CyberArk Password Vault の統合

Automation 360 を統合して、CyberArk Password Vault から資格情報を取得することができます。資格情報は CyberArk Password Vault 内に常駐し、管理、ローテーション、同期のために使用されます。

注: CyberArk のマークとロゴは、CyberArk Software Ltd の商標または登録商標であり、識別のみを目的として使用されています。

Automation 360 Control Room を統合するには、CyberArk Central Credential Provider (CCP) API を使用して CyberArk Password Vault に接続します。CyberArk Password Vault との統合や CCP API を使用するために、追加のライセンスは必要ありません。

注: CyberArk Password Vault へのアクセスは、IP アドレスで管理することをお勧めします。

次のデプロイ方法を使用して、Automation 360 と CyberArk Password Vault を統合することができます。

  • クラウド
  • オンプレミス

次の図は Automation 360 クラウド のデプロイを示しています。この場合、Control Room は AAI Cloud 上でホストされています。

Cyberark クラウドのデプロイ

オンプレミスのデプロイの場合、次をデプロイします。

  • お客様の環境内のソフトウェアとしての Control Room
  • お客様の環境内の Bot エージェント (この場合、オートメーションが実行され、お客様のアプリケーションにアクセスできる環境)。
重要: クラウド デプロイのみのユーザー インターフェースから外部キー Vault の接続設定を編集できます。オンプレミスのデプロイにおける外部キー Vault の設定は、インストール中またはインストール後のキー Vault ユーティリティでのみ構成可能です。

CyberArk Password Vault の統合要件

CyberArk Central Credential Provider のインストール

CyberArk Central Credential Provider を CyberArk サーバーにインストールし、設定する必要があります。「CyberArk Central Credential Provider installation」を参照してください。

X.509 クライアント証明書認証方式を導入する

X.509 クライアント証明書は、クライアント システムがリモート サーバーに認証をリクエストする際に使用するデジタル証明書の一種です。国際的に広く普及している X.509 パブリック キー基盤 (PKI) 規格を使用して、証明書に含まれるユーザー、コンピューター、またはサービス ID にパブリック キーが属していることを検証します。

Automation 360 Control Room は、CyberArk CCP API に接続する際に、認証方法としてクライアント証明書を使用します。

この認証方式は安全性が高く、システムのトラストストアを利用してクライアント証明書、サーバー証明書、プライベート キーを保存します。トラストストアは、OS のソフトウェアが提供する証明書の保管場所です。トラストストアには発行元の認証局 (CA) の証明書が格納されています。個々のサーバー証明書をトラストストアにインポートすることができます。ただし、発行元の認証局 (CA) 証明書をインポートする方が効率的です。

次の画像は、証明書ベースの認証の概要を示しています。

証明書ベースの認証方式

  1. クライアント (Automation 360 Control Room) は、CyberArk AIM サーバー (保護されたリソース) にリクエストを送信します。
  2. 次に、サーバーはクライアントに証明書を返送することで応答します。
  3. Automation 360 Control Room は、CyberArk AIM サーバーから送信された証明書を、Control Room トラストストアの公開部分に格納されている信頼済みのサーバー証明書情報と照合して検証することで確認します。
  4. トラストストアで情報が検証されると、Automation 360 Control Room は証明書を CyberArk AIM サーバーに再送信します。
  5. CyberArk AIM サーバーは、Automation 360 Control Room が送信した証明書を、AIM サーバーのトラストストアの公開部分に格納されている信頼済みのクライアント証明書情報と照合します。

    通常、クライアント証明書 (プライベート キー付き) は、パスワード保護された形式で配布されるため、証明書ファイル (c:\PATH\aaeCyberArkCertificate.p12 などの .p12 形式を使用) には、パスフレーズが必要です。

  6. クライアントとサーバーは、証明書が検証され次の要件を満たせば、保護されたリソースにアクセスできるようになります。
    • Control Room 証明書が CyberArk AIM サーバーによって信頼されている
    • Control Room が CyberArk AIM サーバーで証明書を信頼している
    • 証明書の件名フィールドが呼び出しシステムの完全修飾ドメイン名 (DNS 名) と一致している
    • 証明書の有効期限が切れていない
重要: 統合プランの一部として、証明書と証明書リクエストを調整します。統合の構成を始める前に、パブリック キー基盤 (PKI) チームに証明書の発行をリクエストする必要があります。証明書ファイルは PKI フォルダーに保存され、必要に応じて Control Room パスフレーズでアクセスできます。Control Room パスフレーズは、keyvault.properties ファイルに暗号化されて保存されています。

CyberArk Central Credential Provider API の構成要件

Automation 360 Control Room と CyberArk AIM サーバーをネットワーク接続する必要があります。Automation 360 Control Room は、CyberArk Central Credential Provider (CCP) API を介して CyberArk Password Vault に接続されており、オンプレミス デプロイまたはクラウド デプロイの両方に対応します。

CyberArk CCP API の構成

注: CCP API を使用するために追加のライセンスは必要ありません。

CCP API を利用するためには、次の必須パラメーターを設定する必要があります。

  • Automation 360 v.20 (オンプレミス デプロイでのみブートストラップ資格情報をサポート)
  • Automation 360 v.21 以降 (オンプレミス デプロイのすべてのブートストラップおよびシステム使用事例、自動ログイン、オンプレミス デプロイおよび クラウド デプロイのオートメーション資格証明をサポート)
  • Control Room キー Vault には、次の接続の詳細が含まれています。
    • CCP API Vault 接続 URL - 例: https://<host:port>/AIMWebService/api/Accounts?
    • CCP API AppID – CyberArk AIM サーバーにアプリケーション ID (AppID) を設定する必要があります。次に例を示します。AACompanyControlRoom1。

      」を参照してください。

    • X.509 クライアント証明書とそのプライベート キーは、Automation 360 Control Room に発行され

      (Control Room 完全修飾ドメイン名は証明書の [件名:] フィールドにあります)、CyberArk AIM サーバーで認証のために構成されます。例: c:\PATH\aaeCyberArkCertificate.p12

      注: .p12 形式が必要です。

CyberArk 資格情報の用語と識別子を確認する

CyberArk と Automation Anywhere は、資格情報を説明し、識別するために異なる用語を使用しています。

説明 CyberArk Automation Anywhere
資格情報が保存される場所 オブジェクト 資格情報
キー Vault のプライマリ パーティション safe (オブジェクトを含む) ロッカー (資格情報を含む)
  • CyberArk 資格情報はオブジェクトに格納され、各オブジェクトは Safe に収納されています。

    1 つの CyberArk インスタンスは複数の Safe を持つことができ、各 Safe はユーザーに対してアクセス制御を行うことができます。

  • Automation Anywhere の資格情報はロッカーに格納され、各ロッカーControl Room ユーザーに対してアクセス制御を行うことができます。

CyberArk は、Safe 名とオブジェクト名で資格情報を識別します。CCP API は CyberArk Safe 名と CyberArk オブジェクト名を使用して CyberArk Password Vault 内の資格情報にアクセスします (資格情報は CyberArk に存在する必要があります)。

次に、CCP API の呼び出しとそれに対応する応答のコード例を示します。

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

レスポンス

{
       "Content":"",
       "PolicyID":"CyberArk",
       "CreationMethod":"PVWA",
       "Folder":"Root",
       "Address":"address tbd",
       "Name":"Application-CyberArk-address tbd-vb",
       "Safe":"aa_vb_safe",
       "DeviceType":"Application",
       "UserName":"vb",
       "PasswordChangeInProcess":"False"
}

資格情報値やシークレット (パスワードなど) は Content 属性に格納され、ユーザー ID (vb などの Control Room ユーザー名) は、UserName 属性に格納されます。

CyberArk アプリケーション ID の定義

Automation 360 は、CyberArk Central Credential Provider (CCP) API を介して CyberArk Password Vault と統合しています。アプリケーション ID (AppID) は必須の設定パラメーターです。

CyberArk 管理者として、CyberArk Password Vault Web Access (PVWA) インターフェースを使用して、指定された手順に従ってアプリケーション ID を定義し、CyberArk AIM サーバーと Control Room の統合を準備することができます。「CyberArk Password Vault Web Access」を参照してください。

  1. CyberArk プラットフォームでアプリケーションの管理を許可されたユーザーとしてログインする必要があります (Manage Users 認証が必要)。
  2. [アプリケーション] タブから、[アプリケーションを追加] をクリックします。
  3. [アプリケーションを追加] パネルに、次の情報を入力します。
    オプション アクション
    名前 アプリケーションの一意の名前 (ID) を指定します。

    Control Room 名や関数などに基づいた名前を使用することをお勧めします。AACompanyControlRoom1
    説明 識別しやすくするために、アプリケーションの簡単な説明を入力します。
    事業主 アプリケーションの事業主の連絡先を入力します。
    場所 Vault の階層内のアプリケーションの場所を選択します。

    場所を選択しない場合、このアプリケーションを作成するユーザーと同じ場所にアプリケーションが追加されます。
  4. [追加] をクリックして、新しいアプリケーションを追加すると、そのアプリケーションは [アプリケーションの詳細] ページに表示されます。
  5. [アプリケーションの詳細] ページで [拡張認証の制限を許可する] チェックボックスを選択すると、1 つのアプリケーションに対して、マシンと Windows ドメイン OS のユーザーを無制限に指定できます。
  6. [認証] タブで、[追加] をクリックして、新しいアプリケーションに詳細を追加します。

    使用可能な認証特性のリストが表示されます。資格情報プロバイダーはこの認証特性を使用して、アプリケーション パスワードを取得する前に検証を実施します。

    資格情報プロバイダーの認証特性

  7. 任意: [OS ユーザー] を選択し、アプリケーションを実行するユーザー名を入力し、[追加] をクリックして OS ユーザーを [認証] タブのユーザー リストに追加します。
  8. [証明書シリアル番号] を選択し、Control Room クライアント証明書のシリアル番号を入力し [追加] をクリックします。
  9. (Automation 360 推奨): [許可されたマシン] タブで、[追加] をクリックし、IP/ホスト名/DNS アドレスを指定します。これにより、アプリケーションの実行とパスワードのリクエストが許可されます。

    CyberArk AIM はこのアドレスを使用して、指定されたマシンから実行されるアプリケーションのみがパスワードにアクセスできるようにします。

  10. [追加] をクリックして、許可されたマシンのリストに IP アドレスを追加します。

CyberArk Password Vault でアカウントをプロビジョニングする

アプリケーションが機能する前に、既存のユーザー アカウント、または CyberArk Password Vault でプロビジョニングする新しいユーザー アカウントへのアクセス権をアプリケーションに付与する必要があります。

パスワード Safe を使用して、アプリケーションで必要な特権ユーザー アカウントをプロビジョニングします。次のいずれかの方法を使用して、アカウントをプロビジョニングすることができます。

  • 手動: 手動でアカウントを 1 つずつ追加し、すべてのアカウントの詳細を指定します。
  • 自動: パスワード アップロード機能を使用して、複数のアカウントを自動的に追加することができます。アカウントを自動で追加するには、パスワード Safe で [アカウントを追加] 機能を認証している必要があります。

権限アカウントの追加と管理について詳しくは、「Privileged Access Manager - Self-Hosted」を参照してください。

アプリケーションとパスワード プロバイダーへのアクセス権の設定

CyberArk によってユーザー アカウントがプロビジョニングされた後、アプリケーションと、アプリケーションを提供している CyberArk アプリケーション パスワード プロバイダーの両方へのアクセスを設定する必要があります。

Central Credential Provider がインストールされている場所から、プロバイダー ユーザーとアプリケーション ユーザーを Password Safe (アプリケーション パスワードが保存される場所) のメンバーとして追加します。次のいずれかの方法で、ユーザーを追加することができます。

  • [Safe] タブから手動で追加する
  • 複数のアプリケーションを追加する場合に、CSV ファイルに Safe 名を指定して追加する

ユーザーを Safe メンバーとして追加するには、[Safe メンバーの追加] ダイアログ ボックスで、これらのアクセス権限を選択した状態でプロバイダーを Safe メンバーとして追加し、[追加] をクリックします。

  • アカウントを取得 (アクセス)
  • アカウントをリスト (アクセス)
  • Safe メンバーを表示 (監視)

CyberArk による Safe メンバーの追加

注: CyberArk Password Vault 統合のために複数のプロバイダーをインストールする場合、最初にプロバイダー用のグループを作成し、そのグループを選択した同じアクセス権限で Safe に追加することをお勧めします。

アプリケーション (AppID) を Safe メンバーとして追加するには、次の手順を実行します。

  1. [Safe メンバーの追加] ダイアログ ボックスから、アクセス権限として [アカウントを取得 (アクセス)] を選択した状態で、(AppID) を Safe メンバーとして追加します。
  2. [追加] をクリックします。

Safe がオブジェクト レベルのアクセスに設定されている場合、プロバイダー ユーザーとアプリケーションの両方が取得するパスワードにアクセスできることを確認します。権限アカウントの追加と管理について詳しくは、「Privileged Access Manager - Self-Hosted」を参照してください。