Automation 360

外部キー Vault の命名規則

PDF としてダウンロード

コンテンツ

外部キー Vault の命名規則

PDF としてダウンロード

最終更新日2024/10/14

外部キー Vault の命名規則

特定の認証資格情報および外部キー Vault には、ユーザー名、フレーズ、およびその他のテキストにおける特定の文字の使用に対して制約があります。また、外部キー Vault や資格情報の使用事例に基づいて、さまざまな命名規則があります。エージェントの自動ログインまたはエージェントのオートメーション

エージェント自動ログインの命名規則

CyberArk の場合、すべてのエージェント自動ログイン資格情報は、指定された Safe 名から取得され、自動ログイン資格情報 Safe 内に存在すると想定されます。 AWS Secrets Manager、Microsoft Azure Key Vault、および HashiCorp Vault の場合、エージェント自動ログイン資格情報は、このページで説明されている必須の命名規則に従っている必要があります。

Control Room が自動ログインの資格情報の取得を実行しても、ユーザー名に一致する自動ログインの資格情報 Safe に資格情報が存在しない場合、自動ログインは失敗します。 Unattended オートメーションの場合、すべてのロボティックまたはデジタルワーカーユーザー ID には、外部キー Vault 内の各 Control Room ユーザーに設定された自動ログイン資格情報が必要です。

Control Room は、外部キー Vault 内のオブジェクト命名規則に基づいて、自動ログイン資格情報を取得します。 Control Room は、オブジェクト名 (外部キー Vault の資格情報名) が、自動ログインを実行している Control Room ユーザー名と一致するオブジェクトを検索します。

プレフィックス autologin_ は、サポートされているすべての外部キー Vault の自動ログイン資格情報の命名規則の一部として必要です。外部キー Vault の自動ログイン資格情報の名前には、autologin_ の後に Control Room ユーザー名が続く必要があります。場合によっては、特定のキー Vault には、資格情報オブジェクト名に使用できる文字が制限される場合があります。また、さまざまな使用事例での資格情報のエンコード方法をサポートするために、Automation 360 は、特定の文字を予約したりエンコードしたりすることを要求します。

次の表に、Control Room で想定されるオブジェクトの命名規則の例を示します。


Control Room ユーザー名	想定されるオブジェクト名の形式
ABCD\user123	autologin_ABCD--user123
user123@rpa.abcd.com	autologin_user123-40-rpa-2e-abcd-2e-com
ABCD\user123	autologin_ABCD\user123
user123@rpa.abcd.com	autologin_user123@rpa.abcd.com
john	autologin_john

注: AD 認証を使用しているオンプレミスのお客様は、UPN 形式または domain\username ポストフィックスを使用して自動ログイン用のユーザー名をフォーマットする必要があります。

自動ログイン資格情報について、以下の点に留意してください。

外部キー Vault のオブジェクト名には、プレフィックスとして autologin_ を含める必要があります。
自動ログイン資格情報名は、取得した資格情報の Control Room ユーザー名 (ログイン ID) にマッピングされる必要があります。
外部キー Vault によっては、シークレット名 (オブジェクト名) のバックスラッシュ (\) やアットマーク (@) などの特定の文字の使用や、API コール内での特殊文字の使用の解釈について、制限がある場合があります。ユーザー ID に特殊文字が含まれている場合、次の表に示すように、外部キー Vault のシークレット名 (オブジェクト名) は、ASCII コードの文字置換でエンコードする必要があります。


文字	この ASCII コード文字置換の変更点
\ (バックスラッシュ)	--
- (ダッシュ)	-2d-
_ (アンダースコア)	-5f-
＠ (アットマーク)	-40-
. (ピリオド)	-2e-

注: バックスラッシュはダブルダッシュにマッピングされますが、ダッシュ、ピリオド、アンダースコア、アンパサンドはダッシュで括られた ASCII コードにマッピングされます。

自動ログイン事例のためのBotカスタムシークレット名

Automation 360 では、クライアントデバイスへの自動ログインに使用される秘密のカスタム命名を構成できます。これにより、オートメーション (Bot) を実行します。

あなたは組織の標準と命名形式に従って、ボールトに資格情報を設定できます。それから、これらの秘密の名前を Control Room ユーザー名にマッピングできます。

外部キー保管庫を Control Room に自動ログインするためにマッピングする際、カスタム命名フォーマットを使用すると Bot Runner によって使用されるシークレットの特定の名前を作成できます。これにより、名前が組織の基準と一致することが保証され、使いやすさが向上します。

この命名形式を使用する利点:

デフォルトのフォーマット（例: autologin_<bot-runner_username>）から離れて、運用ニーズに合った命名フォーマットを作成できます。
外部キー保管庫に保存されている各シークレットを、オートログインの目的で使用される対応するControl Room のユーザー名にマッピングできます。

自分の秘密の名前を定義することは、組織の標準に合わせることで使いやすさを向上させます。「カスタムシークレットマッピング」を参照してください。

エージェントオートメーションの命名規則

エージェントオートメーション資格情報とは、実行時にオートメーションによって取得され、アプリケーションで認証するためにオートメーション Bot が使用する資格情報です。外部キー Vault から取得したオートメーション資格情報は、ロッカーおよび資格情報を構成する際に、[Automation Anywhere外部キー Vault] オプションを使用して Credential Vault 内にマッピングされます。

Automation Anywhere ロッカーは、次のいずれかにマッピングされます。

Safe 名 (CyberArk)
シークレット名のプレフィックス (AWS、Azure、および HashiCorp)

資格情報は、次のいずれかにマッピングされます。

オブジェクト名 (CyberArk)
シークレット名の本文 (AWS、Azure、および HashiCorp)

注: 任意の Automation Anywhere ロッカーを任意の CyberArk Safe 名にマッピングできます。オートメーション資格情報のマッピングに使用する Safe 名は、自動ログインに使用する Safe 名と区別する必要があります。

Automation Anywhere ユーザー定義資格情報機能をサポートするために、Control Room_username ポストフィックスを作成使用して、資格情報を作成できます。これは、これらの資格情報が実行中の Bot のユーザーコンテキストに基づいて取得されるためです。ユーザー定義資格情報を作成しない場合、オートメーション Bot 資格情報の取得プロセスは、システム資格情報を取得します。

注: AD 認証を使用しているオンプレミスのお客様の場合、UPN 形式または domain\username ポストフィックスを使用してエージェントオートメーション用のユーザー名をフォーマットする必要があります。

外部キー Vault は、シークレット名に異なる特殊文字を使用することを禁止しています。このため、外部キー Vault の資格情報 (シークレット) 名の一部の文字を、使用している外部キー Vault の種類 (CyberArk、AWS、Azure) とその固有の要件に基づいてエンコードする必要があります。

HashiCorp シークレットの命名規則

デフォルトでは、Control Room と HashiCorp の統合により、以下の文字がエンコーディングなしで使用できます。

大文字 (A ～ Z)
小文字 (a ～ z)
数字 (0 ～ 9)
特殊文字 (+=)

その他の特殊文字については、シークレット名はその特殊文字のエンコードされた ASCII 値にする必要があります。たとえば、アンダースコア文字 (_) は、-5f- として使用する必要があります。

オンプレミスのデプロイ: でエンコードされたデフォルトの文字を上書きするには、Control Room 構成ディレクトリにある keyvault.properties ファイルに次のプロパティと正規表現値を追加しますAutomation Anywhere。たとえば、特殊文字をエンコードしない場合は、次の式を使用します。name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$。

CyberArk Password Vault オートメーションの例

次の表に、オートメーションの命名規則を使用した CyberArk 外部キー Vault の例を示します。

注:

Safe 名は、Control Room のロッカーにマッピングされ、オブジェクト名は、Control Room の資格情報にマッピングされます。
Control Room の [オブジェクト名] フィールドは、CyberArk のアカウント名にマッピングされます。オブジェクト名にスペースを含めることはできません。たとえば、CyberArk のアカウント名が automation360-engsafe-example.com-john.smith の場合、Control Room の [オブジェクト名] フィールドには automation360-engsafe-example.com-john.smith を設定する必要があります。


オートメーション資格情報の例	Control Room ユーザー名	Safe 名	ロッカーのオブジェクト
Safe 名にマッピングされたロッカーのシステム資格情報	なし - システム資格情報	財務	glaccess
Safe 名にマッピングされたロッカーのユーザー定義資格情報	ABCD\RPA\user123	財務	glaccess_ABCD--RPA--user123
ユーザー名が ASCII マッピングでエンコードされた Safe 名にマッピングされたロッカーにあるユーザー定義資格情報	ABCD\RPA.user123	財務	glaccess_ABCD--RPA-2e-user123

CyberArk のシークレットレスポンスを使用した異なる Automation 360 サービスのユーザー名の構成

自動ログイン、Lightweight Directory Access Protocol (LDAP)、サービス資格情報など、Automation 360 サービスの一部について CyberArk 設定を構成する場合は、任意で、[Enter property set to your CyberArk username] オプションのユーザー名を構成できます。ユーザー名には、シークレットレスポンスの値または文字列リテラルの組み合わせを使用することができます。 CyberArk secret のシークレットレスポンスには、ユーザー名を構成するためにドル記号 ($) で囲む必要があるフィールド値が含まれています。たとえば、ユーザー名を形式 domain\username で構成するには、次のように入力します: $domain$\$username$. この式の domain および username 値は、シークレットレスポンスの対応する値に置換されます。

AWS Secrets Manager オートメーションの例

次の表に、オートメーションの命名規則を使用した AWS Secrets Manager 外部キー Vault の例を示します。

注: AWS シークレット名のプレフィックスは、Control Room のロッカーにマッピングされ、AWS シークレットボディは、Control Room の資格情報にマッピングされます。


オートメーション資格情報の例	Control Room ユーザー名	AWS プレフィックス	AWS シークレットボディ	AWS 内のシークレット
accounting_pdf AWS シークレット名プレフィックス accounting にマッピングされたロッカー内のシステム資格情報	なし - システム資格情報	accounting	PDF	accounting_pdf (システム)
accounting_pdf_ABCD--user123 AWS シークレット名プレフィックス accounting にマッピングされたロッカー内のユーザー定義資格情報	ABCD\user123	accounting	PDF	accounting_pdf_ABCD--user123

Azure Key Vault オートメーションの例

次の表に、オートメーションの命名規則を使用した Azure Key Vault 外部キー Vault の例を示します。

注: Azure プレフィックスは、Control Room のロッカーにマッピングされ、Azure シークレットボディは、Control Room の資格情報にマッピングされます。


オートメーション資格情報の例	Control Room ユーザー名	Azure プレフィックス	Azure シークレットボディ	Azure 内のシークレット
accounting_cv1 Azure シークレット名プレフィックス accounting にマッピングされたロッカー内のシステム資格情報	なし - システム資格情報	accounting	cv1	pdf-5f-cv1 (system)
accounting_cv1_ABCD\user123 Azure プレフィックスにマッピングされたロッカー内のユーザー定義資格情報	ABCD\user123	accounting	cv1	pdf-5f-cv1-5f-ABCD--user123

Azure 資格情報をデプロイする場合、Azure Key Vault の文字アンダースコア (_) は予約文字であって、資格情報名で使用することはできません。使用する場合は、ダッシュで囲んだ ASCII コード値 5f でアンダースコア (_) を置換してください。


文字	この ASCII コード文字置換の変更点
\ (スラッシュ)	--
- (ダッシュ)	-2d-
_ (アンダースコア)	-5f-
＠ (アットマーク)	-40-
. (ピリオド)	-2e-

HashiCorp Vault オートメーションの例

次の表は、外部キー Vault の命名規則を使用した HashiCorp Vault オートメーションの例です。

注: HashiCorp プレフィックスは、Control Room ロッカーにマッピングされ、HashiCorp シークレット名は Control Room 資格情報にマッピングされます。


オートメーション資格情報の例	Control Room ユーザー名	ロッカープレフィックス	資格情報シークレット名	HashiCorp でのシークレット名
accounting_cred01 シークレット名プレフィックス accounting にマッピングされたHashiCorpロッカー内のシステム資格情報	なし - システム資格情報	accounting	cred01	accounting-5f-cred01(system)
accounting_cred01_ABCD\user123 プレフィックスにマッピングされたHashiCorpロッカー内のユーザー定義資格情報	ABCD\user123	accounting	cred01	accounting-5f-cred01-5f-ABCD--user123
accounting_cred01_john プレフィックスにマッピングされたHashiCorpロッカー内のユーザー定義資格情報注: この例では、エンコードなしの値を示しています。	john	accounting	cred01	accounting_cred01_john

Automation 360

外部キー Vault の命名規則

外部キー Vault の命名規則

エージェント自動ログインの命名規則

エージェント オートメーションの命名規則

CyberArk Password Vault オートメーションの例

AWS Secrets Manager オートメーションの例

Azure Key Vault オートメーションの例

HashiCorp Vault オートメーションの例

エージェントオートメーションの命名規則