Integração do cofre de senhas CyberArk

Você pode integrar o Automation 360 para recuperar as credenciais do cofre de senhas CyberArk. As credenciais se tornam residentes no cofre de senhas CyberArk, onde são gerenciadas, giradas e sincronizadas.

Nota: A marca e o logotipo CyberArk são marcas comerciais ou marcas registradas da CyberArk Software Ltd e são usadas apenas para fins de identificação.

Você integra a Control Room do Automation 360 conectando-o ao cofre de senhas CyberArk através das APIs do Provedor central de credenciais CyberArk (CCP). Nenhuma licença adicional é necessária para integrar o cofre de senhas CyberArk ou usar as APIs CCP.

Nota: Recomendamos que você controle o acesso ao cofre de senhas CyberArk por meio de um endereço IP.

Você pode integrar o Automation 360 com o cofre de senhas CyberArk utilizando qualquer uma destas implantações:

  • Nuvem
  • No local

O diagrama a seguir mostra uma implantação do Automação 360 em Nuvem onde a Control Room é hospedada na Nuvem AAI:

Implantação da nuvem CyberArk

Para implantações No local, você implanta o seguinte:

  • Control Room como software dentro do ambiente do cliente.
  • Bot agent dentro do ambiente do cliente, onde as automações executam e acessam os aplicativos do cliente.
Importante: Você pode editar as configurações de conexão do cofre de chaves externo por meio da interface do usuário apenas em implantações de Nuvem. As configurações externas do cofre de chaves em implantações No local são configuráveis​apenas durante a instalação ou com a pós-instalação do utilitário de cofre de chaves.

Requisitos de integração do cofre de senhas CyberArk

Instalar o Provedor central de credenciais CyberArk

Você deve instalar e configurar o Provedor central de credenciais CyberArk no servidor CyberArk. Consulte Instalação do provedor de credenciais CyberArk Central.

Implementar o método de autenticação do certificado de cliente X.509

Um certificado de cliente X.509 é um tipo de certificado digital usado por sistemas clientes para fazer solicitações autenticadas a um servidor remoto e usa o padrão internacional de infraestrutura de chave pública (PKI) X.509 amplamente aceito para verificar se uma chave pública pertence ao usuário, computador ou identidade de serviço contida no certificado.

A Control Room do Automation 360 usa um certificado de cliente como método de autenticação ao se conectar às APIs do CyberArk CCP.

Esse método de autenticação é altamente seguro e aproveita o armazenamento confiável do sistema para armazenar o certificado do cliente, o certificado do servidor e a chave privada. O armazenamento confiável é um local de armazenamento de certificados fornecido pelo software do sistema operacional e contém o certificado da Autoridade de Certificação (CA) emissora. Você pode importar certificados de servidor individuais para o armazenamento confiável. No entanto, é mais eficiente importar o certificado da Autoridade de Certificação (CA) emissora.

A imagem a seguir fornece uma visão geral da autenticação baseada em certificado:

Método de autenticação baseado em certificado

  1. O cliente (Control Room do Automation 360) envia uma solicitação ao servidor CyberArk AIM (recurso protegido).
  2. O servidor então responde enviando um certificado de volta ao cliente.
  3. A Control Room do Automation 360 verifica o certificado enviado pelo servidor CyberArk AIM validando-o em relação às informações de certificação do servidor confiável armazenadas na parte pública da Control Room de armazenamento confiável.
  4. Depois de validar as informações no armazenamento confiável, a Control Room do Automation 360 reenvia o certificado de volta para o servidor CyberArk AIM.
  5. O servidor CyberArk AIM valida então o certificado enviado pela Control Room do Automation 360 em relação às informações de certificação do cliente confiável armazenadas na parte pública do armazenamento confiável do servidor AIM

    Como os certificados de cliente (aqueles com sua chave privada) geralmente são distribuídos em formato protegido por senha, o arquivo de certificado (usando o formato .p12, como: c:\PATH\aaeCyberArkCertificate.p12) requer uma senha.

  6. Ambas as partes (cliente e servidor) obtêm acesso aos recursos protegidos se os certificados passarem na validação com base no seguinte:
    • O certificado da Control Room deve ser confiável pelo servidor CyberArk AIM
    • A Control Room deve confiar no certificado no servidor CyberArk AIM
    • O campo Assunto no certificado corresponde ao nome de domínio totalmente qualificado do sistema chamador (nome DNS)
    • O certificado não expirou
Importante: Como parte da fase de planejamento de integração, coordene certificados e solicitações de certificados. Você terá que solicitar que os certificados sejam emitidos pela equipe de infraestrutura de chave pública (PKI) antes de iniciar a configuração da integração. Os arquivos de certificado são armazenados na pasta PKI e acessados com a senha da Control Room quando necessário. A senha da Control Room é armazenada criptografada no arquivo keyvault.properties.

Requisitos de configuração da API do provedor de credenciais do CyberArk Central

Você deve ter conectividade de rede entre a Control Room do Automation 360 e o servidor CyberArk AIM. A Control Room do Automation 360 está conectada ao cofre de senhas CyberArk por meio das APIs do Provedor de credenciais centrais CyberArk (CCP) para ambas as implantações No local ou na Nuvem.

Configuração API CyberArk CCP

Nota: Nenhuma licença adicional é necessária para usar as APIs CCP.

Para usar a API CCP, você deve definir estes parâmetros obrigatórios:

  • O Automation 360 v.20 (suporta credenciais de bootstrap apenas com implantação No local)
  • O Automation 360 v.21 ou posterior (suporta todos os bootstrap e casos de uso do sistema para instalação No local, auto-login e credenciais de automação para ambas as implantações No local e Nuvem)
  • A Control Room do cofre de chaves contém estes detalhes de conexão:
    • URL de conexão do cofre da API CCP – Por exemplo: https://<host:port>/AIMWebService/api/Accounts?
    • CCP API AppID – Você deve configurar o servidor CyberArk AIM com um aplicativo de identidade (AppID). Por exemplo: AACompanyControlRoom1.

      Consulte Integração do cofre de senhas CyberArk.

    • Certificado de cliente X.509 com chave privada emitida para a Control Room do Automation 360

      (O nome de domínio totalmente qualificado da Control Room está no campo Assunto: do certificado) e configurado com o servidor CyberArk AIM para autenticação. Por exemplo: c:\PATH\aaeCyberArkCertificate.p12

      Nota: O formato .p12 é necessário.

Revise a terminologia e os identificadores de credenciais da CyberArk

CyberArk e Automation Anywhere usam terminologia diferente para descrever e identificar credenciais:

Descrição CyberArk Automation Anywhere
Onde as credenciais são armazenadas objeto credenciais
Particionamento primário do cofre de chaves seguro (contém objetos) armário (contém credenciais)
  • As credenciais no CyberArk são armazenadas em objetos e cada objeto está contido em um cofre.

    Uma única instância do CyberArk pode ter vários cofres, onde cada cofre possui controles de acesso para usuários.

  • As credenciais em Automation Anywhere são armazenadas em armários, onde cada armário possui controles de acesso para usuários da Control Room.

CyberArk identifica credenciais por nome seguro E nome do objeto. A API CCP usa um nome seguro CyberArk e um nome de objeto CyberArk para acessar credenciais dentro do Cofre de senhas CyberArk (a credencial deve existir no CyberArk).

Veja a seguir uma chamada da API CCP de amostra de código e a resposta correspondente:

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

Resposta

{
       "Content":"",
       "PolicyID":"CyberArk",
       "CreationMethod":"PVWA",
       "Folder":"Root",
       "Address":"address tbd",
       "Name":"Application-CyberArk-address tbd-vb",
       "Safe":"aa_vb_safe",
       "DeviceType":"Application",
       "UserName":"vb",
       "PasswordChangeInProcess":"False"
}

O valor ou segredo da credencial (por exemplo, a senha) é armazenado no atributo Content e o ID do usuário (o nome de usuário da Control Room por exemplo vb) é armazenado no atributo UserName.

Definir o ID do aplicativo CyberArk

O Automation 360 se integra ao cofre de senhas do CyberArk por meio da API do Provedor central de credenciais CyberArk (CCP). O ID do aplicativo (AppID) é um parâmetro de configuração obrigatório.

Como administrador do CyberArk, use a interface do Acesso à Web do cofre de senhas CyberArk (PVWA) para definir o ID do aplicativo seguindo o procedimento especificado para preparar o servidor CyberArk AIM para integração com a Control Room. Consulte Acesso à Web do CyberArk Password Vault.

  1. Você deve fazer login como um usuário com permissão para gerenciar aplicativos na plataforma CyberArk (requer autorização para Gerenciar Usuários).
  2. Na guia Aplicativos clique em Adicionar Aplicativo.
  3. No painel Adicionar Aplicativo, digite as seguintes informações:
    Opção Ação
    Nome Especifique o nome exclusivo (ID) do aplicativo.

    Recomendamos usar um nome baseado no nome ou função da Control Room, por exemplo: AACompanyControlRoom1.

    Descrição Insira uma breve descrição do aplicativo usada para ajudar a identificá-lo.
    Dono do negócio Insira informações de contato sobre o proprietário da empresa do aplicativo.
    Local Selecione o local do aplicativo na hierarquia do cofre.

    Se um local não for selecionado, o aplicativo será adicionado no mesmo local que o usuário que está criando este aplicativo.

  4. Clique em Adicionar para adicionar o novo aplicativo e exibi-lo na página Detalhes do aplicativo.
  5. Na página Detalhes dos aplicativos marque a caixa de seleção Permitir restrições de autenticação estendidas para especificar um número ilimitado de máquinas e usuários de SO de domínio Windows para um único aplicativo.
  6. Na guia Autenticação clique em Adicionar para adicionar detalhes ao novo aplicativo.

    Uma lista de características de autenticação disponíveis é exibida, que o Provedor de credenciais usa para verificar antes de recuperar a senha do aplicativo.

    Características de autenticação do provedor de credenciais

  7. Opcional: Selecione o Usuário de SO e insira o nome do usuário que executará o aplicativo e clique em Adicionar para adicionar o usuário do SO à lista de usuários na guia Autenticação.
  8. Selecione Número de série do certificado e digite o número de série do certificado para o Control Room certificado de cliente, e depois clique em Adicionar.
  9. (Automation 360 recomendado): Na guia Máquinas permitidas clique em Adicionar e especifique o IP/nome do host/endereço DNS onde o aplicativo tem permissão para ser executado e solicitar senhas.

    O CyberArk AIM usa esse endereço para garantir que apenas aplicativos executados em máquinas especificadas possam acessar suas senhas.

  10. Clique em Adicionar para adicionar o endereço IP à lista de máquinas permitidas.

Provisionar contas no cofre de senhas CyberArk

Antes que um aplicativo possa funcionar, você deve conceder ao aplicativo acesso a contas de usuário existentes ou a novas contas de usuário para provisionar no Cofre de senhas CyberArk.

Use o Password Safe para provisionar as contas de usuário privilegiadas exigidas pelo aplicativo. Você pode provisionar contas usando um destes métodos:

  • Manualmente adicione contas uma de cada vez e especifique todos os detalhes da conta.
  • Automaticamente adicione várias contas usando o recurso Carregar senha. Para adicionar uma conta automaticamente, você deve ter autorização para o recurso Adicionar contas no Password Safe.

Para obter detalhes sobre como adicionar e gerenciar contas privilegiadas, consulte Gerenciador de acesso privilegiado - Auto-hospedado.

Configure o acesso aos provedores de aplicativos e senhas

Depois que as contas de usuário forem provisionadas pela CyberArk, você deve configurar o acesso ao aplicativo e aos provedores de senha do aplicativo CyberArk que estão atendendo ao aplicativo.

De onde o Provedor central de senhas está instalado, adicione o usuário do provedor e os usuários do aplicativo como membros dos Password Safes (onde as senhas do aplicativo são armazenadas). Você pode adicionar os usuários usando um destes métodos:

  • Manualmente a partir da guia Cofres
  • Especificando os nomes seguros no arquivo CSV ao adicionar vários aplicativos

Para adicionar usuários como membros seguros, na caixa de diálogo Adicionar Membro Seguro, adicione o provedor como membro seguro com essas autorizações de acesso selecionadas e clique em Adicionar:

  • Recuperar contas (Acesso)
  • Listar contas (Acesso)
  • Ver Membros Seguros (Monitor)

CyberArk adiciona membro seguro

Nota: Ao instalar vários provedores para a integração do cofre de senhas CyberArk, recomendamos que você primeiro crie um grupo para eles e, em seguida, adicione esse grupo ao cofre com as mesmas autorizações de acesso selecionadas.

Para adicionar o aplicativo (AppID) como um membro seguro, execute estas etapas:

  1. Na caixa de diálogo Adicionar Membro Seguro adicione o (AppID) como um membro seguro com recuperar contas (Acesso) selecionado como autorização de acesso.
  2. Clique em Adicionar.

Se o cofre estiver configurado para acesso em nível de objeto, certifique-se de que o usuário do provedor e o aplicativo tenham acesso às senhas a serem recuperadas. Para obter detalhes sobre como adicionar e gerenciar contas privilegiadas, consulte Gerenciador de acesso privilegiado - Auto-hospedado.