CyberArk 資格情報取得の使用例

ブートストラップ、システム、自動ログイン、オートメーションの使用事例に関する CyberArk 資格情報を取得することができます。

CyberArk で Control Room ブートストラップ資格情報を取得する

Automation 360 Control Room は、ブートストラップ認証情報を使用して、データベース、サービス アカウント、Active Directory (AD) などのサポート サービスにアクセスします。これらの資格情報は、初期オンプレミス インストール時、またはインストール後 (キー Vault ユーティリティを使用) に、Safe 名とオブジェクト名を指定することで構成されます。

次の画像は、CyberArk で Control Room ブートストラップ資格情報を取得するプロセスを示しています。

CyberArk Control Room ブートストラップ資格情報の取得

ブーストラップ シーケンスや通常操作 (サービス認証の更新など) で必要な場合、Control Room は、キー Vault の接続を使用して資格情報を取得し、必要な認証を実行します。

注: この使用事例では、Microsoft SQL Server 認証を選択する必要があります。他のデータベース認証方法はブーストラップをサポートしていません。

CyberArk で Control Room システム資格情報を取得する

注: サービス アカウントは、初期インストール時にのみ設定できます。

初期インストール時に外部キー Vault を構成した場合、Automation 360 ユーザー インターフェース (インストール後) を使用して、SMTP および Active Directory (AD) の資格情報を構成できます。

  1. Automation 360 Control Room に管理者としてログインします。
  2. Control Room から、次のように移動します。[管理] > [設定] > [E メール設定]
  3. 外部キー Vault から AD プライマリー アカウントの資格情報をマッピングしたり、外部資格情報を設定したり、手動に設定したり (AD プライマリー アカウントの資格情報取得のモードを切り替える) することができます。

CyberArk で自動ログイン資格情報を取得する

自動ログイン資格情報は、Automation 360 Bot エージェント デバイスの認証とアクティブな Windows セッションの開始に使用されます。ロボティック・プロセス・オートメーション (RPA) が機能するためには、Windows セッションをアクティブにする必要があります。オートメーションがリモート Bot エージェント デバイスから起動した場合、オートメーションが実行される前に自動ログインが実行されます。
注:

自動ログインが Unattended Bot Runner で有効になっている場合、すべての Unattended Bot Runner デバイスは、設定された外部キー Vault で資格情報を検索して自動ログインを使用します。すべての Bot Runner デバイスの資格情報が外部キー Vault に作成されていることを確認してください。作成されていない場合、Bot Runner デバイスは Secret not found エラーになります。

次の画像は、CyberArk で自動ログイン資格情報を取得するプロセスを示しています。

CyberArk の自動ログイン資格情報の取得

Control Room 管理者は、次の詳細を指定することで、Bot エージェント デバイス上でオートメーションを起動するジョブを手動で起動またはスケジュールできます。

  • オートメーション (Bot) 名
  • デバイス名
  • ユーザー コンテキスト

システムは、ユーザー コンテキストに関連付けられたユーザー名とパスワードを使用して指定されたデバイスに自動ログインを実行し、デバイス上でオートメーションを実行します。

外部キー Vault からの自動ログイン資格情報の取得を構成するには、次の手順を実行します。

注: CyberArk キー Vault を統合する前に、キー Vault の命名規則の要件を確認してください。「外部キー Vault の命名規則」を参照してください。
  1. Automation 360 Control Room に設定の表示と管理の権限が設定されている管理者としてログインします。
  2. Control Room から、[管理] > [設定] > [デバイス] に移動します。
  3. 自動ログインの設定セクションまでスクロールし、[編集] をクリックします。
  4. 以前に CyberArk を外部キー Vault の接続として設定したことがある場合、[有効] をクリックして、その外部キー Vault から自動ログイン資格情報を取得します。

    このオプションが無効な場合、外部キー Vault 接続は構成されません。

    注: 外部キー Vault からの自動ログインを無効にすると、AAI Credential Vault と保存された資格情報を使用して資格情報が取得されます。
    注: CyberArk を使用して自動ログイン資格情報を取得するために Control Room でデバイス プールが使用されている場合は、デバイス プール内のすべてのデバイスで自動ログイン オプションが有効になっていることを確認してください。そうでない場合は、自動ログイン オプションが有効になっていないデバイスに対して、自動ログイン資格情報は取得されません。
  5. [Safe 名] を入力します (例: AA_Auto-login_Safe)。
    入力した Safe 名は、「自動ログイン資格情報 Safe」とも呼ばれます。
    注: 安全な名前とオブジェクト名のフォーマットについては、「外部キー Vault の命名規則」を参照してください。
  6. CyberArk のユーザー名に設定されているプロパティを入力します。たとえば、ユーザー名を形式 domain\username で構成するには、次のように入力します: $domain$\$username$ (ここで、domain および username の値は CyberArk のシークレット レスポンスから取得されます)。
  7. オプションの Safe を追加するには、[オプションの Safe を追加] をクリックし、[Safe 名] を入力し、ロールを選択します。最大 25 個の Safe を追加できます。
  8. [変更を保存] をクリックします。

    成功すると、自動ログイン設定が正常に保存されたことを示すメッセージが表示されます。

CyberArk の自動ログイン資格情報の例

この自動ログイン資格情報取得の例では、特定のユーザーとして、デバイスに Bot をデプロイする Control Room ユーザーについて考えてみましょう。この例では、次のような詳細を使用しています。

  • デバイスで実行されるオートメーション (Bot) 名 = ProcureToPayGeoEast
  • エージェント デバイス名 = WinVDI1138
  • エージェント ユーザー コンテキスト = roboticworker2112@automation.abcd.com

次の画像は、CyberArk で自動ログイン資格情報を取得する例を示しています。

CyberArk の自動ログイン資格情報の例

オートメーションを開始する前に、次のことを確認してください。

  1. Control Room 接続の詳細が正常に構成されており、Control Room がこれらの接続情報を使用して CyberArk に接続し、認証を実行している。
  2. Control RoomWinVDI1138 デバイスで実行されている Bot エージェント デバイスにクエリを発行し、デバイス WinVDI1138 に現在アクティブな Windows (オペレーティング システム) セッションがあるかどうか、およびそのセッションがエージェント ユーザー robiticworker2112 に属しているかどうかを確認している。

    ユーザー robiticworker2112 のデバイスに既存のセッションが存在する場合、自動ログインを実行する必要はなく、Bot はデプロイを続行します。

  3. ただし、アクティブなセッションがない場合や、robiticworker2112 に属していないアクティブなセッションがある場合、Control Room は、CyberArk Password Vault から自動ログイン資格情報を取得する。
  4. Control Room が資格情報 (パスワード) を Bot エージェントに渡している。Bot エージェントは、robiticworker2112 の自動ログイン資格情報を使用して、(他のユーザーのログイン セッションからログオフしてから) robiticworker2112 として WinVDI1138 デバイスにログインします。その後、オートメーション (Bot) ProcureToPayGeoEast は、デバイス WinVDI1138robiticworker2112 として実行を開始します。

CyberArk でオートメーション資格情報を取得する

オートメーション資格情報は、Bot 開発者がオートメーション (Bot) アクション内で使用する変数で、暗号化されたストレージからデータを定義して取得するために使用されます。オートメーションでは、資格情報を使用してアプリケーション (例: 金融アプリケーション) を認証します。オートメーション資格情報は、実行時に Automation 360 Bot エージェントによって取得されます。CyberArk 内で、Safe はロッカーであり、オブジェクトは資格情報です。

次の画像は、CyberArk でオートメーション資格情報を取得するプロセスを示しています。

CyberArk によるオートメーション資格情報の取得

CyberArk Password Vault から取得したオートメーション資格情報は、オートメーション・エニウェア Credential Vault でマッピングされます。Credential Vault は、次の 2 種類のオートメーション資格情報をサポートしています。

デフォルトの資格情報
資格情報変数によって返される値が、その変数を使用するすべてのオートメーションで同じである資格情報。
ユーザー名ベースの資格情報
資格情報変数によって返される値が、オートメーションが実行されているユーザー コンテキストに基づいて区別される資格情報。
注: ユーザー名ベースの資格情報オプションを使用して、別のユーザー プロファイルから Central Credential Provider (CCP) に動的な値を入力することはできません。値と属性は静的なままであり、CyberArk Password Vault 内で作成されます。

システム資格情報とユーザー定義の資格情報の両方について、Bot 開発者は Bot コード内で同じ資格情報変数を指定します。次に、システムで、Bot 実行時に取得する資格情報が決定されます。

ユーザー定義の資格情報により、Bot 開発者は単一の資格情報変数を使用してコードを書くことができ、RPA プラットフォームが実行時に返される値をユーザー固有の値に置き換えるため、自動化開発が簡素化されます。開発者は、異なるユーザー固有の資格情報変数を使用して重複したコードの書き込みを回避できます。

次の画像は、オートメーション・エニウェア Credential Vault オブジェクトと、システムおよびユーザー定義の資格情報の CyberArk 資格情報の関係を示しています。

オートメーション・エニウェア と CyberArk のマッピングされた資格情報

  • Control Room ロッカー (Locker1) は、CyberArk の Safe 名 (Safe1) にマッピングされています。
  • Control Room システム資格情報 (Credential1) は、CyberArk オブジェクト (Object1) にマッピングされています。

管理者として、Automation 360 Control Room で外部キー Vault 機能を使用して、ロッカーおよび資格情報を作成して、構成します。Control Room 内で、管理者は オートメーション・エニウェア ロッカー (Locker1) を Safe 名 (Safe1) に、資格情報 (Credential1) をオブジェクト名 (Object1) にそれぞれマッピングします。Control Room ユーザーが利用できる資格情報は、外部キー Vault (CyberArk Password Vault) の構成要素によって決定されます。

CyberArk との統合によりユーザー定義の資格情報を使用する場合、CyberArk 管理者はユーザー定義資格証明ごとにオブジェクトを作成する必要があります (各オブジェクトにはポストフィックス Control Room_username を使用します)。実行時に、RPA プラットフォームは、オートメーションが実行されているユーザー コンテキスト (ユーザー定義資格情報) と一致するポストフィックスを持つ名前のオブジェクト名を取得します。ユーザー定義資格情報がない場合、RPA プラットフォームはユーザー名のポストフィックスを使用せずに (システム資格情報を使用して) オブジェクト名を取得します。

注: 任意の オートメーション・エニウェア ロッカーを任意の CyberArk Safe 名にマッピングできます。ただし、オートメーション資格情報のマッピングに使用する Safe 名は、自動ログインに使用する Safe 名と区別する必要があります。

管理者として、Automation 360 Control Room のアクセス コントロールを使用して、ユーザーにロッカーのアクセス権を提供することで資格情報へのアクセスを分けることができます。ロールごとに異なる Control Room ユーザーを割り当て、それらのロールに異なるロッカーを関連付けることで、資格情報へのアクセスを制御します。ロッカーごとに異なる CyberArk Safe をマッピングすることで、CyberArk Safe 内の資格情報へのアクセスは、Control Room 内のアクセス制御によりマッピングされ、実施されます。

注: Control Room 内の同じ権限と特権 (ロールを介して割り当てられる) は、外部キー Vault にマッピングされた資格情報に適用されます。

CyberArk オートメーション資格情報取得の例

オートメーション資格情報取得を設定し、CyberArk Password Vault と統合するには、最初にロッカーを作成してから、資格情報を作成します。

注: 資格情報を Control Room Credential Vault および外部キー Vault に保管する場合は、以下を実行することをお勧めします。
  • ロッカー Credential Vault 内に作成された資格情報を格納するために、Control Room 内に別のControl Roomを作成します。
  • 外部キー Vault 内に作成された資格情報を格納するために、ロッカー 内に別のControl Roomを作成します。

Control Room では、同じControl Room内に ロッカー Credential Vault および外部キー Vault の資格情報を格納することはできません。

ロッカーを作成して CyberArk Password Vault と統合するには、次の手順を実行します。

  1. Automation 360 Control Room から、[マネージ] > [資格情報] に移動します。

    資格情報とロッカーの管理権限を持つユーザーは、資格情報を作成する権限があります。

  2. [ロッカー] タブをクリックします。
  3. [ロッカーを作成] をクリックします。
  4. ロッカー の名前を入力します。

    この名前は、Control Room にローカルな名前で、CyberArk の Safe 名に依存するものではありません。

  5. [外部キー Vault] をクリックし、CyberArk の Safe 名を [Safe 名] フィールドに入力します (例: Finance_Safe)。
    注: 安全な名前とオブジェクト名のフォーマットについては、「外部キー Vault の命名規則」を参照してください。
  6. [次へ] をクリックします。
  7. ロッカーの所有者、マネージャー、参加者、およびコンシューマーを設定します。
  8. [ロッカーを作成] をクリックします。

    ロッカーを作成」を参照してください。

Control Room は、資格情報を取得し、マッピングされた CyberArk Safe にアクセス制御を実施できるようになりました。続行するには、資格情報を作成します。

資格情報を作成して CyberArk Password Vault と統合するには、次の手順を実行します。

  1. Automation 360 Control Room から、[マネージ] > [資格情報] に移動します。

    資格情報とロッカーの管理権限を持つユーザーは、資格情報を作成する権限があります。

  2. [資格情報] タブで [資格情報を作成] を選択します。
  3. [資格情報名] フィールドに資格情報名を入力します。

    この名前は、Control Room にローカルな名前で、CyberArk の Safe 名に依存するものではありません。

    注: 安全な名前とオブジェクト名のフォーマットについては、「外部キー Vault の命名規則」を参照してください。
  4. 名前フィールドの下にある [外部キー Vault] をクリックします。
  5. 使用可能なロッカーのリストから、適切なロッカー (オブジェクト (資格情報) に現在マッピングしている資格情報の Safe 名に以前マッピングしていたロッカー) を選択します。
  6. [オブジェクト名] フィールドに CyberArk オブジェクト名を入力します。
  7. [属性を検証して取得します] をクリックします

    システムは、CyberArk Password Vault から Safe 名 (ロッカー) とオブジェクト名 (資格情報) の組み合わせを取得しようとすることで、マッピングを検証します。ロッカーにマッピングされた Safe 名内で、Automation 360 は、オブジェクトが正しい命名規則を使用することを想定しています。。「外部キー Vault の命名規則」を参照してください。

    検証が失敗した場合、Safe 名 (ロッカー) とオブジェクト名 (資格情報) の組み合わせと一致する名前の CyberArk Password Vault にオブジェクトは存在しません。

    システムがオブジェクトの詳細を正常に取得すると、CyberArk Password Vault のオブジェクトの属性 (シークレット内のフィールド) が表示されます。

  8. 属性のリストから、資格情報にマッピングする属性を選択します。
  9. [資格情報を作成] をクリックします。

    成功すると、資格情報が正常に作成されたことを示すメッセージが表示されます。