Integração da Cofre da HashiCorp

Você pode integrar o Automation 360 para recuperar as credenciais do Cofre da HashiCorp. As credenciais residem no Cofre da HashiCorp, onde você pode gerenciá-las, girá-las e sincronizá-las.

Observação: A marca e o logotipo HashiCorp são marcas comerciais ou marcas registradas da HashiCorp, Inc. e são usados apenas para fins de identificação.

Nota: Nenhuma licença adicional do Automation Anywhere é necessária para integrar o Cofre da HashiCorp ou usar as APIs do HashiCorp.

Você integra a Control Room conectando-a ao Cofre da HashiCorp por meio das APIs HTTP do HashiCorp.

A tabela a seguir lista os recursos compatíveis com os diferentes tipos de implementação:

Recurso Nuvem No local
Credenciais de automação do agente Compatível Compatível
Credenciais de login automático do agente Compatível Compatível
Bootstrap e credenciais do sistema Incompatível Compatível

Você pode integrar a Control Room com o Cofre da HashiCorp usando qualquer uma dessas implantações:

  • Nuvem

    O diagrama a seguir mostra a implantação da Nuvem onde a Control Room é hospedada na Nuvem AAI:Implementação de nuvem da HashiCorp

  • No local

    Para implantações No local, você implanta o seguinte:

    • Control Room como software dentro do ambiente do cliente.
    • Bot agent dentro do ambiente do cliente, onde as automações executam e acessam os aplicativos do cliente.
    Nota: Você também pode conectar a Control Room local ao HashiCorp Nuvem via Internet.

Implementação local da HashiCorp

Requisitos de integração de Cofre da HashiCorp

  • O serviço de HashiCorp deve estar acessível na Control Room.
  • O cofre de chaves externo do HashiCorp deve estar acessível a partir da Nuvem da Control Room por meio das regras de firewall do perímetro da rede. Para detalhes de configuração de regras de firewall externo, veja Endereços de IP Control Room para integrações externas.
  • Certifique-se de estar usando:
    • Mecanismo de segredos KV Cofre da HashiCorp 1.13.x ou 1.14.x.e HashiCorp - versão 2.
    • Caminho padrão do mecanismo de segredos como /secret. Todos os segredos devem ser criados na raiz do mecanismo de segredos (/secret). Para acessar as APIs do HashiCorp Vault, a Control Room acrescentará de maneira automática o caminho do mecanismo de segredos padrão v1/secret/data ao URL do cofre inserido (por exemplo: https://<hostname1:port_num>/v1/secret/data). Verifique se a função com o RoleID fornecido tem no mínimo menos permissão de leitura para esse caminho e que todos os segredos sejam criados no mecanismo de segredos.
    • REST API da Cofre da HashiCorp.
    • Caminho do mecanismo de API como /v1/secret/data.
    • Operações de API em um namespace específico, definindo o cabeçalho X-Vault-Namespace para o caminho do namespace absoluto ou relativo.
    • Método de autenticação que usa AppRole com um nome de caminho padrão como “approle”. O nome do caminho AppRole personalizado não é compatível.

Instalar Cofre da HashiCorp

Você deve instalar e configurar o Cofre da HashiCorp. Consulte HCP Vault Quick Start.

Usar o AppRole em Cofre da HashiCorp

AppRole é um método de autenticação usado no Cofre da HashiCorp para que os aplicativos interajam com o cofre. O AppRole usa os seguintes valores para autenticação:

  • RoleID: Um identificador exclusivo para o AppRole. Você pode usar o ID da função com qualquer número de instâncias de um aplicativo.
  • SecretID: Um valor gerado aleatoriamente que é usado para autenticar o AppRole. O ID secreto é destinado a uma única instância de um aplicativo, tem vida curta e pode ser usado somente por aplicativos autorizados.
    Importante: É recomendável que você não compartilhe esse valor.
  • Nome da função: As funções são listadas pelo nome da função.
  • Namespace: Permite que você crie grupos de segredos e aplique políticas a esses namespaces para garantir que cada locatário possa acessar apenas os segredos para os quais tem permissão.

Para obter informações sobre como configurar o AppRole, consulte AppRole Auth Method.

Importar certificado do servidor

Nas implantações de No local, você pode importar certificados de servidor individuais para o armazenamento confiável. No entanto, recomendamos que você importe o certificado da Autoridade de Certificação (CA) emissora. Para obter mais informações, consulte Importar certificados HTTPS SSL, intermediários e CA.

  1. O cliente (Control Room da Automation 360) envia uma solicitação ao Cofre da HashiCorp (recurso protegido).
  2. O servidor então responde enviando um certificado de volta ao cliente.
  3. A Control Room verifica o certificado enviado pelo servidor HashiCorp, validando-o em relação às informações de certificação do servidor confiável armazenadas na parte pública da Control Room de armazenamento confiável.
  4. Ambas as partes (cliente e servidor) obtêm acesso aos recursos protegidos se os certificados passarem na validação com base no seguinte:
    • A Control Room deve confiar no certificado no servidor HashiCorp
    • O campo Assunto no certificado corresponde ao nome de domínio totalmente qualificado (nome DNS) do sistema de chamada.
    • O certificado não expirou.

Requisitos de configuração da API HTTP de HashiCorp

Você deve ter conectividade de rede entre a Control Room e o servidor HashiCorp. A Control Room é conectada ao Cofre da HashiCorp por meio das APIs HTTP do HashiCorp para as implantações Locais ou Nuvem .

Para usar a API HashiCorp, você deve definir estes parâmetros obrigatórios:

  • URL do cofre
  • ID da função
  • Nome da função
  • ID secreta
  • Caminho do mecanismo de segredos
  • Namespace (opcional)
  • Certificado opcional

Revise a terminologia e os identificadores de credenciais de HashiCorp

HashiCorp e Automation Anywhere usam terminologia diferente para descrever e identificar credenciais:

Descrição HashiCorp Automation Anywhere
Onde as credenciais são armazenadas segredos credenciais
  • As credenciais em HashiCorp são armazenadas como segredos.
  • As credenciais em Automation Anywhere são armazenadas em armários, onde cada armário possui controles de acesso para usuários da Control Room.
Para credenciais de banco de dados, conta de serviço, SMTP e AD, os dados secretos do cofre de chaves devem usar o seguinte formato:
  • nome de usuário: john
  • senha: 2zR%#sX#g
Para automação, os dados secretos do cofre de chaves devem usar o seguinte formato:
  • email: john@email.com
  • código de acesso: my-long-passcode

Rotação de ID secreto de HashiCorp

A Control Room executa um trabalho agendado para alternar proativamente o ID secreto do HashiCorp para um locatário. Esse processo garante que a automação que envolve as credenciais do cofre de chaves seja executada sem interrupções. Por padrão, a frequência de rotação do ID secreto é a cada hora. O ID secreto é alterado com base no tempo de expiração do ID secreto. Você pode alterar o ID secreto quando dois terços do ID secreto tiverem expirado.

Se a rotação do ID secreto de HashiCorp falhar, você poderá alterar manualmente o ID secreto usando os seguintes procedimentos Nuvem ou No local :