HashiCorp Vault 統合

Automation 360 を統合して、HashiCorp Vault から資格情報を取得できます。資格情報は、HashiCorp Vault に存在し、マネージ、ローテーション、同期を行うことができます。

注: HashiCorp のマークとロゴは、HashiCorp, Inc. の商標または登録商標であり、識別のみを目的として使用されています。

注: HashiCorp Vault との統合や HashiCorp API を使用するために、追加の Automation Anywhere ライセンスは必要ありません。

Control Room は、HashiCorp HTTP API を通して HashiCorp Vault と接続することで統合されます。

次の表は、様々なデプロイ タイプ別のサポートされる機能のリストです。

機能 クラウド オンプレミス
エージェント オートメーション資格情報 サポート対象 サポート対象
エージェント自動ログイン資格情報 サポート対象 サポート対象
ブートストラップ資格情報とシステム資格情報 サポート対象外 サポート対象

これらのデプロイのいずれかを使用して、Control RoomHashiCorp Vault を統合できます。

  • クラウド

    次の図は、クラウドのデプロイを示しています。この場合、Control Room は AAI Cloud 上でホストされています。HashiCorp クラウドのデプロイ

  • オンプレミス

    オンプレミスのデプロイの場合、次をデプロイします。

    • お客様の環境内のソフトウェアとしての Control Room
    • お客様の環境内の Bot エージェント (この場合、オートメーションが実行され、お客様のアプリケーションにアクセスできる環境)。
    注: また、インターネット経由で On-Premises Control RoomHashiCorp クラウドに接続することもできます。

HashiCorp オンプレミスのデプロイ

HashiCorp Vault の統合要件

  • HashiCorp サービスは、 Control Roomからアクセスできるようにする必要があります。
  • HashiCorp 外部キー Vault は、Cloud Control Room からネットワーク境界ファイアウォールのルールで到達可能である必要があります。外部ファイアウォール ルール構成の詳細については、「外部統合の Control Room IP アドレス」を参照してください。
  • Control Room の Vault を設定する際に使用する値であるため、HashiCorp Vault に次の値が設定されていることを確認します。HashiCorp でこれらの値を設定する方法については、「AppRole の認証方法」を参照してください。
    注: オンプレミスのデプロイでは、インストール時、またはインストール後にキー Vault ユーティリティで外部キー Vault の設定を行うことができます。詳細については、次のトピックを参照してください。
    フィールド名 説明
    Vault の URL HashiCorp Vault の URL を指定します。例: https://<host> または https://<host または IP>:<port>
    ロール ID 設定されている HashiCorp サーバーのロール ID を指定します。次に例を示します。675a50e7-cfe0-be76-e35f-49ec009731ea。「AppRole プル認証」を参照してください。
    ロール名 設定されている HashiCorp サーバーのロール名を指定します。次に例を示します。jenkins。「AppRole プル認証」を参照してください。
    シークレット ID 設定されている HashiCorp の シークレット ID を指定します。次に例を示します。ed0a642f-2acf-c2da-232f-1b21300d5f29。「AppRole プル認証」を参照してください。
    名前空間 (任意) 組織 (テナント) の名前空間を指定します。次に例を示します。teant1
    任意の認証 HashiCorp サーバー公開証明書を Control Room にアップロードします。証明書は PEM 形式 (.pem または .cer) である必要があります。次に例を示します。C:\John\certs\hashicorpserver.pem

HashiCorp Vault のインストール

HashiCorp Vault をインストールし、設定する必要があります。「HCP Vault クイック スタート」を参照してください。

HashiCorp Vault で AppRole を使用する

AppRole は、HashiCorp Vault でアプリケーションが Vault とやり取りするために使用する認証方法です。AppRole では、認証に次の値を使用します。

  • RoleID: AppRole の一意な識別子です。ロール ID は、アプリケーションの任意の数のインスタンスで使用できます。
  • SecretID: AppRole の認証に使用されるランダムに生成された値です。シークレット ID は、アプリケーションの単一インスタンスを対象とし、短期的に使用され、承認されたアプリケーションでのみ使用できます。
    重要: この値を共有することはお勧めしません。
  • ロール名: ロールは、ロール名で表示されます。
  • 名前空間: シークレットのグループを作成し、それらの名前空間にポリシーを適用することで、権限を持つシークレットにのみ各テナントがアクセスできるようにします。

AppRole の設定方法については、「AppRole の認証方法」を参照してください。

サーバー証明書のインポート

オンプレミス デプロイでは、個々のサーバー証明書をトラストストアにインポートすることができます。ただし、発行元の認証局 (CA) 証明書をインポートすることを推奨します。詳細については、「HTTPS 証明書、中間証明書、および CA 証明書のインポート」を参照してください。

  1. クライアント (Automation 360 Control Room) は、HashiCorp Vault (保護されたリソース) にリクエストを送信します。
  2. 次に、サーバーはクライアントに証明書を返送することで応答します。
  3. Control Room は、HashiCorp サーバーから送信された証明書を、Control Room トラストストアの公開部分に格納されている信頼済みのサーバー証明書情報と照合して検証することで確認します。
  4. クライアントとサーバーは、証明書が検証され次の要件を満たせば、保護されたリソースにアクセスできるようになります。
    • Control RoomHashiCorp サーバーで証明書を信頼している
    • 証明書の件名フィールドが呼び出しシステムの完全修飾ドメイン名 (DNS 名) と一致している
    • 証明書の有効期限が切れていない

HashiCorp HTTP API の構成要件

Control RoomHashiCorp サーバーの間でネットワークが接続されている必要があります。Control Room は、オンプレミスまたは クラウド のいずれのデプロイでも HashiCorp HTTP API を介して HashiCorp Vault と接続されます。

HashiCorp API を使用するは、次の必須パラメーターを設定する必要があります。

  • Vault の URL
  • ロール ID
  • ロール名
  • シークレット ID
  • 名前空間 (任意):
  • 任意の認証

HashiCorp 資格情報の用語と識別子を確認する

HashiCorpAutomation Anywhere は、資格情報を説明し、識別するために異なる用語を使用しています。

説明 HashiCorp Automation Anywhere
資格情報が保存される場所 シークレット 資格情報
  • HashiCorp の資格情報は、シークレットとして保存されます。
  • Automation Anywhere の資格情報はロッカーに格納され、各ロッカーControl Room ユーザーに対してアクセス制御を行うことができます。
データベース、サービス アカウント、SMTP、AD の認証情報の場合、キー Vault の秘密データは以下の形式を使用する必要があります.
  • ユーザー名: john
  • パスワード: 2zR%#sX#g
オートメーションの場合、キー Vault の秘密データは以下の形式を使用する必要があります。
  • E メール: john@email.com
  • パスコード: my-long-passcode

HashiCorp シークレット ID のローテーション

Control Room は、テナントの HashiCorp シークレット ID を積極的にローテーションするために、スケジュール設定済みジョブを実行します。このプロセスにより、キー Vault 資格情報を含むオートメーションが途切れることなく実行されるようになります。デフォルトでは、シークレット ID は 1 時間ごとにローテーションされます。シークレット ID は、シークレット ID の有効期限に基づいて変更されます。シークレット ID の 3 分の 2 の有効期限が切れた時点で、シークレット ID を変更することができます。

HashiCorp シークレット ID のローテーションに失敗した場合は、以下のクラウドまたはオンプレミスの手順を使用して、シークレット ID を手動で変更できます。