Integração da Cofre da HashiCorp
- Última atualização2024/05/03
Integração da Cofre da HashiCorp
Você pode integrar o Automation 360 para recuperar as credenciais do Cofre da HashiCorp. As credenciais residem no Cofre da HashiCorp, onde você pode gerenciá-las, girá-las e sincronizá-las.
Observação: A marca e o logotipo HashiCorp são marcas comerciais ou marcas registradas da HashiCorp, Inc. e são usados apenas para fins de identificação.
Você integra a Control Room conectando-a ao Cofre da HashiCorp por meio das APIs HTTP do HashiCorp.
A tabela a seguir lista os recursos compatíveis com os diferentes tipos de implementação:
Recurso | Nuvem | No local |
---|---|---|
Credenciais de automação do agente | Compatível | Compatível |
Credenciais de login automático do agente | Compatível | Compatível |
Bootstrap e credenciais do sistema | Incompatível | Compatível |
Você pode integrar a Control Room com o Cofre da HashiCorp usando qualquer uma dessas implantações:
- Nuvem
O diagrama a seguir mostra a implantação da Nuvem onde a Control Room é hospedada na Nuvem AAI:
- No local
Para implantações No local, você implanta o seguinte:
- Control Room como software dentro do ambiente do cliente.
- Bot agent dentro do ambiente do cliente, onde as automações executam e acessam os aplicativos do cliente.
Nota: Você também pode conectar a Control Room local ao HashiCorp Nuvem via Internet.
Requisitos de integração de Cofre da HashiCorp
- O serviço de HashiCorp deve estar acessível na Control Room.
- O cofre de chaves externo do HashiCorp deve estar acessível a partir da Nuvem da Control Room por meio das regras de firewall do perímetro da rede. Para detalhes de configuração de regras de firewall externo, veja Endereços de IP Control Room para integrações externas.
- Certifique-se de que você tenha os seguintes valores configurados no Cofre da HashiCorp porque você usará esses valores ao configurar o cofre na Control Room. Para obter informações sobre como configurar esses valores em HashiCorp, consulte AppRole Auth Method.Nota: Nas implementações Locais, você pode definir as configurações do cofre de chaves externo durante a instalação ou com o utilitário do cofre de chaves após a instalação. Para obter mais informações, consulte os seguintes tópicos:
Nome do campo Descrição URL do cofre Especifica o URL do cofre de HashiCorp. Por exemplo: https://<host> ou https://<host ou IP>:<porta> ID da função Especifica o RoleID do servidor de HashiCorp configurado. Por exemplo: 675a50e7-cfe0-be76-e35f-49ec009731ea. Consulte AppRole Pull Authentication. Nome da função Especifica o nome da função do servidor de HashiCorp configurado. Por exemplo: jenkins. Consulte AppRole Pull Authentication. ID secreta Especifica o SecretID do HashiCorp configurado. Por exemplo: ed0a642f-2acf-c2da-232f-1b21300d5f29. Consulte AppRole Pull Authentication. Caminho do mecanismo de segredos Especifica o caminho do mecanismo de segredos do cofre de chaves.
O caminho é definido como v1/secret/data por padrão. Você pode alterar esse caminho se o caminho do mecanismo de segredos do seu cofre de chaves for diferente. Esse caminho diferencia maiúsculas de minúsculas. Por exemplo, V1/secret/data e V1/SECRET/DATA são considerados dois caminhos separados quando estão ativos. Certifique-se de ter movido ou recriado os segredos no caminho correto do mecanismo de segredos.
Observação: Certifique-se de ter concedido permissão de leitura ao nome da função do servidor HashiCorp configurado para acessar o caminho do mecanismo de segredos do cofre de chaves.
Namespace (Opcional) Especifica o namespace da organização (locatário). Por exemplo: tenant1. Certificado opcional Faça upload do certificado público do servidor HashiCorp para a Control Room. O certificado deve estar no formato PEM (.pem ou .cer). Por exemplo: C:\John\certs\hashicorpserver.pem.
Instalar Cofre da HashiCorp
Você deve instalar e configurar o Cofre da HashiCorp. Consulte HCP Vault Quick Start.
Usar o AppRole em Cofre da HashiCorp
AppRole é um método de autenticação usado no Cofre da HashiCorp para que os aplicativos interajam com o cofre. O AppRole usa os seguintes valores para autenticação:
- RoleID: Um identificador exclusivo para o AppRole. Você pode usar o ID da função com qualquer número de instâncias de um aplicativo.
- SecretID: Um valor gerado aleatoriamente que é usado para autenticar o AppRole. O ID secreto é destinado a uma única instância de um aplicativo, tem vida curta e pode ser usado somente por aplicativos autorizados.Importante: É recomendável que você não compartilhe esse valor.
- Nome da função: As funções são listadas pelo nome da função.
- Namespace: Permite que você crie grupos de segredos e aplique políticas a esses namespaces para garantir que cada locatário possa acessar apenas os segredos para os quais tem permissão.
Para obter informações sobre como configurar o AppRole, consulte AppRole Auth Method.
Importar certificado do servidor
Nas implantações de No local, você pode importar certificados de servidor individuais para o armazenamento confiável. No entanto, recomendamos que você importe o certificado da Autoridade de Certificação (CA) emissora. Para obter mais informações, consulte Importar certificados HTTPS SSL, intermediários e CA.
- O cliente (Automation 360 Control Room) envia uma solicitação ao Cofre da HashiCorp (recurso protegido).
- O servidor então responde enviando um certificado de volta ao cliente.
- A Control Room verifica o certificado enviado pelo servidor HashiCorp, validando-o em relação às informações de certificação do servidor confiável armazenadas na parte pública da Control Room de armazenamento confiável.
- Ambas as partes (cliente e servidor) obtêm acesso aos recursos protegidos se os certificados passarem na validação com base no seguinte:
- A Control Room deve confiar no certificado no servidor HashiCorp
- O campo Assunto no certificado corresponde ao nome de domínio totalmente qualificado (nome DNS) do sistema de chamada.
- O certificado não expirou.
Requisitos de configuração da API HTTP de HashiCorp
Você deve ter conectividade de rede entre a Control Room e o servidor HashiCorp. A Control Room é conectada ao Cofre da HashiCorp por meio das APIs HTTP do HashiCorp para as implantações Locais ou Nuvem .
Para usar a API HashiCorp, você deve definir estes parâmetros obrigatórios:
- URL do cofre
- ID da função
- Nome da função
- ID secreta
- Caminho do mecanismo de segredos
- Namespace (opcional)
- Certificado opcional
Revise a terminologia e os identificadores de credenciais de HashiCorp
HashiCorp e Automation Anywhere usam terminologia diferente para descrever e identificar credenciais:
Descrição | HashiCorp | Automation Anywhere |
---|---|---|
Onde as credenciais são armazenadas | segredos | credenciais |
- As credenciais em HashiCorp são armazenadas como segredos.
- As credenciais em Automation Anywhere são armazenadas em armários, onde cada armário possui controles de acesso para usuários da Control Room.
- nome de usuário: john
- senha: 2zR%#sX#g
- email: john@email.com
- código de acesso: my-long-passcode
Rotação de ID secreto de HashiCorp
A Control Room executa um trabalho agendado para alternar proativamente o ID secreto do HashiCorp para um locatário. Esse processo garante que a automação que envolve as credenciais do cofre de chaves seja executada sem interrupções. Por padrão, a frequência de rotação do ID secreto é a cada hora. O ID secreto é alterado com base no tempo de expiração do ID secreto. Você pode alterar o ID secreto quando dois terços do ID secreto tiverem expirado.
Se a rotação do ID secreto de HashiCorp falhar, você poderá alterar manualmente o ID secreto usando os seguintes procedimentos Nuvem ou No local :