外部キー Vault の命名規則
- 更新日 2024/02/27
外部キー Vault の命名規則
特定の認証資格情報および外部キー Vault には、ユーザー名、フレーズ、およびその他のテキストにおける特定の文字の使用に対して制約があります。また、外部キー Vault や資格情報の使用事例に基づいて、さまざまな命名規則があります。エージェントの自動ログインまたはエージェントのオートメーション
エージェント自動ログインの命名規則
CyberArk の場合、すべてのエージェント自動ログイン資格情報は、指定された Safe 名から取得され、自動ログイン資格情報 Safe 内に存在すると想定されます。AWS Secrets Manager、Azure Key Vault、HashiCorp Vault の場合、エージェント自動ログインの認証情報は、このページで詳述されている必要な命名規則に従わなければなりません。
Control Room が自動ログインの資格情報の取得を実行しても、ユーザー名に一致する自動ログインの資格情報 Safe に資格情報が存在しない場合、自動ログインは失敗します。Unattended オートメーションの場合、すべてのロボティックまたはデジタル ワーカー ユーザー ID には、外部キー Vault 内の各 Control Room ユーザーに設定された自動ログイン資格情報が必要です。
Control Room は、外部キー Vault 内のオブジェクト命名規則に基づいて、自動ログイン資格情報を取得します。Control Room は、オブジェクト名 (外部キー Vault の資格情報名) が、自動ログインを実行している Control Room ユーザー名と一致するオブジェクトを検索します。
プレフィックス autologin_ は、すべての外部キー Vault の自動ログイン資格情報の命名規則の一部として必要です。CyberArk、AWS、Azure、HashiCorp。外部キー Vault の自動ログイン資格情報の名前には、autologin_ の後に Control Room ユーザー名が続く必要があります。場合によっては、特定のキー Vault には、資格情報オブジェクト名に使用できる文字が制限される場合があります。また、さまざまな使用事例での資格情報のエンコード方法をサポートするために、Automation 360 は、特定の文字を予約したりエンコードしたりすることを要求します。
次の表に、Control Room で想定されるオブジェクトの命名規則の例を示します。
| Control Room ユーザー名 | 想定されるオブジェクト名の形式 |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
| ABCD\user123 | autologin_ABCD\user123 |
| user123@rpa.abcd.com | autologin_user123@rpa.abcd.com |
| john | autologin_john |
自動ログイン資格情報について、以下の点に留意してください。
- 外部キー Vault のオブジェクト名には、プレフィックスとして autologin_ を含める必要があります。
- 自動ログイン資格情報名は、取得した資格情報の Control Room ユーザー名 (ログイン ID) にマッピングされる必要があります。
外部キー Vault によっては、シークレット名 (オブジェクト名) のバックスラッシュ (\) やアットマーク (@) などの特定の文字の使用や、API コール内での特殊文字の使用の解釈について、制限がある場合があります。ユーザー ID に特殊文字が含まれている場合、次の表に示すように、外部キー Vault のシークレット名 (オブジェクト名) は、ASCII コードの文字置換でエンコードする必要があります。
| 文字 | この ASCII コード文字置換の変更点 |
|---|---|
| \ (バックスラッシュ) | -- |
| - (ダッシュ) | -2d- |
| _ (アンダースコア) | -5f- |
| @ (アットマーク) | -40- |
| 。(ピリオド) | -2e- |
エージェント オートメーションの命名規則
エージェント オートメーション資格情報とは、実行時にオートメーションによって取得され、アプリケーションで認証するためにオートメーション Bot が使用する資格情報です。外部キー Vault から取得したオートメーション資格情報は、ロッカーおよび資格情報を構成する際に、[外部キー Vault] オプションを使用して Automation Anywhere Credential Vault 内にマッピングされます。
Automation Anywhere ロッカーは、次のいずれかにマッピングされます。
- Safe 名 (CyberArk)
- シークレット名のプレフィックス (AWS、Azure、および HashiCorp)
資格情報は、次のいずれかにマッピングされます。
- オブジェクト名 (CyberArk)
- シークレット名の本文 (AWS、Azure、および HashiCorp)
Automation Anywhere ユーザー定義資格情報機能をサポートするために、Control Room_username ポストフィックスを作成使用して、資格情報を作成できます。これは、これらの資格情報が実行中の Bot のユーザー コンテキストに基づいて取得されるためです。ユーザー定義資格情報を作成しない場合、オートメーション Bot 資格情報の取得プロセスは、システム資格情報を取得します。
外部キー Vault は、シークレット名に異なる特殊文字を使用することを禁止しています。このため、外部キー Vault の資格情報 (シークレット) 名の一部の文字を、使用している外部キー Vault の種類 (CyberArk、AWS、Azure) とその固有の要件に基づいてエンコードする必要があります。
HashiCorp シークレットの命名規則
- 大文字 (A ~ Z)
- 小文字 (a ~ z)
- 数字 (0 ~ 9)
- 特殊文字 (+=)
その他の特殊文字については、シークレット名はその特殊文字のエンコードされた ASCII 値にする必要があります。たとえば、アンダースコア文字 (_) は、-5f- として使用する必要があります。
オンプレミスのデプロイ: Control Room でエンコードされたデフォルトの文字を上書きするには、Automation Anywhere 構成ディレクトリにある keyvault.properties ファイルに次のプロパティと正規表現値を追加します。たとえば、特殊文字をエンコードしない場合は、次の式を使用します。name.encoding.characters.allowed.regex.hashicorp=^[A-Za-z0-9/_+=.@-]+$。
CyberArk Password Vault オートメーションの例
次の表に、オートメーションの命名規則を使用した CyberArk 外部キー Vault の例を示します。
- Safe 名は、Control Room のロッカーにマッピングされ、オブジェクト名は、Control Room の資格情報にマッピングされます。
| オートメーション資格情報の例 | Control Room ユーザー名 | Safe 名 | ロッカーのオブジェクト |
|---|---|---|---|
| Safe 名にマッピングされたロッカーのシステム資格情報 | なし - システム資格情報 | 財務 | glaccess |
| Safe 名にマッピングされたロッカーのユーザー定義資格情報 | ABCD\RPA\user123 | 財務 | glaccess_ABCD--RPA--user123 |
| ユーザー名が ASCII マッピングでエンコードされた Safe 名にマッピングされたロッカーにあるユーザー定義資格情報 | ABCD\RPA.user123 | 財務 | glaccess_ABCD--RPA-2e-user123 |
CyberArk のシークレット レスポンスを使用した異なる Automation 360 サービスのユーザー名の構成
自動ログイン、Lightweight Directory Access Protocol (LDAP)、サービス資格情報など、Automation 360 サービスの一部について CyberArk 設定を構成する場合は、任意で、[Enter property set to your CyberArk username] オプションのユーザー名を構成できます。ユーザー名には、シークレット レスポンスの値または文字列リテラルの組み合わせを使用することができます。CyberArk secret のシークレット レスポンスには、ユーザー名を構成するためにドル記号 ($) で囲む必要があるフィールド値が含まれています。たとえば、ユーザー名を形式 domain\username で構成するには、次のように入力します: $domain$\$username$。この式の domain および username 値は、シークレット レスポンスの対応する値に置換されます。
AWS Secrets Manager オートメーションの例
次の表に、オートメーションの命名規則を使用した AWS Secrets Manager 外部キー Vault の例を示します。
| オートメーション資格情報の例 | Control Room ユーザー名 | AWS プレフィックス | AWS シークレット ボディ | AWS 内のシークレット |
|---|---|---|---|---|
|
accounting_pdf AWS シークレット名プレフィックス accounting にマッピングされたロッカー内のシステム資格情報 |
なし - システム資格情報 | accounting | accounting_pdf (システム) | |
|
accounting_pdf_ABCD--user123 AWS シークレット名プレフィックス accounting にマッピングされたロッカー内のユーザー定義資格情報 |
ABCD\user123 | accounting | accounting_pdf_ABCD--user123 |
Azure Key Vault オートメーションの例
次の表に、オートメーションの命名規則を使用した Azure Key Vault 外部キー Vault の例を示します。
| オートメーション資格情報の例 | Control Room ユーザー名 | Azure プレフィックス | Azure シークレット ボディ | Azure 内のシークレット |
|---|---|---|---|---|
|
accounting_cv1 Azure シークレット名プレフィックス accounting にマッピングされたロッカー内のシステム資格情報 |
なし - システム資格情報 | accounting | cv1 | pdf-5f-cv1 (system) |
|
accounting_cv1_ABCD\user123 Azure プレフィックスにマッピングされたロッカー内のユーザー定義資格情報 |
ABCD\user123 | accounting | cv1 | pdf-5f-cv1-5f-ABCD--user123 |
Azure 資格情報をデプロイする場合、Azure Key Vault の文字アンダースコア (_) は予約文字であって、資格情報名で使用することはできません。使用する場合は、ダッシュで囲んだ ASCII コード値 5f でアンダースコア (_) を置換してください。
| 文字 | この ASCII コード文字置換の変更点 |
|---|---|
| \ (スラッシュ) | -- |
| - (ダッシュ) | -2d- |
| _ (アンダースコア) | -5f- |
| @ (アットマーク) | -40- |
| 。(ピリオド) | -2e- |
HashiCorp Vault オートメーションの例
次の表は、外部キー Vault の命名規則を使用した HashiCorp Vault オートメーションの例です。
| オートメーション資格情報の例 | Control Room ユーザー名 | ロッカー プレフィックス | 資格情報シークレット名 | HashiCorp でのシークレット名 |
|---|---|---|---|---|
|
accounting_cred01 HashiCorp シークレット名プレフィックス accounting にマッピングされたロッカー内のシステム資格情報 |
なし - システム資格情報 | accounting | cred01 | accounting-5f-cred01(system) |
|
accounting_cred01_ABCD\user123 HashiCorp プレフィックスにマッピングされたロッカー内のユーザー定義資格情報 |
ABCD\user123 | accounting | cred01 | accounting-5f-cred01-5f-ABCD--user123 |
|
accounting_cred01_john HashiCorp プレフィックスにマッピングされたロッカー内のユーザー定義資格情報 注: この例では、エンコードなしの値を示しています。
|
john | accounting | cred01 | accounting_cred01_john |