クラウドDelinea Secret ServerおよびAutomation 360の連携により、重要な認証情報を安全に管理できます。 それはまた、Cloud 環境をより安全で効率的にするタスクを自動化します。

前提条件

開始する前に、次のものを用意してください:

  • Delinea Secret Serverの設定を行うには、Delinea Platformのドキュメントを参照してください。 Delinea から以下の情報が必要です。

    • Delinea Secret Server との OAuth 接続を作成するには:
      • トークン URL: これは、Delinea Secret Server からアクセストークンを取得する際に使用する URL です。
        • Delinea プラットフォームの場合、URL は次のとおりです: https://<>.delinea.app/identity/api/oauth2/token/xpmplatform
        • スタンドアロンのDelinea Secret Serverの場合、URLは次のとおりです: https://<secretserver>/oauth2/token
      • スコープ: これは Delinea が発行したトークンに必要な範囲です。 Delinea プラットフォームの範囲はxpmheadlessです。
        • 助成金が client_credentials の場合、サービスアカウントの clientIdclientSecret が必要です。
        • もし助成金が resource owner password の場合、サービスアカウントの usernamepassword が必要です。
    • Delinea のサービスアカウントは、Delinea のシークレットに対して少なくとも 閲覧 アクセス権を持っている必要があります。
    • Delinea Secret Server のURL。

  • Automation 360 統合を構成するには、Control Room ユーザーに 設定を管理 および 接続を管理 の権限が必要です。または、ユーザーが管理者である必要があります。

Automation 360 の設定

この手順は、Automation 360 を Delinea Secret Server と連携させるための設定を手助けします。
  • 最初に、OAuth 接続を設定します。
  • それから、ボールトの設定を追加します。

OAuth 接続を設定

クライアント資格情報フローのグラントタイプを使用して OAuth 接続を設定する

OAuth 接続を作成する 手順から次のステップを実行します。

  1. OAuth 接続を設定するには、管理 > OAuth 接続 に移動します。
  2. 接続の作成 をクリックします。
  3. 接続設定 画面で、次の内容を入力します。
    • プロバイダー タイプ: プロバイダータイプを選択してください。例えば、カスタム または Apigee などがあります。 OAuth プロバイダーのタイプがリストにない場合は、Customを選択できます。
    • 名前: 一意の名前を入力してください。例えば、Delinea -テスト-接続
    • フロータイプ: クライアント資格情報フロー グラントタイプを選択して、Delinea Secret Server とともに Delinea プラットフォームを使用します。 Basic または POST のいずれかを使用してクライアント認証方法を使用してください。
    • クライアント ID: Delinea サーバーに表示されているとおりに、Client Idを入力してください。
    • クライアント シークレット: Delinea サーバーに表示されている通りにClient Secretを入力してください。
    • トークン URL: Delinea の OAuth 2.0 エンドポイント (例: https://<>.delinea.app/identity/api/oauth2/token/xpmplatform)
    • スコープ: 例えば、トークンがプラットフォーム用の場合: xpmheadless
  4. OAuth 接続をテストして、設定が正しいことを確認してください。
  5. OAuth 接続を保存する。

リソースオーナー パスワードグラント タイプを使用して OAuth 接続を設定する

OAuth 接続を作成する 手順から次のステップを実行します。

  1. OAuth 接続を設定するには、管理 > OAuth 接続 に移動します。
  2. 接続の作成 をクリックします。
  3. 接続設定 画面で、以下の操作を行ってください。
    • フロータイプ: リソースオーナー パスワードフロー グラントタイプを選択してください。 クライアント認証方法を選択してください。 クライアント認証シークレットPOST
    • スコープ: これは任意です。
    • シークレットへアクセス可能なサービスユーザーの ユーザー名パスワード を入力してください。
  4. ログイン資格情報を保存 をクリックします。
  5. OAuth 接続をテストして、設定が正しいことを確認してください。
  6. OAuth 接続を保存する。

成功したら、Delinea Secret Server のボールト構成を設定し、作成した OAuth 接続を選択してください。

リフレッシュトークン管理

Delinea Secret Server に OAuth2 パスワードグラントフローを使用して接続すると、Automation 360 Control Room は認証時に取得したリフレッシュトークンを安全に保管します。

主な考慮事項:
  • リフレッシュ トークンの有効期限: アクセストークンとリフレッシュトークンが有効期限を迎えるまでの時間が、ご自身のニーズに十分合っていることを確認してください。 長時間稼働する Bot や同時に多数の Bot を実行している場合、有効期限が短いと予期しない認証トラブルが発生する可能性があります。
  • 許可されたリフレッシュトークンの数: Delinea Secret Server は、ユーザーまたはクライアントが持つことができるリフレッシュトークンの数を制限する可能性があります。 トークンをあまりにも頻繁に更新し、この制限を超えると、トークンの更新失敗を引き起こす可能性があります。これにより、自動化の問題が発生します。
  • アイドル期間: OAuth 接続が長期間使用されていない場合(たとえば、Bot が稼働していないときなど)、リフレッシュトークンが失効する可能性があります。 その場合は、既存の OAuth 接続をリセットしてください。
推奨事項:
  1. Delinea Secret Server でアクセス トークンの有効期限、リフレッシュ トークンの有効期限、および許可されたトークンのリフレッシュ回数を設定して、ニーズに合わせてください。
  2. アクセストークンまたはリフレッシュトークンが有効期限切れとなった場合、OAuth 接続を再度有効にする唯一の方法は、既存のOAuth接続をリセットし、ユーザー名とパスワードを使用して再度認証することです。

Delinea Secret Server ボールトを構成する

  1. Control Room から、[管理] > [設定] > [外部キー Vault] の順に移動します。
  2. 構成設定 セクションで、編集 をクリックします。
  3. 一番下までスクロールして、Delinea シークレット サーバーを選択します。
  4. [Vault URL] を入力します (例: https://<yourvault>.secretservercloud.com)。
  5. ドロップダウン リストから [OAuth 接続] 名を選択します。
  6. デフォルトの HTTP ヘッダー名認証 です。
  7. (任意)セキュアなTLS通信を提供するために使用されるサーバー証明書 - PEM形式(任意)を入力してください。
  8. [変更を保存] をクリックして、ボールト構成を保存します。

    Delinea シークレットサーバー外部キーボルト設定