CyberArk 비밀번호 저장소 통합

Automation 360을 통합하여 CyberArk 비밀번호 저장소에서 자격증명을 검색할 수 있습니다. 자격증명은 그것의 관리, 교체 및 동기화가 실행되는 CyberArk 비밀번호 저장소 내에 상주하게 됩니다.

주: Apigee 마크 및 로고는 Google LLC의 상표 또는 등록 상표이며 식별 목적으로만 사용됩니다.

CyberArk CCP(Central Credential Provider) API를 통해 CyberArk 비밀번호 저장소에 연결하여 Automation 360 Control Room을 통합합니다. CyberArk 비밀번호 저장소와 통합하거나 CCP API를 사용하기 위해 추가 라이선스가 필요하지 않습니다.

주: IP 주소를 통해 CyberArk 비밀번호 저장소에 대한 액세스를 제어하는 것이 좋습니다.

다음 배포 중 하나를 사용하여 Automation 360을 CyberArk 비밀번호 저장소와 통합할 수 있습니다.

  • 클라우드
  • 온프레미스

다음 다이어그램은 Control Room이 AAI Cloud에서 호스팅되는 Automation 360 클라우드 배포를 보여줍니다.

CyberArk 클라우드 배포

온프레미스 배포의 경우 다음을 배포합니다.

  • 고객 환경 내 소프트웨어로서 Control Room.
  • 자동화를 통해 고객 애플리케이션을 실행하고 액세스하는 고객 환경 내 Bot 에이전트
중요사항: 클라우드 배포의 사용자 인터페이스를 통해서만 외부 키 저장소 연결 설정을 편집할 수 있습니다. 온프레미스 배포의 외부 키 저장소 설정은 설치 중 또는 설치 후 키 저장소 유틸리티를 통해서만 구성할 수 있습니다.

CyberArk 비밀번호 저장소 통합 요구 사항

CyberArk CCP(Central Credential Provider) 설치

CyberArk 서버에 CyberArk CCP(Central Credential Provider)를 설치하고 구성해야 합니다. CyberArk Central Credential Provider installation 항목을 참조하십시오.

X.509 Client 인증서 인증 방법 구현

X.509 Client 인증서는 클라이언트 시스템에서 원격 서버에 인증된 요청을 수행하는 데 사용하는 디지털 인증서의 한 유형에 속하며, 널리 인정되는 국제 X.509 PKI(공개 키 인프라) 표준을 사용하여 공개 키가 인증서에 포함된 사용자, 컴퓨터 또는 서비스 ID에 속하는지 확인합니다.

Automation 360 Control Room은 CyberArk CCP API에 연결할 때 인증 방법으로 Client 인증서를 사용합니다.

이 인증 방법은 매우 안전하며 시스템의 신뢰 저장소를 활용하여 Client 인증서, 서버 인증서 및 개인 키를 저장합니다. 신뢰 저장소는 운영 체제의 소프트웨어에서 제공하는 인증서 저장 위치이며, 여기에는 발급 인증 기관(CA)의 인증서가 포함되어 있습니다. 개별 서버 인증서를 신뢰 저장소로 가져올 수 있습니다. 그러나 발급 인증 기관(CA) 인증서를 가져오는 것이 더 효율적입니다.

다음 이미지는 인증서 기반 인증의 개요를 제공합니다.

인증서 기반 인증 방법

  1. 클라이언트(Automation 360Control Room)는 CyberArk AIM 서버(보호된 리소스)에 요청을 보냅니다.
  2. 그런 다음, 서버는 인증서를 클라이언트에 다시 보내 응답합니다.
  3. Automation 360 Control RoomControl Room 신뢰 저장소의 공개 부분에 저장된 신뢰할 수 있는 서버 인증 정보와 대조하여 검증함으로써 CyberArk AIM 서버에서 보낸 인증서를 확인합니다.
  4. 신뢰 저장소의 정보를 검증한 후 Automation 360 Control Room은 CyberArk AIM 서버로 인증서를 다시 보냅니다.
  5. 그런 다음 CyberArk AIM 서버는 AIM 서버 신뢰 저장소의 공개 부분에 저장된 신뢰할 수 있는 클라이언트 인증 정보에 대해 Automation 360 Control Room이 보낸 인증서를 검증합니다.

    Client 인증서(개인 키가 있는 인증서)는 일반적으로 비밀번호로 보호된 형식으로 배포되므로 인증서 파일(c:\PATH\aaeCyberArkCertificate.p12와 같은 .p12 형식을 사용)에는 패스프레이즈가 필요합니다.

  6. 인증서가 다음에 기반한 유효성 검사를 통과하면 양쪽 당사자(클라이언트와 서버)는 보호된 리소스에 액세스할 수 있습니다.
    • Control Room 인증서는 CyberArk AIM 서버에서 신뢰할 수 있어야 합니다.
    • Control Room은 CyberArk AIM 서버의 인증서를 신뢰해야 합니다.
    • 인증서의 제목 필드는 호출 시스템의 정규화된 도메인 이름(DNS 이름)과 일치합니다.
    • 인증서가 만료되지 않았습니다.
중요사항: 통합 계획 단계의 일부로 인증서 및 인증서 요청을 조정합니다. 통합 구성을 시작하기 전에 PKI(공개 키 인프라) 팀에서 인증서를 발급하도록 요청해야 합니다. 인증서 파일은 PKI 폴더에 저장되며 필요할 때 Control Room 패스프레이즈를 사용하여 액세스합니다. Control Room 패스프레이즈는 keyvault.properties 파일에 암호화되어 저장됩니다.

CyberArk CCP(Central Credential Provider) API 구성 요구 사항

Automation 360 Control Room과 CyberArk AIM 서버 간에 네트워크 연결이 있어야 합니다. Automation 360 Control Room온프레미스 또는 클라우드 배포 모두에 대해 CyberArk CCP(Central Credential Provider) API를 통해 CyberArk 비밀번호 저장소에 연결됩니다.

CyberArk CCP API 구성

주: CCP API를 사용하기 위해 추가 라이선스가 필요하지 않습니다.

CCP API를 사용하려면 다음 필수 매개변수를 설정해야 합니다.

  • Automation 360 v.20(온프레미스 배포 전용을 사용하여 부트스트랩 자격증명을 지원)
  • Automation 360 v.21 또는 이후 버전(온프레미스 배포에 대한 모든 부트스트랩 및 시스템 사용 사례, 자동 로그인 그리고 온프레미스클라우드 배포 모두에 대한 자동화 자격증명을 지원)
  • Control Room 키 저장소에는 다음과 같은 연결 세부 정보가 포함되어 있습니다.
    • CCP API 저장소 연결 URL – 예: https://<host:port>/AIMWebService/api/Accounts?
    • CCP API AppID – 애플리케이션 ID(AppID)로 CyberArk AIM 서버를 구성해야 합니다. 예시: AACompanyControlRoom1.

      CyberArk 비밀번호 저장소 통합 항목을 참조하십시오.

    • 개인 키가 Automation 360 Control Room에 발급된 X.509 Client 인증서

      (Control Room FQDN(정규화된 도메인 이름)은 인증서의 제목: 필드에 있으며) 인증을 위해 CyberArk AIM 서버로 구성됩니다. 예: c:\PATH\aaeCyberArkCertificate.p12

      주: .p12 형식이 필요합니다.

CyberArk 자격증명 용어 및 식별자 검토

CyberArk와 Automation Anywhere 는 자격증명을 설명하고 식별하기 위해 상이한 용어를 사용합니다.

설명 CyberArk Automation Anywhere
자격증명이 저장되는 위치 객체 자격증명
키 저장소의 기본 분할 금고(객체 포함) 로커(자격증명 포함)
  • CyberArk의 자격증명은 객체에 저장되고 각 객체는 금고에 포함됩니다.

    단일 CyberArk 인스턴스에는 여러 개의 금고가 존재할 수 있으며, 각 금고에는 사용자에 대한 액세스 제어 권한이 있습니다.

  • Automation Anywhere의 자격증명은 로커에 저장되며, 여기서 각 로커Control Room 사용자에 대한 액세스 제어 권한이 있습니다.

CyberArk는 금고 이름과 객체 이름으로 자격증명을 식별합니다. CCP API는 CyberArk 금고 이름과 CyberArk 객체 이름을 사용하여 CyberArk 비밀번호 저장소 내 자격증명에 액세스합니다(자격증명은 CyberArk에 있어야 함).

코드 샘플 CCP API 호출 및 그에 상응하는 응답은 다음과 같습니다.

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

응답

{
       "Content":"",
       "PolicyID":"CyberArk",
       "CreationMethod":"PVWA",
       "Folder":"Root",
       "Address":"address tbd",
       "Name":"Application-CyberArk-address tbd-vb",
       "Safe":"aa_vb_safe",
       "DeviceType":"Application",
       "UserName":"vb",
       "PasswordChangeInProcess":"False"
}

자격증명 값 또는 암호(예: 비밀번호)는 Content 속성에 저장되며 사용자 ID(Control Room 사용자 이름. 예를 들면, vb)는 UserName 속성에 저장됩니다.

CyberArk 애플리케이션 ID 정의

Automation 360은 CyberArk CCP(Central Credential Provider) API를 통해 CyberArk 비밀번호 저장소와 통합됩니다. 애플리케이션 ID(AppID)는 필수 구성 매개변수입니다.

CyberArk 관리자로서 CyberArk PVWA(비밀번호 저장소 웹 액세스) 인터페이스를 사용하여 지정된 절차에 따라 애플리케이션 ID를 정의하여 CyberArk AIM 서버를 Control Room과 통합할 준비를 합니다. CyberArk Password Vault Web Access 항목을 참조하십시오.

  1. CyberArk 플랫폼에서 애플리케이션을 관리할 수 있는 사용자로 로그인해야 합니다(사용자 관리 권한 필요).
  2. 애플리케이션 탭에서 애플리케이션 추가를 클릭합니다.
  3. 애플리케이션 추가 패널에서 다음 정보를 입력합니다.
    옵션 작업
    이름 애플리케이션의 고유 이름(ID)을 지정합니다.

    Control Room 이름 또는 함수를 기반으로 한 이름을 사용하는 것이 좋습니다. 예를 들면, AACompanyControlRoom1.

    설명 식별에 도움을 줄 목적으로 사용되는 짧은 애플리케이션 설명을 입력합니다.
    비즈니스 소유자 애플리케이션의 비즈니스 소유자에 관한 연락처 정보를 입력합니다.
    위치 저장소 계층에서 애플리케이션 위치를 선택합니다.

    위치를 선택하지 않으면 이 애플리케이션을 생성하는 사용자와 동일한 위치에 애플리케이션이 추가됩니다.

  4. 추가를 클릭하여 새 애플리케이션을 추가하고 애플리케이션 세부 정보 페이지에 표시합니다.
  5. 애플리케이션 세부 정보 페이지에서 확장 인증 제한 허용 확인란을 선택하여 단일 애플리케이션에 대해 컴퓨터 및 Windows 도메인 OS 사용자를 무제한으로 지정합니다.
  6. 인증 탭에서 추가를 클릭하여 새 애플리케이션에 세부 정보를 추가합니다.

    사용 가능한 인증 특성의 목록이 표시되며, 자격증명 공급자는 애플리케이션 비밀번호를 검색하기 전에 이 목록을 사용하여 확인 절차를 진행합니다.

    자격증명 공급자 인증 특성

  7. 선택 사항: OS 사용자를 선택하고 애플리케이션을 실행할 사용자의 이름을 입력한 다음, 추가를 클릭하여 인증 탭의 사용자 목록에 OS 사용자를 추가합니다.
  8. 인증서 일련 번호를 선택하고 Control Room Client 인증서의 인증서 일련 번호를 입력한 다음, 추가를 클릭합니다.
  9. (Automation 360 권장됨): 허용된 컴퓨터 탭에서 추가를 클릭하고 애플리케이션이 비밀번호를 실행하고 요청할 수 있는 IP/호스트 이름/DNS 주소를 지정합니다.

    CyberArk AIM은 지정된 컴퓨터에서 실행되는 애플리케이션만 비밀번호에 액세스할 수 있도록 이 주소를 사용합니다.

  10. 추가를 클릭하여 허용된 컴퓨터의 목록에 IP 주소를 추가합니다.

CyberArk 비밀번호 저장소에서 계정 프로비저닝

애플리케이션이 작동하기 전에 CyberArk 비밀번호 저장소에서 프로비저닝할 기존 사용자 계정 또는 새 사용자 계정에 애플리케이션 액세스 권한을 부여해야 합니다.

비밀번호 금고를 사용하여 애플리케이션에 필요한 권한 있는 사용자 계정을 프로비저닝합니다. 다음 방법 중 하나를 사용하여 계정을 프로비저닝할 수 있습니다.

  • 수동으로 여러 계정을 동시에 추가한 다음, 모든 계정 세부 정보를 지정합니다.
  • 비밀번호 업로드 기능을 사용하여 여러 계정을 자동으로 추가합니다. 자동으로 계정을 추가하려면 비밀번호 금고의 계정 추가 기능에 대한 권한이 있어야 합니다.

권한 있는 계정의 추가 및 관리에 관한 자세한 내용은 Privileged Access Manager - Self-Hosted를 참조하십시오.

애플리케이션 및 비밀번호 공급자에 대한 액세스 설정

CyberArk에서 사용자 계정을 프로비저닝한 후에는 애플리케이션과 애플리케이션을 제공하는 CyberArk 애플리케이션 비밀번호 공급자 모두에 대한 액세스를 설정해야 합니다.

CCP(Central Credential Provider)가 설치된 위치에서 공급자 사용자 및 애플리케이션 사용자를 비밀번호 금고(애플리케이션 비밀번호가 저장된 위치)의 구성원으로 추가합니다. 다음 방법 중 하나를 사용하여 사용자를 추가할 수 있습니다.

  • 금고 탭에서 수동으로 추가
  • 여러 애플리케이션을 추가할 때 CSV 파일에 안전 이름을 지정하여 추가

사용자를 금고 구성원으로 추가하려면 금고 구성원 추가 대화 상자에서 이러한 액세스 권한이 선택된 금고 구성원으로서 공급자를 추가한 다음, 추가를 클릭합니다.

  • 계정 검색(액세스)
  • 계정 목록 열거(액세스)
  • 금고 구성원 보기(모니터링)

CyberArk 금고 구성원 추가

주: CyberArk 비밀번호 저장소 통합을 위해 여러 공급자를 설치할 때 먼저 해당 공급자를 위한 하나의 그룹을 만든 다음, 선택된 동일 액세스 권한을 사용하여 해당 그룹을 금고에 추가하는 것이 좋습니다.

애플리케이션(AppID)을 금고 구성원으로 추가하려면 다음 단계를 수행하십시오.

  1. 금고 구성원 추가 대화 상자에서 (AppID)를 액세스 권한으로 선택한 계정 검색(액세스)을 사용하여 금고 구성원으로 추가합니다.
  2. 추가를 클릭합니다.

금고가 객체 수준 액세스에 대해 구성된 경우, 공급자 사용자와 애플리케이션 모두 검색할 비밀번호에 액세스할 수 있는지 확인하십시오. 권한 있는 계정의 추가 및 관리에 관한 자세한 내용은 Privileged Access Manager - Self-Hosted를 참조하십시오.