您可以检索以下这些场景的 Azure 凭据:引导、系统、自动登录和自动化。

检索 Control Room 引导凭据

注: 此场景仅适用于 On-Premises 部署。

Automation 360 Control Room 使用引导凭据访问支持服务,例如数据库、服务账户和 Active Directory (AD)。 在初始 On-Premises 安装期间或安装后(使用密钥保管库实用工具),通过指定对象名称配置这些凭据。

以下图像显示了使用 Azure 检索 Control Room 引导凭据的过程:

Azure Control Room 引导凭据检索

在启动序列或正常操作期间(例如刷新服务身份验证)需要时,Control Room 使用密钥库连接来检索凭据并执行所需的身份验证。

注: 您必须为此场景选择 Microsoft SQL Server 认证;其他数据库认证方法不支持引导。

检索 Control Room 系统凭据

注: 此场景仅适用于 On-Premises 部署,并且您只能在初始安装期间配置服务账户。

如果您在初始安装期间配置了外部密钥保管库,则可以使用 Automation 360 用户界面(安装后)配置 SMTP 和 Active Directory (AD) 凭据。

  1. 以管理员身份登录 Automation 360 Control Room
  2. Control Room 导航到: 管理 > 设置 > 电子邮件设置
  3. 您可以从外部密钥库映射AD主账户凭据,配置外部凭据,或设置为手动(切换AD主账户凭据检索模式)。

检索自动登录凭据

注: 此场景适用于 On-PremisesCloud 部署。

自动登录凭据用于验证到 Automation 360 Bot Agent 设备的身份,并启动一个活动的 Windows 会话。 机器人流程自动化 (RPA) 需要一个活动的 Windows 会话才能运行。 当从远程 Bot Agent 设备启动自动化时,自动登录会在自动化运行之前发生。

以下图像显示了使用 Azure 检索自动登录凭据的过程:

Azure 检索自动登录凭据

Control Room 管理员可以通过指定以下详细信息,在 Bot Agent 设备上手动启动或安排作业以启动自动化:

  • 自动化 (bot) 名称
  • 设备名称
  • 用户上下文

系统使用与用户上下文关联的用户名和密码自动登录到指定设备,然后在设备上运行自动化程序。

对于每个需要从外部密钥保管库中检索自动登录凭据的 Control Room 用户,您必须为其设置一个秘密,并且 Azure 密钥保管库中的密钥名称必须匹配 Control Room 用户名。

要配置从外部密钥库检索自动登录凭据,请执行以下步骤:

  1. 以管理员身份登录 Automation 360 Control Room
  2. Control Room,导航到 管理 > 设置 > 设备
  3. 向下滚动到自动登录设置部分,然后单击编辑
  4. 如果您之前将 Azure 配置为外部密钥保管库连接,请单击启用以从该外部密钥保管库检索自动登录凭据。

    如果此选项被禁用,则外部密钥库连接未配置。

    注: 如果您禁用来自外部密钥库的自动登录,则凭据将使用 AAI Credential Vault 及其存储的凭据来检索。
  5. Azure 密钥保管库有一个平面名称空间,没有任何组织容器,因此不需要输入 Safe 名称。 单击保存更改

如果成功,将显示自动登录设置已成功保存的消息。

自动登录命名约定

Control Room 根据外部密钥库中的对象命名约定检索自动登录凭据。 Control Room 会搜索一个对象,其中对象名称(外部密钥库中的凭据名称)与其执行自动登录的 Control Room 用户名匹配。

前缀 autologin_ 是所有外部密钥保管库自动登录凭据命名约定的一部分: CyberArk、AWS 和 Azure。 外部密钥库中自动登录凭据的名称必须包含 autologin_,后接 Control Room 用户名。 在某些工单中,某些密钥保管库对凭证对象名称中可使用的字符有限制。 此外,为了支持不同场景对凭据的编码方式,Automation 360 要求保留或编码某些字符。

以下表格列出了 Control Room 中预期的对象命名约定示例:

Control Room 用户名 预期对象名称格式
ABCD\用户123 自动登录_ABCD--用户123
user123@rpa.abcd.com 自动登录_用户123-40-rpa-2e-abcd-2e-com
注: 对于使用 AD 认证的On-Premises客户,您必须使用 UPN 格式或domain\username后缀来格式化自动登录用户名。

对于自动登录凭据,请记住以下几点:

  • 外部密钥库中的对象名称必须包含前缀 autologin_
  • 自动登录凭证名称必须映射到要检索的凭证的 Control Room 用户名(登录 ID)。

    某些外部密钥库对某些字符的使用有限制,例如在密钥名称(对象名称)中限制使用反斜杠(\)和符号(@),以及限制在 API 调用中如何解释特殊字符。 如果用户 ID 包含特殊字符,则必须使用 ASCII 码字符替换在外部密钥库中对秘密名称(对象名称)进行编码,如下表所示。

此字符 对该 ASCII 代码字符替换的更改
反斜杠 --
- (破折号) -2d-
下划线 -5f-
@(商业和) -40-
. (句号) -2e-
注: 除了反斜杠被映射为双破折号之外,破折号、句号、下划线和符号 & 被映射为用破折号括起来的 ASCII 代码。

Azure 自动登录凭据示例

对于此自动登录凭据检索示例,请考虑一个想要以特定用户身份在设备上部署 botControl Room 用户。 此示例使用以下详细信息:

  • 自动化 (bot) 名称在设备上运行 = ProcureToPayGeoEast
  • 坐席设备名称 = WinVDI1138
  • 坐席用户上下文 = rpauserCR1@abcd.com

以下图像显示了使用 Azure 检索自动登录凭据的示例:

Azure 自动登录凭据示例

在启动自动化之前,请确保以下事项:

  1. Control Room 连接详细信息已成功配置,Control Room 使用这些连接详细信息连接到 Azure 并执行身份验证。
  2. Control Room 查询设备 WinVDI1138 上运行的 Bot Agent 设备,以检查设备 WinVDI1138 上当前是否有活动的 Windows(操作系统)会话,并且该会话是否属于坐席用户 rpauserCR1

    如果用户 rpauserCR1 设备上存在现有会话,则无需执行自动登录,bot 将继续进行部署。

  3. 但是,如果没有活动会话,或者有一个不属于 rpauserCR1 的活动会话,Control Room 将从 Azure 密码保管库中检索自动登录凭据。
  4. Control Room 将凭证(密码)传递给 Bot AgentBot Agent 使用 rpauserCR1 的自动登录凭据在设备 WinVDI1138 上以 rpauserCR1 的身份执行 Windows 登录(首先注销任何其他用户登录会话)。 自动化(BotProcureToPayGeoEast 然后以 rpauserCR1 的身份在设备 WinVDI1138 上开始运行。

检索自动化凭据

注: 此场景适用于 On-PremisesCloud 部署。

自动化凭据是由 bot 开发人员在自动化 (bot) 操作中使用的变量,用于定义和从加密存储中检索数据。 自动化使用凭据对应用程序进行身份验证(例如:财务应用程序)。 在运行时,自动化凭据由 Automation 360 Bot Agent 检索。

以下图像显示了使用 Azure 检索自动化凭据的过程:

Azure 检索自动化凭据

从 Azure 密钥保管库中检索到的自动化凭据映射在 Automation Anywhere Credential Vault 中。 Credential Vault 支持这两种类型的自动化凭据:

系统凭据
凭据是指凭据变量返回的值对于使用该变量的任何自动化都是相同的。
用户定义的凭证
凭据,其中凭据变量返回的值根据自动化运行的用户上下文而有所不同。

对于系统凭据和用户定义的凭据,bot 开发人员在 bot 代码中指定相同的凭据变量。 然后,系统确定在 bot 运行时要检索哪个凭据。

用户定义的凭据通过使 bot 开发人员能够使用单个凭据变量编写代码来简化自动化开发,其中 RPA 平台在运行时将返回的值替换为唯一的用户特定值。 开发人员可以避免编写带有不同用户特定凭证变量的重复代码。

以下图像显示了 Azure 凭据的预期命名约定:

Azure 预期凭据

该图显示了 Azure 密钥保管库中的六个密钥,这些密钥可以映射到 Control Room Credential Vault 中的两个凭据。

  • Object3
  • Object4

例如,您可以将 Control Room 中的 locker 映射到 prefixID3prefixID4。 然后,您将密钥映射到凭据。 对于每个凭据,将使用密钥(由 Control Room 检索),作为一个系统定义的凭据(没有用户名后缀)和两个用户定义的凭据(分别为用户名为 User1ID1User1ID2Control Room 用户)。

注:Control Room Credential Vault 中,locker 的名称和凭据的名称是任意的,是 Control Room 的本地名称。 您将这些名称映射到外部密钥保管库中的特定密钥。

在 Azure 密钥保管库中,每个自动化凭据都以包含特定标识符的名称存储,这些标识符包括:前缀、对象标识符和可选的后缀(用于标识用户名)。 这是一个必需的命名约定,以确保检索到正确的凭据。 Azure Key Vault 中密钥(凭据)的名称编码了有关 Automation Anywhere Credential Vault 内映射的信息。

作为管理员,要将 Control Room 映射到 Azure 密钥保管库,需要在 Automation 360 Control Room 中使用外部密钥保管库选项创建和配置 locker 和凭据,具体步骤包括创建存储柜创建凭据功能。

  • 您 在Credential Vault 中配置 locker 以映射到 Azure 密钥名称前缀。
  • 您在 Credential Vault 中配置凭据,这些凭据映射到 Azure 密钥对象标识符(用户定义凭据的可选后缀)。

在运行时,RPA 平台检索与自动化运行的用户上下文(用户定义的凭据)匹配的后缀命名的密钥。 如果没有用户定义的凭据,RPA 平台将在没有用户名后缀的情况下检索密钥(系统凭据)。

注: 当您在 Control Room 中添加凭据属性时,可以选择标准用户提供作为属性的输入类型,并且当您查看凭据时,将显示该属性的相应输入类型。 然而,当您从外部密钥保管库中获取属性及其值时,它们的类型由用户提供,并意味着是外部管理的凭据。

Control Room 通过角色内的权限对外部凭据实施访问控制。 您通过将不同的 Control Room 用户分配到不同的角色,然后将不同的 locker 与这些角色关联,来控制对凭据的访问。

以下图像显示了映射到 Azure 密钥的 Control Room Credential Vault locker 和凭据:

Azure 将凭据映射到凭据保管库
重要: 在创建外部映射凭据时,必须将凭据放置在适当的外部映射 locker 中(locker 映射到密钥名称中的前缀)。 Azure 密钥名称将遵循命名约定: 前缀 + Secret_Name_Body + 后缀(用户自定义凭据可选)。
注:Control Room 中通过角色分配的相同权限和特权适用于映射到外部密钥保管库的凭据。

自动化命名约定

以下表格展示了使用命名约定进行自动化的 Azure Key Vault 外部密钥保管库示例。

注: Azure 前缀映射到的 Control Room存储柜,而 Azure 密钥正文映射到 Control Room 的凭据。
自动化凭证示例 Azure 前缀 Azure 密钥正文 Azure 中的密钥 Control Room 用户名

accounting_cv1

系统凭据在存储柜中映射到 Azure Secret 名称前缀 accounting

会计 简历1 pdf-5f-cv1(系统) 无 - 系统凭证

accounting_cv1_ABCD\user123

用户定义的凭据在存储柜中映射到 Azure 前缀

 会计 简历1 pdf-5f-cv1-5f-ABCD--user123 ABCD\用户123

部署 Azure 凭据时,Azure Key Vault 的字符下划线 (_) 是保留字符,不能用于凭据名称。 您必须将任何下划线 (_) 替换为由破折号括起来的 ASCII 代码值 5f

此字符 对该 ASCII 代码字符替换的更改
\(斜杠) --
- (破折号) -2d-
下划线 -5f-
@(商业和) -40-
. (句号) -2e-

Azure 自动化凭据检索示例

要配置自动化凭据检索并与 Azure 密钥保管库集成,您首先需要创建一个 locker,然后创建凭据。

注: 如果您想在 Control Room 凭据保管库和外部密钥库中存储凭据,我们建议您执行以下操作:
  • Control Room 中创建单独的 lockers,以存储在 Control Room 凭据保管库中创建的凭据。
  • Control Room 中创建单独的 lockers,以存储在外部密钥库中创建的凭据。

Control Room 不支持在同一个 locker 中存储来自 Control Room 凭据保管库和外部密钥保管库的凭据。

要创建一个与 Azure 密钥保管库集成的 locker,请执行以下步骤:

  1. Automation 360 Control Room,导航到管理 > 凭据

    具有管理我的凭据和lockers 权限的用户被授权创建凭据。

  2. 凭据选项卡中,选择创建存储柜
  3. 输入 locker 的名称(例如,Locker3)。

    此名称是 Control Room 的本地名称,并且不依赖于 Azure 密钥名称。

  4. 单击外部密钥保管库,然后输入 Azure 密钥名称前缀(例如:prefixID3)。 必须使用名称前缀在 Azure Key Vault 中命名密钥,以成功完成映射配置。
  5. 单击下一步
  6. locker 配置所有者、管理者、参与者和消费者。
  7. 单击创建存储柜

    请参阅 创建locker

现在,Control Room 已准备就绪,可以对所有前缀为 prefixID3 的 Azure 密钥检索凭据并执行访问控制。 若要继续,您现在需要创建凭据。

要创建一个与 Azure 密钥保管库集成的凭据,请执行以下步骤:

  1. Automation 360 Control Room,导航到管理 > 凭据

    具有管理我的凭据和lockers 权限的用户被授权创建凭据。

  2. 凭据选项卡中,选择创建凭据
  3. 凭据名称字段中输入凭据名称。

    此名称是 Control Room 的本地名称,并且不依赖于 Azure 密钥名称。

  4. 单击名称字段下方的外部密钥保管库
  5. 从可用的 lockers 列表中,选择之前映射到您现在想要映射到凭据的密钥名称前缀的相应 locker
  6. 密钥名称字段中输入 Azure Secret_Name_Body(例如: Object3)。
  7. 单击验证并检索属性

    系统通过尝试从 Azure Key Vault 检索名称为 Prefix_Secret_Name_Body_LoggedInUser 的密钥来验证映射(例如:prefixID3_Object3_testuser1)。

    如果验证失败,请检查以下参数:
    • 验证 Azure 密钥保管库中不存在名称与 locker(前缀)和凭据 (Secret_Name_Body) 相匹配的密钥。 在此示例中,Azure 密钥保管库中没有名称为 prefixID3_Object3 的密钥。
    • 请确认用户名或密钥名称中没有特殊字符或编码。

    请参阅:外部密钥保管库命名约定

    系统成功检索到密钥时,将显示 Azure Key Vault 密钥属性(密钥中的字段)。

    注: 密钥值必须采用以下 JSON 格式:
    {    "username": "dummyUserName",    "password": "dummyPassword" }
  8. 从属性列表中选择要映射到凭据的属性。
  9. 单击创建凭证

    如果成功,将会显示凭据成功创建的消息。