Intégration de CyberArk Password Vault

Vous pouvez intégrer Automation 360 pour récupérer des informations d'identification à partir de CyberArk Password Vault. Les informations d'identification deviennent résidentes dans CyberArk Password Vault où elles sont gérées, renouvelées et synchronisées.

Remarque : La marque et le logo CyberArk sont des marques commerciales ou des marques déposées de CyberArk Software Ltd., qui ne sont utilisées qu'à des fins d'identification.

Vous intégrez la Control Room Automation 360 en la connectant à CyberArk Password Vault via les API CCP (fournisseur central d'informations d'identification) de CyberArk. Aucune licence supplémentaire n'est requise pour intégrer CyberArk Password Vault ou utiliser les API CCP.

Remarque : Nous vous recommandons de contrôler l'accès à CyberArk Password Vault par le biais d'une adresse IP.

Vous pouvez intégrer Automation 360 avec CyberArk Password Vault à l'aide de l'un de ces déploiements :

  • cloud
  • Sur site

Le schéma suivant montre un déploiement du cloud Automation 360 où la Control Room est hébergée sur le cloud AAI :

Déploiement du cloud CyberArk

Pour les déploiements Sur site, vous devez déployer les éléments suivants :

  • Control Room en tant que logiciel dans votre environnement client.
  • Agent de robot dans votre environnement client où les automatisations s'exécutent et accèdent aux applications du client.
Important : Vous pouvez modifier les paramètres de connexion du coffre à clé externe via l'interface utilisateur des déploiements du cloud uniquement. Les paramètres du coffre à clé externe dans les déploiements Sur site ne sont configurables que pendant l'installation ou avec l'utilitaire de coffre à clé après l'installation.

Exigences d'intégration de CyberArk Password Vault

Installation du fournisseur central d'informations d'identification CyberArk

Vous devez installer et configurer le fournisseur central d'informations d'identification CyberArk sur le serveur CyberArk. Reportez-vous à la rubrique CyberArk Central Credential Provider installation.

Mise en œuvre de la méthode d'authentification par certificat client X.509

Un certificat client X.509 est un type de certificat numérique utilisé par les systèmes clients pour effectuer des demandes authentifiées auprès d'un serveur distant. Il utilise la norme internationale d'infrastructure à clé publique (PKI) X.509 largement acceptée pour vérifier qu'une clé publique appartient à l'identité de l'utilisateur, de l'ordinateur ou du service contenu dans le certificat.

La Control Room Automation 360 utilise un certificat client comme méthode d'authentification lors de la connexion aux API CCP de CyberArk.

Cette méthode d'authentification est hautement sécurisée et exploite le truststore du système pour stocker le certificat du client, le certificat du serveur et la clé privée. Le truststore est un emplacement de stockage de certificats fourni par le logiciel du système d'exploitation et il contient le certificat de l'autorité de certification (CA) émettrice. Vous pouvez importer des certificats de serveur individuels dans le truststore. Cependant, il est plus efficace d'importer le certificat de l'autorité de certification (CA) émettrice.

L'image suivante donne un aperçu de l'authentification basée sur un certificat :

Méthode d'authentification basée sur un certificat

  1. Le client (Control Room Automation 360) envoie une demande au serveur CyberArk AIM (ressource protégée).
  2. Le serveur répond alors en renvoyant un certificat au client.
  3. La Control Room Automation 360 vérifie le certificat envoyé par le serveur CyberArk AIM en le validant par rapport aux informations de certification du serveur approuvé stockées dans la partie publique du truststore de la Control Room.
  4. Après avoir validé les informations dans le truststore, la Control Room Automation 360 renvoie le certificat au serveur CyberArk AIM.
  5. Le serveur CyberArk AIM valide ensuite le certificat envoyé par la Control Room Automation 360 par rapport aux informations de certification du client approuvé stockées dans la partie publique du truststore du serveur AIM.

    Étant donné que les certificats clients (ceux avec leur clé privée) sont généralement distribués dans un format protégé par un mot de passe, le fichier de certificat (utilisant le format .p12, tel que : c:\PATH\aaeCyberArkCertificate.p12) nécessite une phrase secrète.

  6. Les deux parties (client et serveur) ont accès aux ressources protégées si les certificats passent la validation basée sur les éléments suivants :
    • Le certificat de la Control Room doit être approuvé par le serveur CyberArk AIM
    • La Control Room doit approuver le certificat du serveur CyberArk AIM
    • Le champ Objet du certificat correspond au nom de domaine complet (nom DNS) du système appelant.
    • Le certificat n'a pas expiré
Important : Dans le cadre de la phase de planification de l'intégration, coordonnez les certificats et les demandes de certificats. Vous devrez demander à ce que les certificats soient émis par l'équipe de l'infrastructure à clé publique (PKI) avant de pouvoir commencer la configuration de l'intégration. Les fichiers de certificat sont stockés dans le dossier PKI et sont accessibles avec la phrase secrète de la Control Room lorsque cela est nécessaire. La phrase secrète de la Control Room est stockée de manière chiffrée dans le fichier keyvault.properties.

Configuration requise pour l'API du fournisseur central d'informations d'identification CyberArk

Vous devez disposer d'une connectivité réseau entre la Control Room Automation 360 et le serveur CyberArk AIM. La Control Room Automation 360 est connectée à CyberArk Password Vault par l'intermédiaire des API du fournisseur central d'informations d'identification (CCP) de CyberArk pour les deux types de déploiements Sur site ou cloud.

Configuration de l'API CCP de CyberArk

Remarque : Aucune licence supplémentaire n'est requise pour utiliser les API CCP.

Pour utiliser les API CCP, vous devez définir ces paramètres requis :

  • Automation 360 v.20 (prend en charge les informations d'identification d'amorçage avec le déploiement Sur site uniquement)
  • Automation 360 v.21 ou version ultérieure (prend en charge tous les cas d'utilisation de l'amorçage et du système pour les déploiements Sur site, la connexion automatique et les informations d'identification d'automatisation pour les déploiements Sur site et cloud)
  • Le coffre à clé de la Control Room contient ces détails de connexion :
    • URL de connexion au coffre de l'API CCP - Par exemple : https://<host:port>/AIMWebService/api/Accounts?
    • ID d'app API CCP - Vous devez configurer le serveur CyberArk AIM avec un identifiant d'application (AppID). Par exemple : AACompanyControlRoom1.

      Reportez-vous à la rubrique .

    • Certificat client X.509 avec clé privée émis à la Control Room Automation 360

      (Le nom de domaine complet de la Control Room figure dans le champ Objet du certificat) et est configuré avec le serveur CyberArk AIM pour l'authentification. Par exemple : c:\PATH\aaeCyberArkCertificate.p12

      Remarque : Le format .p12 est requis.

Révision des identifiants et de la terminologie des informations d'identification CyberArk

CyberArk et Automation Anywhere utilisent une terminologie différente pour décrire et identifier les informations d'identification :

Description CyberArk Automation Anywhere
Où sont stockées les informations d'identification objet informations d'identification
Partitionnement primaire du coffre à clé coffre (contient des objets) consigne (contient les informations d'identification)
  • Les informations d'identification dans CyberArk sont stockées dans des objets, et chaque objet est contenu dans un coffre.

    Une seule instance CyberArk peut avoir plusieurs coffres, où chaque coffre dispose de contrôles d'accès pour les utilisateurs.

  • Les informations d'identification dans Automation Anywhere sont stockées dans des consignes où chaque consigne dispose de contrôles d'accès pour les utilisateurs de la Control Room.

CyberArk identifie les informations d'identification par le nom de sécurité ET le nom de l'objet. L'API CCP utilise un nom de sécurité CyberArk et un nom d'objet CyberArk pour accéder aux informations d'identification dans CyberArk Password Vault (les informations d'identification doivent exister dans CyberArk).

Voici un exemple de code d'appel d'API CCP et de réponse correspondante :

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

Réponse

{
       "Content":"",
       "PolicyID":"CyberArk",
       "CreationMethod":"PVWA",
       "Folder":"Root",
       "Address":"address tbd",
       "Name":"Application-CyberArk-address tbd-vb",
       "Safe":"aa_vb_safe",
       "DeviceType":"Application",
       "UserName":"vb",
       "PasswordChangeInProcess":"False"
}

Le secret ou la valeur des informations d'identification (par exemple, le mot de passe) est stocké(e) dans l'attribut Content et l'ID utilisateur (le nom d'utilisateur de la Control Room, par exemple vb) est stocké dans l'attribut UserName.

Définition de l'ID d'application CyberArk

Automation 360 s'intègre à CyberArk Password Vault via l'API du fournisseur central d'informations d'identification (CCP) de CyberArk. L'ID d'application (AppID) est un paramètre de configuration obligatoire.

En tant qu'administrateur de CyberArk, utilisez l'interface d'accès Web CyberArk Password Vault Web Access (PVWA) pour définir l'identifiant d'application en suivant la procédure spécifiée pour préparer le serveur CyberArk AIM à l'intégration avec la Control Room. Reportez-vous à la rubrique CyberArk Password Vault Web Access.

  1. Vous devez vous connecter en tant qu'utilisateur autorisé à gérer des applications sur la plateforme CyberArk (nécessite l'autorisation « Gérer les utilisateurs »).
  2. Dans l'onglet Applications, cliquez sur Ajouter une application.
  3. Dans le panneau Ajouter une application, saisissez les informations suivantes :
    Option Action
    Nom Indiquez le nom unique (ID) de l'application.

    Nous recommandons d'utiliser un nom basé sur la fonction ou le nom de la Control Room, par exemple : AACompanyControlRoom1.

    Description Saisissez une brève description de l'application utilisée pour aider à l'identifier.
    Propriétaire d'entreprise Saisissez les coordonnées du propriétaire de l'entreprise de l'application.
    Emplacement Sélectionnez l'emplacement de l'application dans la hiérarchie de coffres.

    Si aucun emplacement n'est sélectionné, l'application sera ajoutée dans le même emplacement que l'utilisateur qui crée cette application.

  4. Cliquez sur Ajouter pour ajouter la nouvelle application et l'afficher dans la page Détails des applications.
  5. Sur la page Détails des applications, cochez la case Autoriser les restrictions d'authentification étendues pour spécifier un nombre illimité de machines et d'utilisateurs du système d'exploitation du domaine Windows pour une seule application.
  6. Dans l'onglet Authentification, cliquez sur Ajouter pour ajouter des détails à la nouvelle application.

    Une liste des caractéristiques d'authentification disponibles s'affiche, que le fournisseur d'informations d'identification utilise pour vérifier avant de récupérer le mot de passe de l'application.

    Caractéristiques d'authentification du fournisseur d'informations d'identification

  7. Facultatif : Sélectionnez l'Utilisateur du système d'exploitation et saisissez le nom de l'utilisateur qui exécutera l'application, puis cliquez sur Ajouter pour ajouter l'utilisateur du système d'exploitation à la liste des utilisateurs de l'onglet Authentification.
  8. Sélectionnez le Numéro de série du certificat et saisissez le numéro de série du certificat pour le certificat client de la Control Room, puis cliquez sur Ajouter.
  9. (Automation 360 recommandé) : Dans l'onglet Machines autorisées, cliquez sur Ajouter et indiquez l'adresse IP/nom d'hôte/DNS où l'application est autorisée à s'exécuter et à demander des mots de passe.

    CyberArk AIM utilise cette adresse pour s'assurer que seules les applications qui s'exécutent à partir des machines spécifiées peuvent accéder à leurs mots de passe.

  10. Cliquez sur Ajouter pour ajouter l'adresse IP à la liste des machines autorisées.

Mise à disposition de comptes dans CyberArk Password Vault

Avant qu'une application ne puisse fonctionner, vous devez lui donner accès à des comptes d'utilisateurs existants ou à de nouveaux comptes d'utilisateurs à mettre à disposition dans CyberArk Password Vault.

Utilisez ce coffre à mots de passe pour mettre à disposition les comptes utilisateurs privilégiés requis par l'application. Vous pouvez mettre à disposition les comptes en utilisant l'une de ces méthodes :

  • Ajoutez manuellement des comptes un par un, puis spécifiez tous les détails du compte.
  • Ajoutez Automatiquement plusieurs comptes en utilisant la fonctionnalité de téléchargement du mot de passe. Pour ajouter un compte automatiquement, vous devez disposer de l'autorisation d'accéder à la fonctionnalité Ajouter des comptes dans le coffre à mots de passe.

Pour plus de détails sur l'ajout et la gestion des comptes privilégiés, voir Privileged Access Manager - Self-Hosted.

Configuration de l'accès à l'application et des fournisseurs de mots de passe

Une fois que les comptes d'utilisateurs ont été mis à disposition par CyberArk, vous devez configurer l'accès à l'application et aux fournisseurs de mots de passe d'application CyberArk qui servent l'application.

À partir de l'emplacement d'installation du fournisseur central d'informations d'identification, ajoutez l'utilisateur du fournisseur et les utilisateurs de l'application en tant que membres des coffres à mots de passe (où sont stockés les mots de passe de l'application). Vous pouvez ajouter les utilisateurs en utilisant l'une des méthodes suivantes :

  • Manuellement à partir de l'onglet Coffres
  • En spécifiant les noms de sécurité dans le fichier CSV lors de l'ajout de plusieurs applications.

Pour ajouter des utilisateurs en tant que membres sûrs, dans la boîte de dialogue Ajouter un membre sûr, ajoutez le fournisseur en tant que membre sûr avec ces autorisations d'accès sélectionnées, puis cliquez sur Ajouter :

  • Récupérer des comptes (Accès)
  • Liste de comptes (Accès)
  • Afficher les membres sûrs (Moniteur)

CyberArk ajoute un membre sûr

Remarque : Lorsque vous installez plusieurs fournisseurs pour l'intégration de CyberArk Password Vault, nous vous recommandons de créer d'abord un groupe pour eux, puis d'ajouter ce groupe au coffre avec les mêmes autorisations d'accès sélectionnées.

Pour ajouter une application (AppID) en tant que membre sûr, procédez comme suit :

  1. Dans la boîte de dialogue Ajouter un membre sûr, ajoutez l'(AppID) en tant que membre sûr avec « Récupérer des comptes (Accès) » sélectionné comme autorisation d'accès.
  2. Cliquez sur Ajouter.

Si le coffre est configuré pour un accès au niveau des objets, assurez-vous que l'utilisateur du fournisseur et l'application ont accès aux mots de passe à récupérer. Pour plus de détails sur l'ajout et la gestion des comptes privilégiés, voir Privileged Access Manager - Self-Hosted.