Casos de uso de recuperação de credenciais HashiCorp

Você pode recuperar credenciais HashiCorp para esses casos de uso: bootstrap, sistema, login automático e automações.

Recuperar credenciais de bootstrap da Control Room

Nota: Este caso de uso se aplica somente a implantações No local.

A Automation 360 do Control Room usa credenciais bootstrap para acessar serviços de apoio, como banco de dados, conta de serviços, e Active Directory (AD). Você configura essas credenciais durante a instalação inicial ou a pós-instalação do No local (usando o utilitário de cofre de chaves) ao especificar o nome do segredo.

A imagem a seguir mostra o processo de recuperação das credenciais bootstrap da Control Room com HashiCorp:

Recuperação de credenciais bootstrap da control-room do HashiCorp

Quando necessário durante a sequência de inicialização ou operações normais (como a atualização de uma autenticação de serviço), o Control Room utiliza a conexão do cofre de chave para recuperar a credencial e realizar a autenticação necessária.

Nota: Você deve selecionar a Autenticação do Microsoft SQL Server para este caso de uso. Outros métodos de autenticação de banco de dados não têm suporte no bootstrap.

Recuperar credenciais do sistema da Control Room

Nota: Este caso de uso se aplica somente a implantações No local, e você pode configurar a conta de serviço somente durante a instalação inicial.

Se você configurou um cofre de chaves externo durante a instalação inicial, poderá usar a interface do usuário do Automation 360 (pós-instalação) para configurar as credenciais SMTP e AD (Active Directory).

Para configurar SMTP:
  1. Faça login na Automation 360 Control Room como Administrador.
  2. Em Control Room, navegue até: Administração > Configurações > Configurações de e-mail.

Para configurar as credenciais do Active Directory:

  1. Faça login na Automation 360 Control Room como Administrador.
  2. Em Control Room, navegue até: Administração > Configurações > Configurações do Active Directory.
  3. Você pode mapear a credencial da conta primária do AD do cofre de chaves externo, configurar credenciais externas ou definir para manual (modos de chave de recuperação de credenciais da conta primária do AD).

Recuperar credenciais de login automático

Nota: Este caso de uso se aplica a ambas as implantações No local e Nuvem.

As credenciais de login automático são usadas para autenticar a um dispositivo Automation 360 Agente de bot e iniciar uma sessão ativa do Windows. A RPA (Robotic Process Automation, automação robótica de processos) requer uma sessão ativa do Windows para funcionar. O login automático ocorre antes da automação em execução quando as automatizações são lançadas de um dispositivo Agente de bot.

A imagem a seguir mostra o processo de recuperação das credenciais de login automático com HashiCorp:

O HashiCorp recupera credenciais de login automático

O administrador do Control Room pode lançar manualmente ou agendar um trabalho para lançar uma automação em um dispositivo Agente de bot especificando os seguintes detalhes:

  • Nome da automação (bot)
  • Nome do dispositivo
  • Contexto do usuário

O sistema realiza o login automático no dispositivo especificado com o nome de usuário e senha associados ao contexto do usuário, e então executa a automação no dispositivo.

Você deve ter um segredo para cada usuário da Control Room para quem as credenciais de login automático serão recuperadas do cofre de chaves externo, e o nome secreto no cofre HashiCorp deve combinar o nome de usuário da Control Room.

Para configurar a recuperação das credenciais de login automático do cofre de chaves externo, execute estas etapas:

  1. Faça login na Automation 360 Control Room como Administrador.
  2. Na Control Room, navegue para Administração > Configurações > Cofre de chaves externo > Login automático do dispositivo.
  3. Clique em Editar.
  4. Se você configurou anteriormente o cofre HashiCorp como a conexão do cofre de chaves externo, clique em Habilitado para recuperar as credenciais de login automático do cofre de chaves externo.

    Se essa opção estiver desabilitada, a conexão externa do cofre de chaves não foi configurada.

    Nota: Se você desativar o login automático do cofre de chaves externo, as credenciais serão recuperadas usando o Cofre de credenciais do AAI e suas credenciais armazenadas.
    Nota: Ao integrar o servidor do Automation 360 com um cofre de chaves externo para login automático, agora é possível configurar o mapeamento do nome de usuário e dos nomes dos objetos do cofre de chaves usando as configurações da Control Room, em vez de seguir as convenções de nomenclatura do Automation 360. Consulte Mapeamento de segredos personalizados.
  5. O cofre HashiCorp tem um espaço de nome plano sem containers organizacionais, portanto, não é necessário inserir um nome seguro. Clique em Salvar alterações.

Se for bem-sucedido, a mensagem de login automático salva é exibida.

Convenções de nomenclatura de login automático

A Control Room recupera as credenciais de login automático com base na convenção de nomenclatura de segredos no cofre de chave externo. A Control Room procura por um objeto onde o nome do segredo (nome da credencial no cofre de chave externo) corresponda ao nome de usuário da Control Room na qual está realizando o login automático.

O prefixo autologin_ é exigido como parte da convenção de nomenclatura para credenciais de login automático para todos os cofres chave externos: CyberArk, AWS, HashiCorp e Azure. O nome da credencial de login automático no cofre de chave externo deve conter autologin_ seguido do nome de usuário da Control Room. Em alguns casos, certos cofres de chave têm restrições de caracteres que podem ser usados nos nomes dos segredos da credencial. Além disso, para apoiar como diferentes casos de uso codificam as credenciais, Automation 360 exige que certos caracteres sejam reservados ou codificados.

A tabela a seguir lista exemplos das convenções de nomenclatura de segredos esperados na Control Room:

nome de usuário da Control Room Formato esperado do nome do segredo
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Nota: Para clientes No local que utilizam autenticação AD, você deve formatar nomes de usuário de login automático usando o formato UPN ou o sufixo domínio\nome de usuário.

Para credenciais de login automático, tenha isto em mente:

  • O nome do segredo no cofre de chave externo deve conter o prefixo autologin_.
  • Os nomes das credenciais de login automático devem ser mapeados para o nome de usuário da Control Room (login ID) para a credencial que está sendo recuperada.

    Alguns cofres de chave externos têm restrições de uso de alguns caracteres, como barra invertida (\) e arroba (@) no nome secreto, e restrições sobre como os caracteres especiais são interpretados nas chamadas API. Se o ID do usuário tiver caracteres especiais, você deve codificar o nome secreto no cofre de chaves externo usando as substituições de caracteres de código ASCII, conforme listado na tabela a seguir.

Este caractere Mudanças neste código ASCII substituição de caracteres
\ (barra invertida) --
- (traço) -2d-
_ (sublinhado) -5f-
@ (arroba) -40-
. (ponto final) -2e-
Nota: Exceto pela barra invertida sendo mapeada para traços duplos, o traço, o ponto, o sublinhado e o amperímetro são mapeados usando seu código ASCII entre parênteses em traços.

Exemplo de credencial de login automático HashiCorp

Para este exemplo de recuperação de credenciais de login automático, considere um usuário do Control Room que deseja implantar um bot em um dispositivo como um usuário específico. Este exemplo utiliza os seguintes detalhes:

  • O nome da automação (bot) é executado em um dispositivo = ProcureToPayGeoEast
  • Nome do dispositivo do agente = WinVDI1138
  • Contexto de usuário do agente = autologin-5f-rpauserCR1-40-abcd-2e-com

A imagem a seguir mostra um exemplo de recuperação de credenciais de login automático com o HashiCorp Vault: hashicorp_auto_login-credentials

Antes de iniciar a automação, certifique-se do seguinte:

  1. Os detalhes da conexão da Control Room foram configurados com sucesso, e a Control Room usa esses detalhes de conexão para se conectar ao HashiCorp e realizar a autenticação.
  2. O Control Room consulta o dispositivo Agente de bot em execução no dispositivo WinVDI1138 para verificar se há uma sessão ativa do Windows (sistema operacional) atualmente no dispositivo WinVDI1138 e se essa sessão pertence ao usuário Agente rpauserCR1.

    Se houver uma sessão existente sobre o dispositivo para o usuário rpauserCR1 não haverá necessidade de realizar o login automático e o bot continuará com a implantação.

  3. Entretanto, se não houver uma sessão ativa ou se houver uma sessão ativa que não pertença a rpauserCR1, então, a Control Room vai recuperar a credencial de login automático do cofre HashiCorp.
  4. O Control Room passa a credencial (senha) para o Agente de bot. O Agente de bot realiza um login no Windows no dispositivo WinVDI1138 como rpauserCR1 (primeiro, desconecta qualquer outra sessão de login de usuário) usando a credencial de login automático para rpauserCR1. Em seguida, a automação (Bot) ProcureToPayGeoEast começa a funcionar no dispositivo WinVDI1138 como rpauserCR1.

Recuperar credenciais de automação

Nota: Este caso de uso se aplica a ambas as implantações No local e Nuvem.

As credenciais de automação são variáveis utilizadas por desenvolvedores do bot dentro das ações de automação (bot) que definem e recuperam dados do armazenamento criptografado. A automação utiliza as credenciais para autenticar os aplicativos (por exemplo, aplicativo financeiro). As credenciais de automação são recuperadas pelo Automation 360 Agente de bot durante o tempo de execução.

A imagem a seguir mostra o processo de recuperação de credenciais de automação com HashiCorp:

hashicorp_retrieve_automation_credentials

As credenciais de automação recuperadas do cofre HashiCorp são mapeadas no Cofre de credenciais da Automation Anywhere. O Cofre de credenciais dá suporte a esses dois tipos de credenciais de automação:

Credenciais do sistema
Credenciais nas quais o valor retornado pela variável da credencial é o mesmo para qualquer automação que utilize essa variável.
Credenciais definidas pelo usuário
Credenciais nas quais o valor retornado pela variável da credencial é distinto com base no contexto do usuário no qual a automação está sendo executada.

Tanto para as credenciais do sistema quanto para as credenciais definidas pelo usuário, o desenvolvedor do bot especifica a mesma variável de credencial dentro do código do bot. Então, o sistema determina qual credencial recuperar durante o tempo de execução do bot.

As credenciais definidas pelo usuário simplificam o desenvolvimento da automação, permitindo que os desenvolvedores do bot escrevam código usando uma única variável de credencial em que a plataforma RPA substitui o valor retornado durante o tempo de execução por um valor único e específico do usuário. Os desenvolvedores podem evitar escrever códigos duplicados com diferentes variáveis de credenciais específicas do usuário.

A imagem a seguir mostra a convenção de nomenclatura esperada para as credenciais HashiCorp:

Credenciais esperadas do HashiCorp

O diagrama mostra seis segredos no cofre HashiCorp que podem ser mapeados para duas credenciais na Control Room do Cofre de credenciais

  • Object3
  • Object4

Por exemplo, você pode mapear um cofre na Control Room para prefixoID3 ou prefixoID4. Então, você mapeia o segredo para uma credencial. Para cada credencial, os segredos serão consumidos (recuperados pela Control Room) como uma credencial definida pelo sistema (sem postfix do nome de usuário) e duas credenciais definidas pelo usuário (uma para cada usuário da Control Room cujos nomes de usuário são User1ID1 e User1ID2).

Nota: Dentro do Control Room de Cofre de credenciais o nome do cofre e o nome da credencial são arbitrários e locais para a Control Room. Você mapeia estes nomes para segredos específicos no cofre de chaves externo.

No cofre HashiCorp, cada credencial de automação é armazenada com um nome que contém identificadores específicos, incluindo: um prefixo, um identificador de objeto e um postfix opcional que identifica um nome de usuário. Esta é uma convenção de nomeação obrigatória que assegura a recuperação da credencial correta. O nome do segredo (a credencial) no cofre HashiCorp codifica informações sobre o mapeamento no Cofre de credenciais da Automation Anywhere.

Como administrador, para mapear uma Control Room ao cofre HashiCorp, você cria e configura um cofre e uma credencial utilizando a opção de cofre de chave externo nos recursos Criar um cofre e Criar credencial na Control Room do Automation 360:

  • Você configura os cofres no Cofre de credenciais que fazem o mapeamento de um prefixo de nome do cofre HashiCorp.
  • Você configura as credenciais no Cofre de credenciais que fazem o mapeamento para um identificador de objeto do cofre HashiCorp (sufixo opcional para credencial definida pelo usuário).

Durante o tempo de execução, a plataforma RPA recupera o segredo que é nomeado com um sufixo que corresponde ao contexto do usuário (credencial definida pelo usuário) no qual a automação está sendo executada. Se não houver credencial definida pelo usuário, então a plataforma RPA recuperará o segredo sem um sufixo de nome de usuário (credencial do sistema).

A Control Room implementa controles de acesso às credenciais externas através de permissões dentro das funções. Você controla o acesso às credenciais, atribuindo diferentes usuários do Control Room a diferentes papeis e depois associando diferentes cofre a essas funções.

A imagem a seguir mostra a Control Room Cofre de credenciais cofre e as credenciais mapeadas para um cofre HashiCorp:

HashiCorpCredenciais mapeadas para o Cofre de credenciais

Importante: Ao criar uma credencial mapeada externamente, você deve colocar a credencial no mapeamento externo apropriado. cofre (o cofre é mapeado para o prefixo no nome secreto). O nome do cofre HashiCorp terá uma convenção de nomenclatura: Prefixo + Nome_Secreto_Corpo + sufixo (opcional para credenciais definidas pelo usuário).
Nota: As mesmas permissões e privilégios (atribuídos por meio de funções) no Control Room aplicam-se às credenciais mapeadas para o cofre de chaves externo.

Convenções de nomenclatura de automação

A tabela a seguir mostra exemplos de cofres de chaves externos HashiCorp utilizando convenções de nomenclatura para automação.

Nota: O prefixo HashiCorp faz o mapeamento do cofre para a Control Room e o cofre HashiCorp faz o mapeamento para a credencial da Control Room.
Exemplo de credencial de automação Prefixo HashiCorp Mecanismo de segredos de chave/valor HashiCorp Segredo em HashiCorp Nome de usuário da Control Room

accounting_pdf

Credencial do sistema no cofre mapeada para o prefixo do nome de segredos do cofre HashiCorp contabilidade

contabilidade pdf accounting_pdf (sistema) Nenhuma - credencial do sistema

accounting_pdf_ABCD--user123

Credencial definida pelo usuário no cofre mapeado para o prefixo Nome secreto HashiCorp contabilidade

contabilidade pdf accounting_pdf_ABCD--user123 ABCD\user123

Exemplo de recuperação de credenciais de automações do HashiCorp

Para configurar a recuperação de credenciais de automação e integrá-las ao cofre HashiCorp, você, primeiro, cria um cofre e depois cria as credenciais.

Nota: Se você quiser armazenar credenciais nos cofres de credenciais e cofres de chaves externos da Control Room, recomendamos que você execute o seguinte:
  • Crie cofres separados na Control Room para armazenar credenciais criadas nos cofres de credenciais da Control Room.
  • Crie cofres separados na Control Room para armazenar credenciais criadas em cofres de chaves externos.

A Control Room não oferece suporte ao armazenamento de credenciais dos cofres de credenciais e cofres de chaves externos da Control Room no mesmo cofre.

Para criar um cofre para integração com o cofre HashiCorp, execute estas etapas:

  1. Na Control Room do Automation 360, navegue até Gerenciar > Credencial.

    Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.

  2. Em Credenciais selecione Criar um armário.
  3. Digite um nome para o cofre (por exemplo, Locker3).

    Este nome é local da Control Room e não depende do nome secreto do cofre HashiCorp.

  4. Clique em Cofre de chaves externo e digite o prefixo do nome dos segredos do cofre HashiCorp (por exemplo: prefixID3). Você deve nomear segredos no cofre HashiCorp usando o prefixo de nome para que a configuração do mapeamento seja concluída com sucesso.
  5. Clique em Avançar.
  6. Configure Proprietários, Gerentes, Participantes e Consumidores para o cofre.
  7. Clique em Criar cofre.

    Consulte Criar cofre.

Agora, a Control Room está pronta para recuperar credenciais e impor controles de acesso em todos os segredos HashiCorp com o prefixo prefixID3. Para continuar, você agora cria as credenciais.

Para criar uma credencial de integração com o cofre HashiCorp, execute estas etapas:

  1. Na Control Room do Automation 360, navegue até Gerenciar > Credenciais .

    Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.

  2. Na guia Credenciais, selecione Criar credencial.
  3. Insira o nome da credencial no campo Nome da credencial.

    Este nome é local da Control Room e não depende do nome dos segredos do cofre HashiCorp.

  4. Clique em cofre de chaves externo abaixo do campo do nome.
  5. Na lista de cofres disponíveis, selecione o cofre apropriado que antes era mapeado para o prefixo do nome secreto para os segredos que você está mapeando agora para a credencial.
  6. Insira Secret_Name_Body do HashiCorp no campo Nome secreto (por exemplo: Object3).
  7. Clique em Validar e recuperar atributos.

    O sistema valida o mapeamento ao tentar recuperar o segredo do cofre HashiCorp com o nome Prefix_Secret_Name_Body (por exemplo: prefixID3_Object3.

    Se a validação falhar, então, não existem segredos no cofre HashiCorp com o nome correspondente à combinação de cofre (prefixo) e credencial (Secret_Name_Body). Neste exemplo, não há segredos no cofre HashiCorp com o nome prefixID3_Object3.

    Quando o sistema recuperar o segredo com sucesso, ele exibirá os atributos de segredo do cofre HashiCorp (campos do segredo).

  8. Na lista de atributos, selecione os atributos a serem mapeados para a credencial.
  9. Clique em Criar credencial.

    Se tiver êxito, então a credencial criada com sucesso será exibida.