Casos de uso da recuperação de credenciais Azure

Você pode recuperar as credenciais Azure para estes casos de uso: bootstrap, sistema, login automático e automatizações.

Recuperar credenciais de bootstrap da Control Room

Nota: Este caso de uso se aplica somente a implantações No local.

A Control Room do Automation 360 usa credenciais bootstrap para acessar serviços de apoio, como banco de dados, conta de serviços, e Active Directory (AD). Você configura estas credenciais durante a instalação ou pós-instalação do No local (usando o utilitário de cofre de chaves) ao especificar o nome do objeto.

A seguinte imagem mostra o processo de recuperação das credenciais bootstrap do Control Room com o Azure:

Recuperação de credenciais bootstrap do Control Room do Azure

Quando necessário durante a sequência de inicialização ou operações normais (como a atualização de uma autenticação de serviço), o Control Room utiliza a conexão do cofre de chave para recuperar a credencial e realizar a autenticação necessária.

Nota: Você deve selecionar a Autenticação do Microsoft SQL Server para este caso de uso. Outros métodos de autenticação de banco de dados não têm suporte no bootstrap.

Recuperar credenciais do sistema da Control Room

Nota: Este caso de uso se aplica somente a implantações No local, e você pode configurar a conta de serviço somente durante a instalação inicial.

Se você configurou um cofre de chaves externo durante a instalação inicial, poderá usar a interface do usuário do Automation 360 (pós-instalação) para configurar as credenciais SMTP e AD (Active Directory).

  1. Faça login na Automation 360 Control Room como Administrador.
  2. Em Control Room, navegue até: Administração > Configurações > Configurações de e-mail.
  3. Você pode mapear a credencial da conta primária do AD do cofre de chaves externo, configurar credenciais externas ou definir para manual (modos de chave de recuperação de credenciais da conta primária do AD).

Recuperar credenciais de login automático

Nota: Este caso de uso se aplica a ambas as implantações No local e Nuvem.

As credenciais de login automático são usadas para autenticar a um dispositivo Automation 360 Agente de bot e iniciar uma sessão ativa do Windows. A RPA (Robotic Process Automation, automação robótica de processos) requer uma sessão ativa do Windows para funcionar. O login automático ocorre antes da automação em execução quando as automatizações são lançadas de um dispositivo Agente de bot.

A seguinte imagem mostra o processo de recuperação das credenciais de login automático com o Azure:

O Azure recupera credenciais de login automático

O administrador do Control Room pode lançar manualmente ou agendar um trabalho para lançar uma automação em um dispositivo Agente de bot especificando os seguintes detalhes:

  • Nome da automação (bot)
  • Nome do dispositivo
  • Contexto do usuário

O sistema realiza o login automático no dispositivo especificado com o nome de usuário e senha associados ao contexto do usuário, e então executa a automação no dispositivo.

Você deve ter um segredo para cada usuário da Control Room para quem as credenciais de login automático serão recuperadas do cofre de chaves externo, e o nome secreto no cofre de chaves Azure deve combinar o nome de usuário da Control Room.

Para configurar a recuperação das credenciais de login automático do cofre de chaves externo, execute estas etapas:

  1. Faça login na Automation 360 Control Room como Administrador.
  2. No Control Room, vá para Administração > Configurações > Dispositivos.
  3. Vá até a seção de configurações de login automático e clique em Editar.
  4. Se você configurou anteriormente o cofre de chaves Azure como a conexão externa do cofre de chaves externo, clique em Habilitado para recuperar as credenciais de login automático do cofre de chaves externo.

    Se essa opção estiver desabilitada, a conexão externa do cofre de chaves não foi configurada.

    Nota: Se você desativar o login automático do cofre de chaves externo, as credenciais serão recuperadas usando o Credential Vault do AAI e suas credenciais armazenadas.
  5. O cofre de chaves Azure tem um espaço de nome plano sem nenhum container organizacional, portanto não é necessário inserir um nome Seguro. Clique em Salvar alterações.

Se for bem-sucedido, a mensagem de login automático salva é exibida.

Convenções de nomenclatura de login automático

O Control Room recupera as credenciais de login automático com base na convenção de nomenclatura de objetos dentro do cofre chave externo. A Control Room procura por um objeto onde o nome do objeto (o nome da credencial no cofre de chave externo) corresponda ao nome de usuário da Control Room para o qual está realizando o login automático.

O prefixo autologin_ é exigido como parte da convenção de nomenclatura para credenciais de login automático para todos os cofres chave externos: CyberArk, AWS e Azure. O nome da credencial de login automático no cofre de chave externo deve conter autologin_ seguido do nome de usuário da Control Room. Em alguns casos, certos cofres chave têm restrições sobre os caracteres que podem ser usados nos nomes dos objetos credenciados. Além disso, para apoiar como diferentes casos de uso codificam as credenciais, Automation 360 exige que certos caracteres sejam reservados ou codificados.

A tabela a seguir lista exemplos das convenções de nomenclatura de objetos esperados na Control Room:

nome de usuário da Control Room Formato esperado do nome do objeto
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
Nota: Para clientes No local que utilizam autenticação AD, você deve formatar nomes de usuário de login automático usando o formato UPN ou o sufixo domínio\nome de usuário.

Para credenciais de login automático, tenha isto em mente:

  • O nome do objeto no cofre de chave externo deve conter autologin_ como um prefixo.
  • Os nomes das credenciais de login automático devem ser mapeados para o nome de usuário da Control Room (login ID) para a credencial que está sendo recuperada.

    Alguns cofres chave externos têm restrições de uso de certos caracteres, tais como barra invertida (\) e ampersand (@) no nome secreto (nome do objeto), e restrições sobre como caracteres especiais são interpretados dentro das chamadas API. Se o ID do usuário contém caracteres especiais, então você deve codificar o nome secreto (nome do objeto) no cofre de chaves externo usando as substituições de caracteres de código ASCII, conforme listado na tabela a seguir.

Este caractere Mudanças neste código ASCII substituição de caracteres
\ (barra invertida) --
- (traço) -2d-
_ (sublinhado) -5f-
@ (arroba) -40-
. (ponto final) -2e-
Nota: Exceto pela barra invertida sendo mapeada para traços duplos, o traço, o ponto, o sublinhado e o amperímetro são mapeados usando seu código ASCII entre parênteses em traços.

Exemplo de credencial de login automático Azure

Para este exemplo de recuperação de credenciais de login automático, considere um usuário do Control Room que deseja implantar um bot em um dispositivo como um usuário específico. Este exemplo utiliza os seguintes detalhes:

  • O nome da automação (bot) é executado em um dispositivo = ProcureToPayGeoEast
  • Nome do dispositivo do agente = WinVDI1138
  • Contexto de usuário do agente = rpauserCR1@abcd.com

A seguinte imagem mostra um exemplo de recuperação de credenciais de login automático com o Azure:

Exemplo de credencial de login automático Azure

Antes de iniciar a automação, certifique-se do seguinte:

  1. Os detalhes da conexão do Control Room foram configurados com sucesso, e o Control Room utiliza esses detalhes de conexão para se conectar ao Azure e realizar a autenticação.
  2. O Control Room consulta o dispositivo Agente de bot em execução no dispositivo WinVDI1138 para verificar se há uma sessão ativa do Windows (sistema operacional) atualmente no dispositivo WinVDI1138 e se essa sessão pertence ao usuário Agente rpauserCR1.

    Se houver uma sessão existente sobre o dispositivo para o usuário rpauserCR1 não haverá necessidade de realizar o login automático e o bot continuará com a implantação.

  3. Entretanto, se não houver uma sessão ativa ou se houver uma sessão ativa que não pertença a rpauserCR1, então o Control Room recuperará a credencial de login automático do cofre de chaves do Azure.
  4. O Control Room passa a credencial (senha) para o Agente de bot. O Agente de bot realiza um login no Windows no dispositivo WinVDI1138 como rpauserCR1 (primeiro, desconecta qualquer outra sessão de login de usuário) usando a credencial de login automático para rpauserCR1. Em seguida, a automação (Bot) ProcureToPayGeoEast começa a funcionar no dispositivo WinVDI1138 como rpauserCR1.

Recuperar credenciais de automação

Nota: Este caso de uso se aplica a ambas as implantações No local e Nuvem.

As credenciais de automação são variáveis utilizadas por desenvolvedores do bot dentro das ações de automação (bot) que definem e recuperam dados do armazenamento criptografado. A automação utiliza as credenciais para autenticar os aplicativos (por exemplo, aplicativo financeiro). As credenciais de automação são recuperadas pelo Automation 360 Agente de bot durante o tempo de execução.

A seguinte imagem mostra o processo de recuperação de credenciais de automação com o Azure:

Azure recuperando as credenciais de automação

As credenciais de automação recuperadas do cofre de chaves do Azure são mapeadas no Automation AnywhereCredential Vault. O Credential Vault dá suporte a esses dois tipos de credenciais de automação:

Credenciais do sistema
Credenciais nas quais o valor retornado pela variável da credencial é o mesmo para qualquer automação que utilize essa variável.
Credenciais definidas pelo usuário
Credenciais nas quais o valor retornado pela variável da credencial é distinto com base no contexto do usuário no qual a automação está sendo executada.

Tanto para as credenciais do sistema quanto para as credenciais definidas pelo usuário, o desenvolvedor do bot especifica a mesma variável de credencial dentro do código do bot. Então, o sistema determina qual credencial recuperar durante o tempo de execução do bot.

As credenciais definidas pelo usuário simplificam o desenvolvimento da automação, permitindo que os desenvolvedores do bot escrevam código usando uma única variável de credencial em que a plataforma RPA substitui o valor retornado durante o tempo de execução por um valor único e específico do usuário. Os desenvolvedores podem evitar escrever códigos duplicados com diferentes variáveis de credenciais específicas do usuário.

A imagem a seguir mostra a convenção de nomenclatura esperada para as credenciais Azure:

Credenciais esperadas do Azure

O diagrama mostra seis segredos no cofre de chaves Azure que podem ser mapeados para duas credenciais dentro do Control RoomCredential Vault

  • Object3
  • Object4

Por exemplo, você pode mapear um cofre na Control Room para prefixoID3 ou prefixoID4. Então, você mapeia o segredo para uma credencial. Para cada credencial, os segredos serão consumidos (recuperados pela Control Room) como uma credencial definida pelo sistema (sem postfix do nome de usuário) e duas credenciais definidas pelo usuário (uma para cada usuário da Control Room cujos nomes de usuário são User1ID1 e User1ID2).

Nota: Dentro do Credential Vault de Control Room o nome do cofre e o nome da credencial são arbitrários e locais para a Control Room. Você mapeia estes nomes para segredos específicos no cofre de chaves externo.

Dentro do cofre de chaves Azure, cada credencial de automação é armazenada com um nome que contém identificadores específicos incluindo: um prefixo, um identificador de objeto e um postfix opcional que identifica um nome de usuário. Esta é uma convenção de nomeação obrigatória que assegura a recuperação da credencial correta. O nome do segredo (a credencial) em cofre de chaves Azure codifica informações sobre o mapeamento dentro do Credential Vault Automation Anywhere.

Como administrador, para mapear uma Control Room ao cofre de chaves Azure, você cria e configura um cofre e uma credencial utilizando a opção de cofre de chave externa dentro do Crie um Cofre e recursos Criar Credencial na Control Room do Automation 360:

  • Você configura um cofre no Credential Vault para mapear para um prefixo de nome secreto Azure.
  • Você configura as credenciais no Credential Vault que mapeia para um identificador de objeto secreto Azure (postfix opcional para credencial definida pelo usuário).

Durante o tempo de execução, a plataforma RPA recupera o segredo que é nomeado com um sufixo que corresponde ao contexto do usuário (credencial definida pelo usuário) no qual a automação está sendo executada. Se não houver credencial definida pelo usuário, então a plataforma RPA recuperará o segredo sem um sufixo de nome de usuário (credencial do sistema).

Nota: Ao adicionar um atributo para uma credencial no arquivo Control Room, selecione Padrão ou Fornecido pelo usuário como o tipo de entrada para o atributo: o tipo de entrada correspondente será exibido para o atributo quando você visualizar a credencial. No entanto, ao buscar um atributo e o respectivo valor nos cofres de chaves externos, o tipo é fornecido pelo usuário e implica uma credencial gerenciada de modo externo.

A Control Room implementa controles de acesso às credenciais externas através de permissões dentro das funções. Você controla o acesso às credenciais, atribuindo diferentes usuários do Control Room a diferentes papeis e depois associando diferentes cofre a essas funções.

A imagem a seguir mostra o Credential Vault cofre da Control Room e credenciais mapeadas para um segredo Azure:

Credenciais mapeadas Azure para o cofre de credenciais
Importante: Ao criar uma credencial mapeada externamente, você deve colocar a credencial no mapeamento externo apropriado. cofre (o cofre é mapeado para o prefixo no nome secreto). O nome secreto Azure terá uma convenção de nomenclatura: Prefixo + Nome_Secreto_Corpo + sufixo (opcional para credenciais definidas pelo usuário).
Nota: As mesmas permissões e privilégios (atribuídos por meio de funções) no Control Room aplicam-se às credenciais mapeadas para o cofre de chaves externo.

Convenções de nomenclatura de automação

A tabela a seguir mostra exemplos de chaves externas cofres de senhas Azure utilizando convenções de nomenclatura para automação.

Nota: O Prefixo Azure mapeia o cofre para a Sala de controlee o Corpo Secreto Azure mapeia para a credencial do Sala de controle.
Exemplo de credencial de automação Prefixo Azure Corpo Secreto Azure Segredo no Azure Nome de usuário da Sala de controle

accounting_cv1

Credencial do sistema em cofre mapeado para o prefixo do nome secreto Azure contabilidade

contabilidade cv1 pdf-5f-cv1 (sistema) Nenhuma - credencial do sistema

accounting_cv1_ABCD\user123

Credencial definido pelo usuário no cofre mapeado para o prefixo Azure

contabilidade cv1 pdf-5f-cv1-5f-ABCD--user123 ABCD\user123

Ao distribuir as credenciais Azure, o caractere cofre de chaves Azure sublinhado (_) é um caractere reservado e não pode ser usado em nomes de credenciais. Você deve substituir qualquer uso sublinhado (_) pelo valor do código ASCII 5f entremeado por travessões:

Este caractere Mudanças neste código ASCII substituição de caracteres
\ (barra invertida) --
- (traço) -2d-
_ (sublinhado) -5f-
@ (arroba) -40-
. (ponto final) -2e-

Exemplo de recuperação de credenciais de automações do Azure

Para configurar a recuperação de credenciais de automação e integrá-las ao cofre de chaves Azure, você primeiro cria um cofre e depois cria as credenciais.

Nota: Se você quiser armazenar credenciais nos cofres de credenciais e cofres de chaves externos da Control Room, recomendamos que você execute o seguinte:
  • Crie cofres separados na Control Room para armazenar credenciais criadas nos cofres de credenciais da Control Room.
  • Crie cofres separados na Control Room para armazenar credenciais criadas em cofres de chaves externos.

A Control Room não oferece suporte ao armazenamento de credenciais dos cofres de credenciais e cofres de chaves externos da Control Room no mesmo cofre.

Para criar um cofre para integração com o cofre de chaves Azure, execute estas etapas:

  1. Em Automation 360 Control Room, navegue até Gerenciar > Credencial.

    Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.

  2. Em Credenciais selecione Criar um armário.
  3. Digite um nome para o cofre (por exemplo, Locker3).

    Este nome é local para a Control Room e não tem nenhuma dependência do nome secreto Azure.

  4. Clique em Cofre de Chaves Externo e insira o prefixo do nome secreto do Azure (por exemplo: prefixID3). Você deve nomear segredos dentro da cofre de chaves Azure usando o prefixo do nome para que a configuração do mapeamento seja concluída com sucesso.
  5. Clique em Avançar.
  6. Configure Proprietários, Gerentes, Participantes e Consumidores para o cofre.
  7. Clique em Criar cofre.

    Consulte Criar cofre.

O Control Room agora está pronto para recuperar credenciais e impor controles de acesso em todos os segredos do Azure com o prefixo prefixID3. Para continuar, você agora cria as credenciais.

Para criar uma credencial de integração com o cofre de chaves Azure, execute estas etapas:

  1. Em Automation 360 Control Room, navegue até Gerenciar > Credenciais.

    Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.

  2. Na guia Credenciais, selecione Criar credencial.
  3. Insira o nome da credencial no campo Nome da credencial.

    Este nome é local para a Control Room e não tem nenhuma dependência do nome secreto Azure.

  4. Clique em cofre de chaves externo abaixo do campo do nome.
  5. Na lista de cofres disponíveis, selecione o cofre apropriado que antes era mapeado para o prefixo do nome secreto para os segredos que você está mapeando agora para a credencial.
  6. Entre no Azure Secret_Name_Body no Nome secreto campo (por exemplo: Object3).
  7. Clique em Validar e recuperar atributos.

    O sistema valida o mapeamento tentando recuperar do Azure Key Vault um segredo com o nome Prefix_Secret_Name_Body_LoggedInUser (por exemplo: prefixID3_Object3_testuser1).

    Se a validação falhar, verifique os seguintes parâmetros:
    • Verifique se não existe nenhum segredo no Cofre de chaves Azure com o nome que corresponda à combinação de cofre (prefixo) e credencial (Secret_Name_Body). Neste exemplo, não há nenhum segredo no Azure Key Vault chamado prefixID3_Object3.
    • Verifique se não há caracteres especiais ou codificação no nome de usuário ou no nome secreto.

    Consulte: Convenções de nomenclatura do cofre de chaves externas.

    Quando o sistema recuperar o segredo com sucesso, ele exibirá os atributos secretos do cofre de chaves Azure (os campos dentro do segredo).

    Nota: O valor secreto deve estar no seguinte formato JSON:
    {    
    "username": "dummyUserName",    
    "password": "dummyPassword"
    }
  8. Na lista de atributos, selecione os atributos a serem mapeados para a credencial.
  9. Clique em Criar credencial.

    Se tiver êxito, então a credencial criada com sucesso será exibida.