Intégration du HashiCorp Vault

Vous pouvez intégrer Automation 360 pour récupérer des informations d'identification à partir de HashiCorp Vault. Les informations d'identification résident dans le HashiCorp Vault où vous pouvez les gérer, les faire pivoter et les synchroniser.

Remarque : la marque et le logo HashiCorp sont des marques commerciales ou des marques déposées de HashiCorp, Inc., qui ne sont utilisées qu'à des fins d'identification.

Remarque : Aucune licence Automation Anywhere supplémentaire n'est requise pour intégrer HashiCorp Vault ou utiliser les API HashiCorp.

Vous intégrez la Control Room en la connectant au HashiCorp Vault par l'intermédiaire des API HTTP HashiCorp.

Le tableau suivant répertorie les fonctionnalités prises en charge par les différents types de déploiements :

Fonctionnalité cloud Sur site
Informations d'identification d'automatisation de l'agent Pris en charge Pris en charge
Informations d'identification de connexion automatique de l'agent Pris en charge Pris en charge
Informations d'identification d'amorçage et du système Non pris en charge Pris en charge

Vous pouvez intégrer la Control Room avec le HashiCorp Vault en utilisant l'un ou l'autre de ces déploiements :

  • Cloud

    Le schéma suivant montre un déploiement Cloud où la Control Room est hébergée sur le Cloud AAI :Déploiement cloud de HashiCorp

  • Sur site

    Pour les déploiements Sur site, vous devez déployer les éléments suivants :

    • Control Room en tant que logiciel dans votre environnement client.
    • Agent de robot dans votre environnement client où les automatisations s'exécutent et accèdent aux applications du client.
    Remarque : Vous pouvez également connecter votre Control Room sur site au cloud HashiCorp par Internet.

Déploiement HashiCorp sur site

Exigences HashiCorp Vault en matière d'intégration

  • HashiCorp doit être accessible à partir de la Control Room.
  • Le coffre à clé externe HashiCorp doit être accessible depuis la Control Room Cloud à travers les règles de pare-feu du périmètre du réseau. Pour les détails de configuration des règles du pare-feu externe, voir Adresses IP Control Room pour les intégrations externes.
  • Vérifiez que vous utilisez :
    • HashiCorp Vault 1.13.x ou 1.14.x et le moteur de secrets du coffre à clé HashiCorp version 2.
    • Chemin du moteur de secrets par défaut : /secret. Tous les secrets doivent être créés sous la racine du moteur de secrets (/secret). Pour accéder aux API du coffre HashiCorp, la Control Room ajoutera automatiquement le chemin par défaut du moteur de secret v1/secret/data à l'URL du coffre que vous saisissez (par exemple : https://<hostname1:port_num>/v1/secret/data). Assurez-vous que le rôle avec l'identifiant de rôle donné dispose au moins de l'autorisation de lire ce chemin et que tous les secrets sont créés dans le moteur secrets.
    • API REST HashiCorp Vault.
    • Chemin du moteur API sous /v1/secret/data.
    • Opérations d'API sous un espace de noms spécifique en définissant l'en-tête X-Vault-Namespace vers le chemin d'espace de noms absolu ou relatif.
    • Méthode d'authentification qui utilise AppRole avec un nom de chemin par défaut « approle ». Le nom de chemin AppRole personnalisé n'est pas pris en charge.

Installation du HashiCorp Vault

Vous devez installer et configurer le HashiCorp Vault. Reportez-vous à la rubrique HCP Vault Quick Start.

Utiliser AppRole dans HashiCorp Vault

AppRole est une méthode d'authentification utilisée dans le HashiCorp Vault pour que les applications puissent interagir avec le coffre. AppRole utilise les valeurs suivantes pour l'authentification :

  • RoleID : un identifiant unique pour AppRole. Vous pouvez utiliser l'ID du rôle avec un nombre illimité d'instances d'une application.
  • SecretID : valeur générée de manière aléatoire et utilisée pour authentifier l'AppRole. L'ID du secretest destiné à une instance unique d'une application, est éphémère et ne peut être utilisé que par les applications autorisées.
    Important : Nous vous recommandons de ne pas partager cette valeur.
  • Nom du rôle : les rôles sont répertoriés par leur nom.
  • Espace de noms : permet de créer des groupes de secrets et d'appliquer des stratégies à ces espaces de noms afin de garantir que chaque locataire ne puisse accéder qu'aux secrets pour lesquels il dispose d'une autorisation.

Pour plus d'informations sur la configuration d'AppRole, voir AppRole Auth Method.

Importer le certificat du serveur

Dans les déploiements Sur site, vous pouvez importer des certificats de serveur individuels dans le truststore. Cependant, nous recommandons d'importer le certificat de l'autorité de certification (CA) émettrice. Pour plus d'informations, consultez Importer des certificats HTTPS SSL, intermédiaires et CA.

  1. Le client (Control Room Automation 360) envoie une demande au HashiCorp Vault (ressource protégée).
  2. Le serveur répond alors en renvoyant un certificat au client.
  3. La Control Room vérifie le certificat envoyé par le serveur HashiCorp en le validant par rapport aux informations de certification du serveur approuvé stockées dans la partie publique du truststore de la Control Room.
  4. Les deux parties (client et serveur) ont accès aux ressources protégées si les certificats passent la validation basée sur les éléments suivants :
    • La Control Room doit approuver le certificat du serveur HashiCorp
    • Le champ Objet du certificat correspond au nom de domaine complet (nom DNS) du système appelant.
    • Le certificat n'a pas expiré.

Exigences de configuration de l'API HTTP HashiCorp

Vous devez disposer d'une connectivité réseau entre le serveur de la Control Room et le serveur HashiCorp. La Control Room est connectée au HashiCorp Vault par l'intermédiaire des API HTTP HashiCorp pour les déploiements sur site ou cloud.

Pour utiliser les API HashiCorp, vous devez définir ces paramètres requis :

  • URL du coffre
  • ID du rôle
  • Nom du rôle
  • ID du secret
  • Chemin du moteur de secrets
  • Espace de noms (facultatif)
  • Certificat facultatif

Passer en revue la terminologie et les identifiants des informations d'identification HashiCorp

HashiCorp et Automation Anywhere utilisent une terminologie différente pour décrire et identifier les informations d'identification :

Description HashiCorp Automation Anywhere
Où sont stockées les informations d'identification secrets informations d'identification
  • Les informations d'identification contenues dans HashiCorp sont stockées sous forme de secrets.
  • Les informations d'identification dans Automation Anywhere sont stockées dans des consignes où chaque consigne dispose de contrôles d'accès pour les utilisateurs de la Control Room.
Pour les informations d'identification de la base de données, du compte de service, de SMTP et d'AD, les données secrètes du coffre doivent respecter le format suivant :
  • nom d'utilisateur : john
  • mot de passe : 2zR%#sX#g
Pour l'automatisation, les données secrètes du coffre doivent respecter le format suivant  :
  • e-mail : john@email.com
  • code d'accès : mon-code-d-accès-long

Rotation de l'ID du secret HashiCorp

La Control Room exécute un travail programmé pour effectuer une rotation proactive de l'ID du secret HashiCorp d'un locataire. Ce processus permet de s'assurer que l'automatisation des informations d'identification du coffre fonctionne sans interruption. Par défaut, la rotation de l'ID du secret se fait toutes les heures. L'ID du secret est modifié en fonction de son délai d'expiration. Vous pouvez modifier l'ID du secret lorsque les deux tiers de l'ID du secret ont expiré.

Si la rotation de l'ID du secret HashiCorp échoue, vous pouvez modifier manuellement l'ID du secret à l'aide des procédures cloud ou Sur site suivantes :