluette) | -40- |
| . (point) | -2e- |
Automation 360 vous permet de configurer le nom personnalisé du secret utilisé pour la connexion automatique aux appareils clients, où vous exécutez les automatisations (robots).
Vous pouvez configurer des identifiants dans votre coffre-fort selon les normes et le format de nommage de votre organisation. Ensuite, vous pouvez associer ces noms secrets à Control Room noms d\'utilisateur.
Lors de la mise en correspondance des coffres de clés externes avec le Control Room pour la connexion automatique, un format de nommage personnalisé vous permet de créer des noms spécifiques pour les secrets utilisés par Bot Runners. Cela améliore l\'utilisabilité en garantissant que les noms correspondent aux normes de votre organisation.
- Vous pouvez créer un format de nommage qui répond à vos besoins opérationnels, en vous écartant du format par défaut (exemple : autologin_<bot-runner_username>).
- Vous pouvez mapper chaque secret stocké dans le coffre-fort de clés externe à son nom d\'utilisateur Control Room correspondant, qui est utilisé pour l\'authentification automatique.
Définir vos propres noms secrets améliore l\'utilisabilité en s\'alignant sur les normes de votre organisation. Reportez-vous à la rubrique Mappage des secrets personnalisés.
Conventions de dénomination d\'automatisation de l\'agent
Les informations d\'identification d\'automatisation de l\'agent sont des informations d\'identification récupérées par l\'automatisation pendant l\'exécution et utilisées par le robot d\'automatisation pour s\'authentifier auprès des applications. Les informations d\'identification de l\'automatisation récupérées à partir de coffres à clé externes sont mappées dans le Automation Anywhere Credential Vault à l\'aide de l\'option du Coffre à clé externe lors de la configuration des consignes et des informations d\'identification.
La Automation Anywhere consigne est mappée avec l\'un des éléments suivants :
- Nom de sécurité (CyberArk)
- Préfixe du nom secret (AWS, Azure et HashiCorp)
Une information d\'identification est mappée à l\'un des éléments suivants :
- Un nom d\'objet (CyberArk)
- Un corps de nom secret (AWS, Azure et HashiCorp)
Pour prendre en charge la fonctionnalité d\'informations d\'identification définies par l\'utilisateur Automation Anywhere, vous pouvez créer des informations d\'identification en utilisant un suffixe de type Control Room_username, car ces informations d\'identification sont récupérées en fonction du contexte utilisateur du robot en cours d\'exécution. Si vous ne créez pas d\'informations d\'identification définies par l\'utilisateur, le processus de récupération des informations d\'identification du robot d\'automatisation récupère les informations d\'identification du système.
Les coffres à clé externes interdisent l\'utilisation de différents caractères spéciaux dans les noms de secrets. Par conséquent, vous devez coder certains caractères dans le nom (secret) des informations d\'identification dans le coffre à clé externe en fonction du type de coffre à clé externe (CyberArk, AWS et Azure) que vous utilisez et de ses exigences spécifiques.
Convention de dénomination du secret HashiCorp
- Caractères majuscules (A-Z)
- Caractères minuscules (a-z)
- Chiffres (0-9)
- Caractères spéciaux (+=)
Pour les autres caractères spéciaux, le nom secret doit contenir la valeur codée ASCII du caractère spécial. Par exemple, le trait de soulignement (_) doit être utilisé sous la forme -5f-.
Déploiements Sur site : Pour remplacer les caractères codés par défaut par la Control Room, ajoutez la propriété suivante et la valeur d\'expression régulière dans le fichier keyvault.properties situé dans le répertoire de configuration Automation Anywhere. Par exemple, utilisez l\'expression suivante si vous ne souhaitez pas coder les caractères spéciaux :name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$.
Exemple d\'automatisation de CyberArk Password Vault
Le tableau suivant présente des exemples de coffre à clé externe CyberArk utilisant des conventions de dénomination pour l\'automatisation.
- Le nom de sécurité correspond à la consigne de la Control Room et le nom de l\'objet correspond aux informations d\'identification de la Control Room.
- Le champ Nom de l\'objet dans la Control Room correspond à Nom du compte dans CyberArk. De même, le nom de l\'objet ne doit pas contenir d\'espaces. Par exemple, si le Nom du compte dans CyberArk est automation360-engsafe-example.com-john.smith, le champ Nom de l\'objet de la Control Room doit être défini sur automation360-engsafe-example.com-john.smith.
| Exemple d\'informations d\'identification d\'automatisation | Nom d\'utilisateur de la Control Room | Nom de sécurité | Objet dans la consigne |
|---|---|---|---|
| Informations d\'identification du système dans la consigne mappées au nom de sécurité | Aucun - informations d\'identification du système | finances | glaccess |
| Informations d\'identification définies par l\'utilisateur dans la consigne mappées au nom de sécurité | ABCD\RPA\user123 | finances | glaccess_ABCD--RPA--user123 |
| Informations d\'identification définies par l\'utilisateur dans la consigne mappées au nom de sécurité où le nom d\'utilisateur est encodé avec un mappage ASCII | ABCD\RPA.utilisateur123 | finances | glaccess_ABCD--RPA-2e-user123 |
Configurer le nom d\'utilisateur pour différents services Automation 360 en utilisant la réponse secrète de CyberArk
Lors de la configuration des paramètres CyberArk pour certains services Automation 360 tels que la connexion automatique, le protocole LDAP (Lightweight Directory Access Protocol) et les informations d\'identification des services, vous pouvez éventuellement configurer le nom d\'utilisateur pour l\'option Enter property set to your CyberArk username. Les noms d\'utilisateur peuvent être une combinaison de valeurs provenant de la réponse secrète ou de chaînes de caractères. La réponse secrète de CyberArk contient des valeurs de champ que vous devez entourer des symboles du dollar ($) pour créer le nom d\'utilisateur. Par exemple, pour configurer le nom d\'utilisateur dans le format domainenomd\'utilisateur, vous devez entrer : $domaine$$nomd\'utilisateur$. Les valeurs du domaine et du nom d\'utilisateur dans cette expression seront remplacées par les valeurs correspondantes de la réponse secrète.
Exemple d\'automatisation d\'AWS Secrets Manager
Le tableau suivant présente des exemples de coffres à clé externes AWS Secrets Manager utilisant des conventions de dénomination pour l\'automatisation.
| Exemple d\'informations d\'identification d\'automatisation | Nom d\'utilisateur de la Control Room | Préfixe AWS | Corps de secret AWS | Secret dans AWS |
|---|---|---|---|---|
|
accounting_pdf Informations d\'identification du système dans la consigne mappées à la comptabilité du préfixe du nom secret d\'AWS |
Aucun - informations d\'identification du système | comptabilité | accounting_pdf (système) | |
|
accounting_pdf_ABCD--user123 Informations d\'identification définies par l\'utilisateur dans la consigne mappée à la comptabilité du préfixe du nom secret d\'AWS |
ABCD\user123 | comptabilité | accounting_pdf_ABCD--user123 |
Exemple d\'automatisation d\'Azure Key Vault
Le tableau suivant présente des exemples de coffres à clé externes Azure Key Vault utilisant des conventions de dénomination pour l\'automatisation.
| Exemple d\'informations d\'identification d\'automatisation | Nom d\'utilisateur de la Control Room | Préfixe Azure | Corps de secret Azure | Secret dans Azure |
|---|---|---|---|---|
|
comptabilité_cv1 Informations d\'identification du système dans la consigne mappées à la comptabilité du préfixe du nom secret d\'Azure |
Aucun - informations d\'identification du système | comptabilité | cv1 | pdf-5f-cv1 (système) |
|
accounting_cv1_ABCD\user123 Informations d\'identification définies par l\'utilisateur dans la consigne mappées au préfixe Azure |
ABCD\user123 | comptabilité | cv1 | pdf-5f-cv1-5f-ABCD--user123 |
Lors du déploiement d\'informations d\'identification Azure, le trait de soulignement (_) d\'Azure Key Vault est un caractère réservé et ne peut pas être utilisé dans les noms d\'informations d\'identification. Vous devez remplacer toute utilisation de l\'underscrore (_) par la valeur du code ASCII 5f entre crochets :
| Ce caractère | Modifications de cette substitution de caractères du code ASCII |
|---|---|
| \ (barre oblique inversée) | -- |
| - (tiret) | -2d- |
| _ (underscore) | -5f- |
| @ (esperluette) | -40- |
| . (point) | -2e- |
Exemple d\'automatisation HashiCorp Vault
Le tableau suivant donne des exemples d\'automatisation HashiCorp Vault utilisant les conventions de dénomination de coffre à clé externe.
| Exemple d\'informations d\'identification d\'automatisation | Nom d\'utilisateur de la Control Room | Préfixe de la consigne | Nom secret de l\'information d\'identification | Nom secret dans HashiCorp |
|---|---|---|---|---|
|
comptabilité_créd01 Informations d\'identification du système dans la consigne mappées au préfixe du nom secret HashiCorp accounting |
Aucun - informations d\'identification du système | comptabilité | cred01 | accounting-5f-cred01(system) |
|
accounting_cred01_ABCD\user123 Informations d\'identification définies par l\'utilisateur dans la consigne mappées au préfixe HashiCorp |
ABCD\user123 | comptabilité | cred01 | accounting-5f-cred01-5f-ABCD--user123 |
|
comptabilité_cred01_john Informations d\'identification définies par l\'utilisateur dans la consigne mappées au préfixe HashiCorp Remarque : Cet exemple présente des valeurs sans codage.
|
john | comptabilité | cred01 | comptabilité_cred01_john |