云端Delinea Secret ServerAutomation 360 的集成有助于安全管理重要凭据。 它还实现了任务自动化,使云端环境更加安全和高效。

先决条件

在开始之前,确保您具备以下条件:

  • 要设置 Delinea Secret Server 配置,请参阅 Delinea 平台文档。 您将需要来自 Delinea 的以下信息:

    • 要创建与 Delinea Secret Server 的 OAuth 连接:
      • 令牌 URL: 这是用于从 Delinea Secret Server 获取访问令牌的 URL。
        • 对于 Delinea 平台,URL 为:https://<>.delinea.app/identity/api/oauth2/token/xpmplatform
        • 对于独立部署的 Delinea Secret Server,URL 为:https://<secretserver>/oauth2/token
      • 范围: 这是 Delinea 签发令牌所需的范围。 对于 Delinea 平台,范围是 xpmheadless
        • 如果授权类型为 client_credentials,我们需要服务账户的 clientIdclientSecret
        • 如果授权类型为资源所有者密码,我们需要服务账户的用户名密码
    • Delinea 中的服务账户应至少有对 Delinea 中密钥的查看访问权限。
    • Delinea Secret Server URL。

  • 要配置 Automation 360 集成,Control Room 用户需具备管理设置管理连接权限,或必须是管理员用户。

Automation 360 配置

此过程可帮助您设置 Automation 360 以与 Delinea Secret Server 协同工作。
  • 首先,设置 OAuth 连接。
  • 然后,添加保险库配置。

设置 OAuth 连接

要使用客户端凭据授权类型设置 OAuth 连接

完成 创建 OAuth 连接 过程中的以下步骤。

  1. 要设置 OAuth 连接,请导航到管理 > OAuth 连接
  2. 单击创建连接
  3. 连接设置屏幕输入以下内容:
    • 提供程序类型: 选择提供程序类型,例如自定义Apigee。 如果您的 OAuth 提供程序类型未列出,可以选择自定义
    • 名称: 输入一个唯一的名称,例如: Delinea-Test-Connection
    • 流程类型: 对于搭载 Delinea Secret Server 的 Delinea 平台,选择客户端凭据流程授权类型。 使用客户端身份验证方法,可选择 Basic 或 POST。
    • 客户端 ID: 在 Delinea 服务器中输入客户端 ID
    • 客户端密钥: 输入 Delinea 服务器中显示的客户端密钥
    • 令牌 URL: Delinea 的 OAuth 2.0 端点(例如:https://<>.delinea.app/identity/api/oauth2/token/xpmplatform
    • Scope: 例如,如果令牌用于某个平台:xpmheadless
  4. 测试OAuth连接,以确保配置正确。
  5. 保存 OAuth 连接。

要使用资源所有者密码授权类型设置 OAuth 连接

完成 创建 OAuth 连接 过程中的以下步骤。

  1. 要设置 OAuth 连接,请导航到管理 > OAuth 连接
  2. 单击创建连接
  3. 连接设置屏幕上,执行以下操作:
    • 流程类型: 选择资源所有者密码流程授权类型。 选择客户端身份验证方法: 客户端身份验证密钥 POST
    • Scope: 这是可选项。
    • 输入可访问该密钥的服务用户的用户名密码
  4. 单击保存登录凭据
  5. 测试OAuth连接,以确保配置正确。
  6. 保存 OAuth 连接。

成功后,配置 Delinea Secret Server 保管库设置,并选择已创建的 OAuth 连接。

刷新令牌管理

使用 OAuth2 密码授权流程连接 Delinea Secret Server 时,Automation 360 Control Room 会安全地保存在身份验证过程中获取的刷新令牌。

关键注意事项:
  • 刷新令牌过期时间: 确保访问令牌和刷新令牌的过期时间足够满足您的需求。 如果您拥有长时间运行的机器人,或同时运行多个机器人,较短的过期时间可能会导致意外的身份验证问题。
  • 允许的刷新令牌数量: Delinea Secret Server 可能会限制用户或客户端可拥有的刷新令牌数量。 如果您过于频繁地刷新令牌并超出此限制,可能会导致令牌刷新失败,从而引发自动化问题。
  • 空闲期: 如果长时间未使用 OAuth 连接(例如,没有机器人运行时),刷新令牌可能会过期。 在此情况下,请重置现有的 OAuth 连接。
建议:
  1. 在 Delinea Secret Server 中设置访问令牌的过期时间、刷新令牌的过期时间以及允许的令牌刷新次数,以满足您的需求。
  2. 如果访问令牌或刷新令牌过期,恢复 OAuth 连接的唯一方法是重置现有的 OAuth 连接,并使用用户名和密码重新进行身份验证。

配置 Delinea Secret Server 保管库

  1. Control Room 中,导航到管理 > 设置 > 外部密钥保管库
  2. 配置设置部分,单击编辑
  3. 滚动到底部并选择 Delinea secret server
  4. 输入保管库 URL(例如:https://<yourvault>.secretservercloud.com)。
  5. 从下拉列表中选择 OAuth 连接名称。
  6. 默认的 HTTP 标头名称Authorization
  7. (可选)输入用于提供安全 TLS 通信的服务器证书 - PEM 格式(可选)
  8. 单击保存更改以保存保管库配置。

    Delinea Secret Server 外部密钥保管库设置