Conventions de dénomination de coffre à clé externe

Les informations d'identification d'authentification spécifiques et les coffres à clé externes comportent des restrictions quant à l'utilisation de certains caractères dans les noms d'utilisateur, les phrases et autres textes. En outre, il existe différentes conventions de dénomination à suivre en fonction du coffre à clé externe et des cas d'utilisation d'informations d'identification : Connexion automatique de l'agent ou automatisation de l'agent.

Conventions de dénomination de connexion automatique de l'agent

Pour CyberArk, toutes les informations d'identification de connexion automatique de l'agent sont extraites du nom de sécurité spécifié et supposées exister dans le coffre des informations d'identification de connexion automatique. Pour AWS Secrets Manager, Azure Key Vault et HashiCorp Vault, les informations d'identification de connexion automatique de l'agent doivent respecter les conventions de dénomination requises présentées en détail sur cette page.

Si la Control Room effectue une récupération d'informations d'identification de connexion automatique, mais qu'il n'existe aucune information d'identification dans le coffre des informations d'identification de connexion automatique correspondant à ce nom d'utilisateur, la connexion automatique échouera. Pour toute automatisation non assistée, tous les identifiants d'utilisateurs de robots ou de professionnels du numérique doivent disposer d'une information d'identification de connexion automatique configurée pour chaque utilisateur de la Control Room dans le coffre à clé externe.

La Control Room récupère les informations d'identification de connexion automatique en fonction de la convention de dénomination des objets dans le coffre à clé externe. La Control Room recherche un objet dont le nom de l'objet (le nom des informations d'identification dans le coffre à clé externe) correspond au nom d'utilisateur de Control Room pour lequel il effectue la connexion automatique.

Le préfixe autologin_ est requis dans le cadre de la convention de dénomination des informations d'identification de connexion automatique pour tous les coffres à clé externes : CyberArk, AWS, Azure et HashiCorp. Le nom des informations d'identification de connexion automatique dans le coffre à clé externe doit contenir autologin_ suivi du nom d'utilisateur de la Control Room. Dans certains cas, certains coffres à clé ont des restrictions sur les caractères qui peuvent être utilisés dans les noms d'objets d'informations d'identification. En outre, pour prendre en charge la manière dont les différents cas d'utilisation codent les informations d'identification, Automation 360 exige que certains caractères soient réservés ou encodés.

Le tableau suivant donne une liste d'exemples de conventions de dénomination des objets attendues dans la Control Room :

nom d'utilisateur de la Control Room Format attendu du nom de l'objet
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
ABCD\user123 autologin_ABCD\user123
user123@rpa.abcd.com autologin_user123@rpa.abcd.com
john autologin_john
Remarque : Pour les clients Sur site utilisant l'authentification AD, vous devez formater les noms d'utilisateurs de la connexion automatique en utilisant le format UPN ou le suffixe domain\username.

Pour les informations d'identification de connexion automatique, gardez ces éléments en tête :

  • Le nom de l'objet dans le coffre à clé externe doit contenir autologin_ comme préfixe.
  • Les noms des informations d'identification de connexion automatique doivent correspondre au nom d'utilisateur de la Control Room (ID de connexion) pour l'information d'identification récupérée.

    Certains coffres à clé externes ont des restrictions d'utilisation de certains caractères, tels que la barre oblique inversée (\) et l'esperluette (@) dans le nom secret (nom de l'objet), et des restrictions sur la façon dont les caractères spéciaux sont interprétés dans les appels d'API. Si l'ID d'utilisateur contient des caractères spéciaux, vous devez coder le nom secret (nom de l'objet) dans le coffre à clé externe en utilisant des substitutions de caractères du code ASCII, comme indiqué dans le tableau suivant.

Ce caractère Modifications de cette substitution de caractères du code ASCII
\ (barre oblique inversée) --
- (tiret) -2d-
_ (underscore) -5f-
@ (esperluette) -40-
. (point) -2e-
Remarque : À l'exception de la barre oblique inversée qui est représentée par des doubles tirets, le tiret, le point, l'underscore et l'esperluette sont représentés par leur code ASCII entre crochets.

Conventions de dénomination d'automatisation de l'agent

Les informations d'identification d'automatisation de l'agent sont des informations d'identification récupérées par l'automatisation pendant l'exécution et utilisées par le robot d'automatisation pour s'authentifier auprès des applications. Les informations d'identification de l'automatisation récupérées à partir de coffres à clé externes sont mappées dans le Automation Anywhere Credential Vault à l'aide de l'option du Coffre à clé externe lors de la configuration des consignes et des informations d'identification.

La consigne Automation Anywhere est mappée avec l'un des éléments suivants :

  • Nom de sécurité (CyberArk)
  • Préfixe du nom secret (AWS, Azure et HashiCorp)

Une information d'identification est mappée à l'un des éléments suivants :

  • Un nom d'objet (CyberArk)
  • Un corps de nom secret (AWS, Azure et HashiCorp)
Remarque : Vous pouvez mapper n'importe quelle consigne Automation Anywhere à n'importe quel nom de sécurité CyberArk. Les noms de sécurité utilisés pour mapper les informations d'identification doivent être distincts du nom de sécurité utilisé pour la connexion automatique.

Pour prendre en charge la fonctionnalité d'informations d'identification définies par l'utilisateur Automation Anywhere, vous pouvez créer des informations d'identification en utilisant un suffixe de type Control Room_username, car ces informations d'identification sont récupérées en fonction du contexte utilisateur du robot en cours d'exécution. Si vous ne créez pas d'informations d'identification définies par l'utilisateur, le processus de récupération des informations d'identification du robot d'automatisation récupère les informations d'identification du système.

Remarque : Pour les clients Sur site utilisant l'authentification AD, vous devez formater les noms d'utilisateurs d'automatisation de l'agent en utilisant le format UPN ou le suffixe domain\username.

Les coffres à clé externes interdisent l'utilisation de différents caractères spéciaux dans les noms de secrets. Par conséquent, vous devez coder certains caractères dans le nom (secret) des informations d'identification dans le coffre à clé externe en fonction du type de coffre à clé externe (CyberArk, AWS et Azure) que vous utilisez et de ses exigences spécifiques.

Convention de dénomination du secret HashiCorp

Par défaut, l'intégration de la Control Room à HashiCorp autorise les caractères suivants sans codage :
  • Caractères majuscules (A-Z)
  • Caractères minuscules (a-z)
  • Chiffres (0-9)
  • Caractères spéciaux (+=)

Pour les autres caractères spéciaux, le nom secret doit contenir la valeur codée ASCII du caractère spécial. Par exemple, le trait de soulignement (_) doit être utilisé sous la forme -5f-.

Déploiements Sur site : Pour remplacer les caractères codés par défaut par la Control Room, ajoutez la propriété suivante et la valeur d'expression régulière dans le fichier keyvault.properties situé dans le répertoire de configuration Automation Anywhere. Par exemple, utilisez l'expression suivante si vous ne souhaitez pas coder les caractères spéciaux :name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$.

Exemple d'automatisation de CyberArk Password Vault

Le tableau suivant présente des exemples de coffre à clé externe CyberArk utilisant des conventions de dénomination pour l'automatisation.

Remarque : Le nom de sécurité correspond à la consigne de la Control Room et le nom de l'objet correspond aux informations d'identification de la Control Room.
Exemple d'informations d'identification d'automatisation Nom d'utilisateur de la Control Room Nom de sécurité Objet dans la consigne
Informations d'identification du système dans la consigne mappées au nom de sécurité Aucun - informations d'identification du système finances glaccess
Informations d'identification définies par l'utilisateur dans la consigne mappées au nom de sécurité ABCD\RPA\user123 finances glaccess_ABCD--RPA--user123
Informations d'identification définies par l'utilisateur dans la consigne mappées au nom de sécurité où le nom d'utilisateur est encodé avec un mappage ASCII ABCD\RPA.user123 finances glaccess_ABCD--RPA-2e-user123

Configurer le nom d'utilisateur pour différents services Automation 360 en utilisant la réponse secrète de CyberArk

Lors de la configuration des paramètres CyberArk pour certains services Automation 360 tels que la connexion automatique, le protocole LDAP (Lightweight Directory Access Protocol) et les informations d'identification des services, vous pouvez éventuellement configurer le nom d'utilisateur pour l'option Enter property set to your CyberArk username. Les noms d'utilisateur peuvent être une combinaison de valeurs provenant de la réponse secrète ou de chaînes de caractères. La réponse secrète de CyberArk contient des valeurs de champ que vous devez entourer des symboles du dollar ($) pour créer le nom d'utilisateur. Par exemple, pour configurer le nom d'utilisateur dans le format domain\username, vous devez saisir : $domain$\$username$. Les valeurs du domaine et du nom d'utilisateur dans cette expression seront remplacées par les valeurs correspondantes de la réponse secrète.

Exemple d'automatisation d'AWS Secrets Manager

Le tableau suivant présente des exemples de coffres à clé externes AWS Secrets Manager utilisant des conventions de dénomination pour l'automatisation.

Remarque : Le préfixe du nom secret d'AWS correspond à la consigne de la Control Room et le corps de secret d'AWS correspond aux informations d'identification de la Control Room.
Exemple d'informations d'identification d'automatisation Nom d'utilisateur de la Control Room Préfixe AWS Corps de secret AWS Secret dans AWS

accounting_pdf

Informations d'identification du système dans la consigne mappées à la comptabilité du préfixe du nom secret d'AWS

Aucun - informations d'identification du système comptabilité pdf accounting_pdf (système)

accounting_pdf_ABCD--user123

Informations d'identification définies par l'utilisateur dans la consigne mappée à la comptabilité du préfixe du nom secret d'AWS

ABCD\user123 comptabilité pdf accounting_pdf_ABCD--user123

Exemple d'automatisation d'Azure Key Vault

Le tableau suivant présente des exemples de coffres à clé externes Azure Key Vault utilisant des conventions de dénomination pour l'automatisation.

Remarque : Le préfixe Azure correspond à la consigne de la Control Room et le corps de secret Azure correspond aux informations d'identification de la Control Room.
Exemple d'informations d'identification d'automatisation Nom d'utilisateur de la Control Room Préfixe Azure Corps de secret Azure Secret dans Azure

accounting_cv1

Informations d'identification du système dans la consigne mappées à la comptabilité du préfixe du nom secret d'Azure

Aucun - informations d'identification du système comptabilité cv1 pdf-5f-cv1 (système)

accounting_cv1_ABCD\user123

Informations d'identification définies par l'utilisateur dans la consigne mappées au préfixe Azure

ABCD\user123 comptabilité cv1 pdf-5f-cv1-5f-ABCD--user123

Lors du déploiement d'informations d'identification Azure, le trait de soulignement (_) d'Azure Key Vault est un caractère réservé et ne peut pas être utilisé dans les noms d'informations d'identification. Vous devez remplacer toute utilisation de l'underscrore (_) par la valeur du code ASCII 5f entre crochets :

Ce caractère Modifications de cette substitution de caractères du code ASCII
\ (barre oblique inversée) --
- (tiret) -2d-
_ (underscore) -5f-
@ (esperluette) -40-
. (point) -2e-

Exemple d'automatisation HashiCorp Vault

Le tableau suivant donne des exemples d'automatisation HashiCorp Vault utilisant les conventions de dénomination de coffre à clé externe.

Remarque : Le préfixe HashiCorp correspond à la consigne de la Control Room et le nom secret HashiCorp est mappé aux informations d'identification de la Control Room.
Exemple d'informations d'identification d'automatisation Nom d'utilisateur de la Control Room Préfixe de la consigne Nom secret de l'information d'identification Nom secret dans HashiCorp

accounting_cred01

Informations d'identification du système dans la consigne mappées au préfixe du nom secret HashiCorp accounting

Aucun - informations d'identification du système comptabilité cred01 accounting-5f-cred01(system)

accounting_cred01_ABCD\user123

Informations d'identification définies par l'utilisateur dans la consigne mappées au préfixe HashiCorp

ABCD\user123 comptabilité cred01 accounting-5f-cred01-5f-ABCD--user123

accounting_cred01_john

Informations d'identification définies par l'utilisateur dans la consigne mappées au préfixe HashiCorp

Remarque : Cet exemple présente des valeurs sans codage.
john comptabilité cred01 accounting_cred01_john