Casos de uso de recuperação de credenciais do AWS
- Atualizado: 2023/11/17
Casos de uso de recuperação de credenciais do AWS
Você pode recuperar as credenciais do AWS para estes casos de uso: bootstrap, sistema, login automático e automatizações.
Recuperar credenciais de bootstrap da Control Room
A Control Room do Automation 360 usa credenciais bootstrap para acessar serviços de apoio, como banco de dados, conta de serviços, e Active Directory (AD). Você configura estas credenciais durante a instalação ou pós-instalação do No local (usando o utilitário de cofre de chaves) ao especificar o nome do objeto.
As seguintes imagens mostram o processo de recuperação das credenciais bootstrap do Control Room com o AWS:
Quando necessário durante a sequência de inicialização ou operações normais (como a atualização de uma autenticação de serviço), o Control Room utiliza a conexão do cofre de chave para recuperar a credencial e realizar a autenticação necessária.
Recuperar credenciais do sistema da Control Room
Se você configurou um cofre de chaves externo durante a instalação inicial, poderá usar a interface do usuário do Automation 360 (pós-instalação) para configurar as credenciais SMTP e AD (Active Directory).
- Faça login na Automation 360 Control Room como Administrador.
- Em Control Room, navegue até: .
- Você pode mapear a credencial da conta primária do AD do cofre de chaves externo, configurar credenciais externas ou definir para manual (modos de chave de recuperação de credenciais da conta primária do AD).
Recuperar credenciais de login automático
As credenciais de login automático são usadas para autenticar a um dispositivo Automation 360 Agente de bot e iniciar uma sessão ativa do Windows. A RPA (Robotic Process Automation, automação robótica de processos) requer uma sessão ativa do Windows para funcionar. O login automático ocorre antes da automação em execução quando as automatizações são lançadas de um dispositivo Agente de bot.
A seguinte imagem mostra o processo de recuperação das credenciais de login automático com o AWS:
O administrador do Control Room pode lançar manualmente ou agendar um trabalho para lançar uma automação em um dispositivo Agente de bot especificando os seguintes detalhes:
- Nome da automação (bot)
- Nome do dispositivo
- Contexto do usuário
O sistema realiza o login automático no dispositivo especificado com o nome de usuário e senha associados ao contexto do usuário, e então executa a automação no dispositivo.
Você deve ter um segredo para cada usuário do Control Room para o qual as credenciais de login automático serão recuperadas do cofre de chaves externo, e o AWS Secrets Manager deve corresponder ao nome de usuário do Control Room.
Para configurar a recuperação das credenciais de login automático do cofre de chaves externo, execute estas etapas:
- Faça login na Automation 360 Control Room como Administrador.
- No Control Room, vá para .
- Vá até a seção de configurações de login automático e clique em Editar.
- Se você configurou anteriormente o AWS Secrets Manager como a conexão externa do cofre de chaves externo, clique em Habilitado para recuperar as credenciais de login automático do cofre de chaves externo.
Se essa opção estiver desabilitada, a conexão externa do cofre de chaves não foi configurada.
Nota: Se você desativar o login automático do cofre de chaves externo, as credenciais serão recuperadas usando o Credential Vault do AAI e suas credenciais armazenadas. - O AWS Secrets Manager tem um name space plano sem contêineres organizacionais, portanto, você não precisa inserir um nome seguro. Clique em Salvar alterações.
Se for bem-sucedido, a mensagem de login automático salva é exibida.
Convenções de nomenclatura de login automático
O Control Room recupera as credenciais de login automático com base na convenção de nomenclatura de objetos dentro do cofre chave externo. A Control Room procura por um objeto onde o nome do objeto (o nome da credencial no cofre de chave externo) corresponda ao nome de usuário da Control Room para o qual está realizando o login automático.
O prefixo autologin_ é exigido como parte da convenção de nomenclatura para credenciais de login automático para todos os cofres chave externos: CyberArk, AWS e Azure. O nome da credencial de login automático no cofre de chave externo deve conter autologin_ seguido do nome de usuário da Control Room. Em alguns casos, certos cofres chave têm restrições sobre os caracteres que podem ser usados nos nomes dos objetos credenciados. Além disso, para apoiar como diferentes casos de uso codificam as credenciais, Automation 360 exige que certos caracteres sejam reservados ou codificados.
A tabela a seguir lista exemplos das convenções de nomenclatura de objetos esperados na Control Room:
| nome de usuário da Control Room | Formato esperado do nome do objeto |
|---|---|
| ABCD\user123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | autologin_user123-40-rpa-2e-abcd-2e-com |
Para credenciais de login automático, tenha isto em mente:
- O nome do objeto no cofre de chave externo deve conter autologin_ como um prefixo.
- Os nomes das credenciais de login automático devem ser mapeados para o nome de usuário da Control Room (login ID) para a credencial que está sendo recuperada.
Alguns cofres chave externos têm restrições de uso de certos caracteres, tais como barra invertida (\) e ampersand (@) no nome secreto (nome do objeto), e restrições sobre como caracteres especiais são interpretados dentro das chamadas API. Se o ID do usuário contém caracteres especiais, então você deve codificar o nome secreto (nome do objeto) no cofre de chaves externo usando as substituições de caracteres de código ASCII, conforme listado na tabela a seguir.
| Este caractere | Mudanças neste código ASCII substituição de caracteres |
|---|---|
| \ (barra invertida) | -- |
| - (traço) | -2d- |
| _ (sublinhado) | -5f- |
| @ (arroba) | -40- |
| . (ponto final) | -2e- |
Exemplo de credencial de login automático do AWS
Para este exemplo de recuperação de credenciais de login automático, considere um usuário do Control Room que deseja implantar um bot em um dispositivo como um usuário específico. Este exemplo utiliza os seguintes detalhes:
- O nome da automação (bot) é executado em um dispositivo = ProcureToPayGeoEast
- Nome do dispositivo do agente = WinVDI1138
- Contexto de usuário do agente = rpauserCR1@abcd.com
A imagem a seguir mostra um exemplo de recuperação de credenciais de login automático com o AWS:
Antes de iniciar a automação, certifique-se do seguinte:
- Os detalhes da conexão do Control Room foram configurados com sucesso, e o Control Room utiliza esses detalhes de conexão para se conectar ao AWS e realizar a autenticação.
- O Control Room consulta o dispositivo Agente de bot em execução no dispositivo WinVDI1138 para verificar se há uma sessão ativa do Windows (sistema operacional) atualmente no dispositivo WinVDI1138 e se essa sessão pertence ao usuário Agente rpauserCR1.
Se houver uma sessão existente sobre o dispositivo para o usuário rpauserCR1 não haverá necessidade de realizar o login automático e o bot continuará com a implantação.
- Entretanto, se não houver uma sessão ativa ou se houver uma sessão ativa que não pertença a rpauserCR1, então o Control Room recuperará a credencial de login automático do AWS Secrets Manager.
- O Control Room passa a credencial (senha) para o Agente de bot. O Agente de bot realiza um login no Windows no dispositivo WinVDI1138 como rpauserCR1 (primeiro, desconecta qualquer outra sessão de login de usuário) usando a credencial de login automático para rpauserCR1. Em seguida, a automação (Bot) ProcureToPayGeoEast começa a funcionar no dispositivo WinVDI1138 como rpauserCR1.
Recuperar credenciais de automação
As credenciais de automação são variáveis utilizadas por desenvolvedores do bot dentro das ações de automação (bot) que definem e recuperam dados do armazenamento criptografado. A automação utiliza as credenciais para autenticar os aplicativos (por exemplo, aplicativo financeiro). As credenciais de automação são recuperadas pelo Automation 360 Agente de bot durante o tempo de execução.
A seguinte imagem mostra o processo de recuperação de credenciais de automação com o AWS:
As credenciais de automação recuperadas do AWS Secrets Manager são mapeadas no Automation AnywhereCredential Vault. O Credential Vault dá suporte a esses dois tipos de credenciais de automação:
- Credenciais do sistema
- Credenciais nas quais o valor retornado pela variável da credencial é o mesmo para qualquer automação que utilize essa variável.
- Credenciais definidas pelo usuário
- Credenciais nas quais o valor retornado pela variável da credencial é distinto com base no contexto do usuário no qual a automação está sendo executada.
Tanto para as credenciais do sistema quanto para as credenciais definidas pelo usuário, o desenvolvedor do bot especifica a mesma variável de credencial dentro do código do bot. Então, o sistema determina qual credencial recuperar durante o tempo de execução do bot.
As credenciais definidas pelo usuário simplificam o desenvolvimento da automação, permitindo que os desenvolvedores do bot escrevam código usando uma única variável de credencial em que a plataforma RPA substitui o valor retornado durante o tempo de execução por um valor único e específico do usuário. Os desenvolvedores podem evitar escrever códigos duplicados com diferentes variáveis de credenciais específicas do usuário.
A imagem a seguir mostra a convenção de nomenclatura esperada para as credenciais AWS:
O diagrama mostra seis segredos no cofre do AWS Secrets Manager que podem ser mapeados para duas credenciais dentro do Control RoomCredential Vault
- Object3
- Object4
Por exemplo, você pode mapear um cofre na Control Room para prefixoID3 ou prefixoID4. Então, você mapeia o segredo para uma credencial. Para cada credencial, os segredos serão consumidos (recuperados pela Control Room) como uma credencial definida pelo sistema (sem postfix do nome de usuário) e duas credenciais definidas pelo usuário (uma para cada usuário da Control Room cujos nomes de usuário são User1ID1 e User1ID2).
Dentro do cofre de AWS Secrets Manager, cada credencial de automação é armazenada com um nome que contém identificadores específicos incluindo: um prefixo, um identificador de objeto e um sufixo opcional que identifica um nome de usuário. Esta é uma convenção de nomeação obrigatória que assegura a recuperação da credencial correta. O nome do segredo (a credencial) em cofre de AWS Secrets Manager codifica informações sobre o mapeamento dentro do Credential Vault Automation Anywhere.
Como administrador, para mapear uma Control Room ao cofre de AWS Secrets Manager, você cria e configura um cofre e uma credencial utilizando a opção de cofre de chave externa dentro do Crie um cofre e recursos Criar Credencial na Control Room do Automation 360:
- Você configura um cofre no Credential Vault para mapear para um prefixo de nome AWS.
- Você configura as credenciais no Credential Vault que mapeia para um identificador de objeto secreto AWS (sufixo opcional para credencial definida pelo usuário).
Durante o tempo de execução, a plataforma RPA recupera o segredo que é nomeado com um sufixo que corresponde ao contexto do usuário (credencial definida pelo usuário) no qual a automação está sendo executada. Se não houver credencial definida pelo usuário, então a plataforma RPA recuperará o segredo sem um sufixo de nome de usuário (credencial do sistema).
A Control Room implementa controles de acesso às credenciais externas através de permissões dentro das funções. Você controla o acesso às credenciais, atribuindo diferentes usuários do Control Room a diferentes papeis e depois associando diferentes cofre a essas funções.
A imagem a seguir mostra o Control RoomCredential Vaultcofre e as credenciais mapeadas para um segredo AWS:
Convenções de nomenclatura de automação
A tabela a seguir mostra exemplos de cofres de chaves externas do AWS Secrets Manager usando convenções de nomenclatura para automação.
| Exemplo de credencial de automação | Prefixo AWS | Corpo secreto AWS | Segredo na AWS | Nome de usuário da Sala de controle |
|---|---|---|---|---|
|
accounting_pdf Credencial do sistema em cofre mapeado para o prefixo do Nome Secreto AWS contabilidade |
contabilidade | accounting_pdf (sistema) | Nenhuma - credencial do sistema | |
|
accounting_pdf_ABCD--user123 Credencial definida pelo usuário em cofre mapeado para o prefixo Nome secreto AWS contabilidade |
contabilidade | accounting_pdf_ABCD--user123 | ABCD\user123 |
Exemplo de recuperação de credenciais de automações do AWS
Para configurar a recuperação de credenciais de automação e integrá-las ao AWS Secrets Manager, você primeiro cria um cofre e depois cria as credenciais.
- Crie cofres separados na Control Room para armazenar credenciais criadas nos cofres de credenciais da Control Room.
- Crie cofres separados na Control Room para armazenar credenciais criadas em cofres de chaves externos.
A Control Room não oferece suporte ao armazenamento de credenciais dos cofres de credenciais e cofres de chaves externos da Control Room no mesmo cofre.
Para criar um cofre para integração com o AWS Secrets Manager, execute estas etapas:
- Em Automation 360 Control Room, navegue até .
Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.
- Em Credenciais selecione Criar um armário.
- Digite um nome para o cofre (por exemplo, Locker3).
Esse nome é local para o Control Room e não tem nenhuma dependência do nome seguro do AWS.
- Clique em Cofre de senhas externo e digite o prefixo do nome secreto da AWS (por exemplo: prefixID3). Você deve nomear segredos dentro da AWS Secrets Manager usando o prefixo do nome para que a configuração do mapeamento seja concluída com sucesso.
- Clique em Avançar.
- Configure Proprietários, Gerentes, Participantes e Consumidores para o cofre.
- Clique em Criar cofre.
Consulte Criar cofre.
O Control Room agora está pronto para recuperar credenciais e impor controles de acesso em todos os segredos do Azure com o prefixo prefixID3. Para continuar, você agora cria as credenciais.
Para criar uma credencial para integração com o AWS Secrets Manager, execute estas etapas:
- Em Automation 360 Control Room, navegue até .
Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.
- Na guia Credenciais, selecione Criar credencial.
- Insira o nome da credencial no campo Nome da credencial.
Esse nome é local para o Control Room e não tem nenhuma dependência do nome seguro do AWS.
- Clique em cofre de chaves externo abaixo do campo do nome.
- Na lista de cofres disponíveis, selecione o cofre apropriado que antes era mapeado para o prefixo do nome secreto para os segredos que você está mapeando agora para a credencial.
- Insira o Secret_Name_Body da AWS no campo Nome secreto (por exemplo: Object3).
- Clique em Validar e recuperar atributos.
O sistema valida o mapeamento ao tentar recuperar do AWS Secrets Manager um segredo com o nome Prefix_Secret_Name_Body (por exemplo: prefixID3_Object3.
Se a validação falhar, então não existe nenhum segredo no AWS Secrets Manager com o nome que corresponde com a combinação de cofre (prefixo) e credencial (Secret_Name_Body). Neste exemplo, não há nenhum segredo no AWS Secrets Manager chamado prefixID3_Object3.
Quando o sistema recuperar o segredo com sucesso, ele exibirá os atributos secretos do AWS Secrets Manager (os campos dentro do segredo).
- Na lista de atributos, selecione os atributos a serem mapeados para a credencial.
- Clique em Criar credencial.
Se tiver êxito, então a credencial criada com sucesso será exibida.