Intégration du HashiCorp Vault
- Mis à jour : 2023/11/22
Intégration du HashiCorp Vault
Vous pouvez intégrer Automation 360 pour récupérer des informations d'identification à partir de HashiCorp Vault. Les informations d'identification résident dans le HashiCorp Vault où vous pouvez les gérer, les faire pivoter et les synchroniser.
Remarque : la marque et le logo HashiCorp sont des marques commerciales ou des marques déposées de HashiCorp, Inc., qui ne sont utilisées qu'à des fins d'identification.
Vous intégrez la Control Room en la connectant au HashiCorp Vault par l'intermédiaire des API HTTP HashiCorp.
Le tableau suivant répertorie les fonctionnalités prises en charge par les différents types de déploiements :
| Fonctionnalité | cloud | Sur site |
|---|---|---|
| Informations d'identification d'automatisation de l'agent | pris en charge | pris en charge |
| Informations d'identification de connexion automatique de l'agent | pris en charge | pris en charge |
| Informations d'identification d'amorçage et du système | Non pris en charge | pris en charge |
Vous pouvez intégrer la Control Room avec le HashiCorp Vault en utilisant l'un ou l'autre de ces déploiements :
- Cloud
Le schéma suivant montre un déploiement Cloud où la Control Room est hébergée sur le Cloud AAI :
- Sur site
Pour les déploiements Sur site, vous devez déployer les éléments suivants :
- Control Room en tant que logiciel dans votre environnement client.
- Agent de robot dans votre environnement client où les automatisations s'exécutent et accèdent aux applications du client.
Remarque : Vous pouvez également connecter votre Control Room sur site au Cloud HashiCorp par Internet.
Exigences HashiCorp Vault en matière d'intégration
- HashiCorp doit être accessible à partir de la Control Room.
- Le coffre à clé externe HashiCorp doit être accessible depuis la Control Room Cloud à travers les règles de pare-feu du périmètre du réseau. Pour les détails de configuration des règles du pare-feu externe, voir Adresses IP Automation 360 pour les intégrations externes.
- Veillez à ce que les valeurs suivantes soient configurées dans le HashiCorp Vault, car vous les utiliserez lorsque vous configurerez le coffre dans la Control Room. Pour plus d'informations sur la configuration de ces valeurs dans HashiCorp, voir Méthode d'authentification AppRole.Remarque : Pour les déploiements sur site, vous pouvez configurer les paramètres du coffre à clé externe lors de l'installation ou avec l'utilitaire du coffre à clé après l'installation. Pour plus d'informations, consultez les rubriques suivantes :
Nom du champ Description URL du coffre Spécifie l'URL du coffre HashiCorp. Par exemple : https://<hôte> ou https://<hôte ou adresse IP>:<port> ID du rôle Spécifie le RoleID du serveur HashiCorp configuré. Par exemple : 675a50e7-cfe0-be76-e35f-49ec009731ea. Reportez-vous à la rubrique Authentification AppRole Pull. Nom du rôle Spécifie le nom de rôle du serveur HashiCorp configuré. Par exemple : jenkins. Reportez-vous à la rubrique Authentification AppRole Pull. ID du secret Spécifie le SecretID du HashiCorpconfiguré. Par exemple : ed0a642f-2acf-c2da-232f-1b21300d5f29. Reportez-vous à la rubrique Authentification AppRole Pull. Espace de noms (Facultatif) Spécifie l'espace de noms de l'organisation (locataire). Par exemple : teant1. Certificat facultatif Chargez le certificat public du serveur HashiCorp dans la Control Room. Le certificat doit être au format PEM (.pem ou .cer). Par exemple : C:\John\certs\hashicorpserver.pem.
Installation du HashiCorp Vault
Vous devez installer et configurer le HashiCorp Vault. Reportez-vous à la rubrique Démarrage rapide de HCP Vault.
Utiliser AppRole dans HashiCorp Vault
AppRole est une méthode d'authentification utilisée dans le HashiCorp Vault pour que les applications puissent interagir avec le coffre. AppRole utilise les valeurs suivantes pour l'authentification :
- RoleID : un identifiant unique pour AppRole. Vous pouvez utiliser l'ID du rôle avec un nombre illimité d'instances d'une application.
- SecretID : valeur générée de manière aléatoire et utilisée pour authentifier l'AppRole. L'ID du secretest destiné à une instance unique d'une application, est éphémère et ne peut être utilisé que par les applications autorisées.Important : Nous vous recommandons de ne pas partager cette valeur.
- Nom du rôle : les rôles sont répertoriés par leur nom.
- Espace de noms : permet de créer des groupes de secrets et d'appliquer des stratégies à ces espaces de noms afin de garantir que chaque locataire ne puisse accéder qu'aux secrets pour lesquels il dispose d'une autorisation.
Pour plus d'informations sur la configuration d'AppRole, voir Méthode d'authentification AppRole.
Importer le certificat du serveur
Dans les déploiements Sur site, vous pouvez importer des certificats de serveur individuels dans le truststore. Cependant, nous recommandons d'importer le certificat de l'autorité de certification (CA) émettrice. Pour plus d'informations, consultez Importer des certificats HTTPS SSL, intermédiaires et CA.
- Le client (Control Room Automation 360) envoie une demande au HashiCorp Vault (ressource protégée).
- Le serveur répond alors en renvoyant un certificat au client.
- La Control Room vérifie le certificat envoyé par le serveur HashiCorp en le validant par rapport aux informations de certification du serveur approuvé stockées dans la partie publique du truststore de la Control Room.
- Les deux parties (client et serveur) ont accès aux ressources protégées si les certificats passent la validation basée sur les éléments suivants :
- La Control Room doit approuver le certificat du serveur HashiCorp
- Le champ Objet du certificat correspond au nom de domaine complet (nom DNS) du système appelant.
- Le certificat n'a pas expiré.
Exigences de configuration de l'API HTTP HashiCorp
Vous devez disposer d'une connectivité réseau entre le serveur de la Control Room et le serveur HashiCorp. La Control Room est connectée au HashiCorp Vault par l'intermédiaire des API HTTP HashiCorp pour les déploiements sur site ou Cloud.
Pour utiliser les API HashiCorp, vous devez définir ces paramètres requis :
- URL du coffre
- ID du rôle
- Nom du rôle
- ID du secret
- Espace de noms (facultatif)
- Certificat facultatif
Passer en revue la terminologie et les identifiants des informations d'identification HashiCorp
HashiCorp et Automation Anywhere utilisent une terminologie différente pour décrire et identifier les informations d'identification :
| Description | HashiCorp | Automation Anywhere |
|---|---|---|
| Où sont stockées les informations d'identification | secrets | informations d'identification |
- Les informations d'identification contenues dans HashiCorp sont stockées sous forme de secrets.
- Les informations d'identification dans Automation Anywhere sont stockées dans des consignes où chaque consigne dispose de contrôles d'accès pour les utilisateurs de la Control Room.
- nom d'utilisateur : john
- mot de passe : 2zR%#sX#g
- e-mail : john@email.com
- code d'accès : mon-code-d-accès-long
Rotation de l'ID du secret HashiCorp
La Control Room exécute un travail programmé pour effectuer une rotation proactive de l'ID du secret HashiCorp d'un locataire. Ce processus permet de s'assurer que l'automatisation des informations d'identification du coffre fonctionne sans interruption. Par défaut, la rotation de l'ID du secret se fait toutes les heures. L'ID du secret est modifié en fonction de son délai d'expiration. Vous pouvez modifier l'ID du secret lorsque les deux tiers de l'ID du secret ont expiré.
Si la rotation de l'ID du secret HashiCorp échoue, vous pouvez modifier manuellement l'ID du secret à l'aide des procédures Cloud ou Sur site suivantes :