Casos de uso de recuperação de credenciais do CyberArk

Você pode recuperar as credenciais do CyberArk para estes casos de uso: bootstrap, sistema, login automático e automatizações.

Recuperar credenciais de bootstrap do Control Room com o CyberArk

O Automation 360 Control Room usa credenciais bootstrap para acessar serviços de suporte, como banco de dados, conta de serviços e AD (Active Directory). Você configura estas credenciais durante a instalação ou pós-instalação do No local (usando o utilitário de cofre de chaves) ao especificar o nome seguro e o nome do objeto.

As seguintes imagens mostram o processo de recuperação das credenciais bootstrap do Control Room com o CyberArk:

Recuperação de credenciais bootstrap do Control Room do CyberArk

Quando necessário durante a sequência de inicialização ou operações normais (como a atualização de uma autenticação de serviço), o Control Room utiliza a conexão do cofre de chave para recuperar a credencial e realizar a autenticação necessária.

Nota: Você deve selecionar a Autenticação do Microsoft SQL Server para este caso de uso. Outros métodos de autenticação de banco de dados não têm suporte no bootstrap.

Recuperar credenciais de sistema do Control Room com o CyberArk

Nota: Você pode configurar a conta de serviço somente durante a instalação inicial.

Se você configurou um cofre de chaves externo durante a instalação inicial, poderá usar a interface do usuário do Automation 360 (pós-instalação) para configurar as credenciais SMTP e AD (Active Directory).

  1. Faça login na Automation 360 Control Room como Administrador.
  2. Em Control Room, navegue até: Administração > Configurações > Configurações de e-mail.
  3. Você pode mapear a credencial da conta primária do AD do cofre de chaves externo, configurar credenciais externas ou definir para manual (modos de chave de recuperação de credenciais da conta primária do AD).

Recuperar credenciais de login automático com o CyberArk

As credenciais de login automático são usadas para autenticar a um dispositivo Automation 360 Agente de bot e iniciar uma sessão ativa do Windows. A RPA (Robotic Process Automation, automação robótica de processos) requer uma sessão ativa do Windows para funcionar. O login automático ocorre antes da automação em execução quando as automatizações são lançadas de um dispositivo Agente de bot.
Nota:

Se o login automático estiver habilitado para Executores de bots não assistidos, todos os dispositivos de Bot Runner não assistidos usarão o login automático procurando as credenciais nos cofres de chaves externos configurados. Certifique-se de que as credenciais de todos os dispositivos de Bot Runner sejam criadas em cofres de chaves externos. Caso contrário, os dispositivos de Bot Runner encontrarão o erro Segredo não encontrado.

A seguinte imagem mostra o processo de recuperação das credenciais de login automático com o CyberArk:

O CyberArk recupera credenciais de login automático

O administrador do Control Room pode lançar manualmente ou agendar um trabalho para lançar uma automação em um dispositivo Agente de bot especificando os seguintes detalhes:

  • Nome da automação (bot)
  • Nome do dispositivo
  • Contexto do usuário

O sistema realiza o login automático no dispositivo especificado com o nome de usuário e senha associados ao contexto do usuário, e então executa a automação no dispositivo.

Para configurar a recuperação das credenciais de login automático do cofre de chaves externo, execute estas etapas:

Nota: Compreenda os requisitos da convenção de nomenclatura do cofre de chaves antes de fazer a integração do cofre de chaves CyberArk. Consulte Convenções de nomenclatura do cofre de chaves externas.
  1. Faça login na Automation 360 Control Room como Administrador com a permissão para visualizar e gerenciar configurações definida.
  2. No Control Room, vá para Administração > Configurações > Dispositivos.
  3. Vá até a seção de configurações de login automático e clique em Editar.
  4. Se você configurou anteriormente o CyberArk como a conexão externa do cofre de chaves externo, clique em Habilitado para recuperar as credenciais de login automático do cofre de chaves externo.

    Se essa opção estiver desabilitada, a conexão externa do cofre de chaves não foi configurada.

    Nota: Se você desativar o login automático do cofre de chaves externo, as credenciais serão recuperadas usando o Credential Vault do AAI e suas credenciais armazenadas.
  5. Digite o Nome seguro (por exemplo: AA_Auto-login_Safe).
    O nome seguro que você digita também é conhecido como o Cofre de credencial de login automático.
    Nota: Para formatos de nome seguro e nome de objeto, consulte Convenções de nomenclatura do cofre de chaves externas.
  6. Insira a propriedade definida para seu nome de usuário do CyberArk. Por exemplo, para configurar o nome de usuário no formato domain\username, é necessário inserir: $domain$\$username$, em que os valores para domínio e nome de usuário são recuperados a partir da resposta secreta do CyberArk.
  7. Para adicionar um cofre opcional, clique em Adicionar cofre opcional, digite o Nome seguro e, em seguida, selecione as funções. Você pode adicionar até 25 cofres.
  8. Clique em Salvar alterações.

    Se for bem-sucedido, a mensagem de logon automático salva será exibida com êxito.

Exemplo de credencial de login automático do CyberArk

Para este exemplo de recuperação de credenciais de login automático, considere um usuário do Control Room que deseja implantar um bot em um dispositivo como um usuário específico. Este exemplo utiliza os seguintes detalhes:

  • O nome da automação (bot) é executado em um dispositivo = ProcureToPayGeoEast
  • Nome do dispositivo do agente = WinVDI1138
  • Contexto de usuário do agente = roboticworker2112@automation.abcd.com

A seguinte imagem mostra um exemplo de recuperação de credenciais de login automático com o CyberArk:

Exemplo de credencial de login automático do CyberArk

Antes de iniciar a automação, certifique-se do seguinte:

  1. Os detalhes da conexão do Control Room foram configurados com sucesso, e o Control Room utiliza esses detalhes de conexão para se conectar ao CyberArk e realizar a autenticação.
  2. O Control Room consulta o dispositivo Agente de bot em execução no dispositivo WinVDI1138 para verificar se há uma sessão ativa do Windows (sistema operacional) atualmente no dispositivo WinVDI1138 e se essa sessão pertence ao usuário Agente robiticworker2112.

    Se houver uma sessão existente sobre o dispositivo para o usuário robiticworker2112 não haverá necessidade de realizar o login automático e o bot continuará com a implantação.

  3. Entretanto, se não houver uma sessão ativa ou se houver uma sessão ativa que não pertença a robiticworker2112, então o Control Room recuperará a credencial de login automático do cofre de senhas do CyberArk.
  4. O Control Room passa a credencial (senha) para o Agente de bot. O Agente de bot realiza um login no Windows no dispositivo WinVDI1138 como robiticworker2112 (primeiro, desconecta qualquer outra sessão de login de usuário) usando a credencial de login automático para robiticworker2112. Em seguida, a automação (Bot) ProcureToPayGeoEast começa a funcionar no dispositivo WinVDI1138 como robiticworker2112.

Recuperar credenciais de automação com o CyberArk

As credenciais de automação são variáveis utilizadas por desenvolvedores do bot dentro das ações de automação (bot) que definem e recuperam dados do armazenamento criptografado. A automação utiliza as credenciais para autenticar os aplicativos (por exemplo, aplicativo financeiro). As credenciais de automação são recuperadas pelo Automation 360 Agente de bot durante o tempo de execução. No CyberArk, um cofre é um armário, e um objeto é uma credencial.

A seguinte imagem mostra o processo de recuperação de credenciais de automação com o CyberArk:

CyberArk recuperando as credenciais de automação

As credenciais de automação recuperadas do cofre de senhas do CyberArk são mapeadas no Automation AnywhereCredential Vault. O Credential Vault dá suporte a esses dois tipos de credenciais de automação:

Credenciais do sistema
Credenciais nas quais o valor retornado pela variável da credencial é o mesmo para qualquer automação que utilize essa variável.
Credenciais definidas pelo usuário
Credenciais nas quais o valor retornado pela variável da credencial é distinto com base no contexto do usuário no qual a automação está sendo executada.

Tanto para as credenciais do sistema quanto para as credenciais definidas pelo usuário, o desenvolvedor do bot especifica a mesma variável de credencial dentro do código do bot. Então, o sistema determina qual credencial recuperar durante o tempo de execução do bot.

As credenciais definidas pelo usuário simplificam o desenvolvimento da automação, permitindo que os desenvolvedores do bot escrevam código usando uma única variável de credencial em que a plataforma RPA substitui o valor retornado durante o tempo de execução por um valor único e específico do usuário. Os desenvolvedores podem evitar escrever códigos duplicados com diferentes variáveis de credenciais específicas do usuário.

A seguinte imagem mostra a relação entre os objetos do Automation Anywhere Credential Vault e as credenciais do CyberArk para credenciais de sistema e credenciais definidas pelo usuário:

Automation Anywhere e credenciais mapeadas do CyberArk

  • O armário do Control Room (Locker1) é mapeado para o nome seguro do CyberArk (Safe1).
  • A credencial do sistema do Control Room (Credential1) é mapeada para o objeto do CyberArk (Object1).

Como administrador, você cria e configura um cofre e credenciais usando o recurso de cofre externo de chave no Automation 360 Control Room. No Control Room, um administrador mapeia o Automation Anywhere cofre (Locker1) para um nome seguro (Safe1) e mapeia a credencial (Credential1) para um nome de objeto (Object1). As credenciais disponíveis para os usuários do Control Room são determinadas pelo que é configurado no cofre de chaves externo (cofre de senhas do CyberArk).

Se você quiser usar credenciais definidas pelo usuário com a integração do CyberArk, então o administrador do CyberArk deverá criar objetos para cada credencial definida pelo usuário, nomeando esses objetos com o sufixo Control Room_nome do usuário. Durante o tempo de execução, a plataforma RPA recupera o nome do objeto que é nomeado com um sufixo que corresponde ao contexto do usuário (credencial definida pelo usuário) no qual a automação está sendo executada. Se não houver credencial definida pelo usuário, então a plataforma RPA recuperará o nome do objeto sem um sufixo de nome de usuário (e usará a credencial do sistema).

Nota: Você pode mapear qualquer cofre da Automation Anywhere a qualquer Nome seguro CyberArk. Entretanto, qualquer nome seguro que você use para mapear credenciais de automação deve ser distinto dos nomes seguros que você usa para login automático.

Como administrador, você pode usar os controles de acesso no Automation 360 Control Room para separar o acesso às credenciais, fornecendo aos usuários acesso a um cofre. Você controla o acesso às credenciais, atribuindo diferentes usuários do Control Room a diferentes papeis e depois associando diferentes cofres a essas funções. Ao mapear diferentes cofres do CyberArk a diferentes cofres, o acesso às credenciais nos cofres do CyberArk é mapeado e aplicado por meio dos controles de acesso no Control Room.

Nota: As mesmas permissões e privilégios (atribuídos por meio de funções) no Control Room aplicam-se às credenciais mapeadas para o cofre de chaves externo.

Exemplo de recuperação de credenciais de automações do CyberArk

Para configurar a recuperação de credenciais de automação e integrá-las ao cofre de senhas do CyberArk, você primeiro cria um cofre e depois cria as credenciais.

Nota: Se você quiser armazenar credenciais nos cofres de credenciais e cofres de chaves externos da Control Room, recomendamos que você execute o seguinte:
  • Crie cofres separados na Control Room para armazenar credenciais criadas nos cofres de credenciais da Control Room.
  • Crie cofres separados na Control Room para armazenar credenciais criadas em cofres de chaves externos.

A Control Room não oferece suporte ao armazenamento de credenciais dos cofres de credenciais e cofres de chaves externos da Control Room no mesmo cofre.

Para criar um cofre para integração com o cofre de senhas do CyberArk, execute estas etapas:

  1. Em Automation 360 Control Room, navegue até Gerenciar > Credencial.

    Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.

  2. Clique na guia Cofres.
  3. Clique em Criar cofre.
  4. Insira um nome para o cofre.

    Esse nome é local para o Control Room e não tem nenhuma dependência do nome seguro do CyberArk.

  5. Clique em Cofre de chaves externo e digite o nome seguro do CyberArk no campo Nome seguro (por exemplo: Finance_Safe).
    Nota: Para formatos de nome seguro e nome de objeto, consulte Convenções de nomenclatura do cofre de chaves externas.
  6. Clique em Avançar.
  7. Configure Proprietários, Gerentes, Participantes e Consumidores para o cofre.
  8. Clique em Criar cofre.

    Consulte Criar cofre.

O Control Room está agora pronto para recuperar credenciais e impor controles de acesso no cofre mapeado do CyberArk. Para continuar, você agora cria as credenciais.

Para criar uma credencial para integração com o cofre de senhas do CyberArk, execute estas etapas:

  1. Em Automation 360 Control Room, navegue até Gerenciar > Credenciais.

    Um usuário com permissões Gerenciar minhas credenciais e cofres está autorizado a criar credenciais.

  2. Na guia Credenciais, selecione Criar credencial.
  3. Insira o nome da credencial no campo Nome da credencial.

    Esse nome é local para o Control Room e não tem nenhuma dependência do nome seguro do CyberArk.

    Nota: Para formatos de nome seguro e nome de objeto, consulte Convenções de nomenclatura do cofre de chaves externas.
  4. Clique em cofre de chaves externo abaixo do campo do nome.
  5. Na lista de cofres disponíveis, selecione o cofre apropriado que antes era mapeado para o nome seguro para a credencial que você está mapeando agora para o objeto (credencial).
  6. Digite o nome do objeto do CyberArk no campo Nome do objeto.
  7. Clique em Validar e recuperar atributos.

    O sistema valida o mapeamento ao tentar recuperar do cofre de chaves do CyberArk a combinação de nome seguro (cofre) e nome do objeto (credencial). No nome seguro mapeado para o cofre, Automation 360 espera que os objetos utilizem as convenções de nomenclatura corretas. . Consulte Convenções de nomenclatura do cofre de chaves externas.

    Se a validação falhar, então não existe nenhum objeto no cofre de senhas do CyberArk com o nome que corresponde à combinação de nome seguro (cofre) e nome do objeto (credencial).

    Quando o sistema recuperar com sucesso os detalhes do objeto, ele exibirá os atributos do objeto do cofre de chaves do CyberArk (os campos dentro do segredo).

  8. Na lista de atributos, selecione os atributos a serem mapeados para a credencial.
  9. Clique em Criar credencial.

    Se tiver êxito, então a credencial criada com sucesso será exibida.