您可以检索以下这些场景的 CyberArk 凭据:引导、系统、自动登录和自动化。

使用 CyberArk 检索 Control Room 引导凭据

Automation 360 Control Room 使用引导凭据访问支持服务,例如数据库、服务账户和活动目录 (AD)。 在初始 本地部署 安装期间或安装后(使用密钥保管库实用工具),通过指定保险库名称和对象名称配置这些凭据。

以下图像显示了使用 CyberArk 检索 Control Room 引导凭据的过程:

CyberArk Control Room 引导凭据检索

在启动序列或正常操作期间(例如刷新服务身份验证)需要时,Control Room 使用密钥库连接来检索凭据并执行所需的身份验证。

注: 您必须为此场景选择 Microsoft SQL Server 认证;其他数据库认证方法不支持引导。

使用 CyberArk 检索 Control Room 系统凭据

注: 您只能在初始安装期间配置服务账户。

如果您在初始安装期间配置了外部密钥保管库,则可以使用 Automation 360 用户界面(安装后)配置 SMTP 和活动目录 (AD) 凭据。

  1. 以管理员身份登录 Automation 360 Control Room
  2. Control Room导航到: 管理 > 设置 > 电子邮件设置
  3. 您可以从外部密钥库映射AD主账户凭据,配置外部凭据,或设置为手动(切换AD主账户凭据检索模式)。

使用 CyberArk 检索自动登录凭据

自动登录凭据用于验证到 Automation 360 机器人代理 设备的身份,并启动一个活动的 Windows 会话。 机器人流程自动化 (RPA) 需要一个活动的 Windows 会话才能运行。 当从远程 机器人代理 设备启动自动化时,自动登录会在自动化运行之前发生。
注:

如果为无人值守的 机器人运行程序 启用自动登录,则所有无人值守的 机器人运行程序 设备将使用自动登录从配置的外部密钥保管库中查找凭据。 确保所有 机器人运行程序 设备的凭据都在外部密钥保管库中创建。 否则,机器人运行程序 设备将遇到找不到密钥错误。

以下图像显示了使用 CyberArk 检索自动登录凭据的过程:

CyberArk 检索自动登录凭据

Control Room 管理员可以通过指定以下详细信息,在 机器人代理 设备上手动启动或安排作业以启动自动化:

  • 自动化 (机器人) 名称
  • 设备名称
  • 用户上下文

系统使用与用户上下文关联的用户名和密码自动登录到指定设备,然后在设备上运行自动化程序。

要配置从外部密钥库检索自动登录凭据,请执行以下步骤:

注: 在集成 CyberArk 密钥保管库之前,请确保您了解密钥保管库命名约定的要求。 请参阅 外部密钥保管库命名约定
  1. 以具有查看和管理设置权限的管理员身份登录到Automation 360 Control Room
  2. Control Room,导航到 管理 > 设置 > 设备
  3. 向下滚动到自动登录设置部分,然后单击编辑
  4. 如果您之前将 CyberArk 配置为外部密钥保管库连接,请单击启用以从该外部密钥保管库检索自动登录凭据。

    如果此选项被禁用,则外部密钥库连接未配置。

    注: 如果您禁用来自外部密钥库的自动登录,则凭据将使用 AAI 凭据保管库 及其存储的凭据来检索。
    注: 如果您的 Control Room 正在使用设备池通过 CyberArk 检索自动登录凭据,请确保设备池中的所有设备都启用了自动登录选项。 否则,未启用自动登录选项的设备将无法检索自动登录凭据。
  5. 输入保险库名称(例如: AA_Auto-login_Safe)。
    您输入的保险库名称也被称为自动登录凭据保险库
    注: 有关安全名称和对象名称格式,请参阅 外部密钥保管库命名约定
  6. 输入 CyberArk 用户名的属性集。 例如,要将用户名配置为格式 domain\username,您必须输入:$domain$\$username$,其中域和用户名的值是从 CyberArk 密钥响应中检索。
  7. 要添加可选保险库,请单击添加可选保险库,输入保险库名称,然后选择角色。 您最多可以添加 25 个保险库。
  8. 单击保存更改

    如果成功,将显示自动登录设置已成功保存的消息。

CyberArk 自动登录凭据示例

对于此自动登录凭据检索示例,请考虑一个想要以特定用户身份在设备上部署机器人Control Room用户。 此示例使用以下详细信息:

  • 自动化 (机器人) 名称在设备上运行 = ProcureToPayGeoEast
  • 坐席设备名称 = WinVDI1138
  • 代理用户上下文 = roboticworker2112@automation.abcd.com

以下图像显示了使用 CyberArk 检索自动登录凭据的示例:

CyberArk 自动登录凭据示例

在启动自动化之前,请确保以下事项:

  1. Control Room 连接详细信息已成功配置,Control Room 使用这些连接详细信息连接到 CyberArk 并执行身份验证。
  2. Control Room 查询设备 WinVDI1138 上运行的 机器人代理 设备,以检查设备 WinVDI1138 上当前是否有活动的 Windows(操作系统)会话,并且该会话是否属于代理用户 robiticworker2112

    如果用户 robiticworker2112设备上存在现有会话,则无需执行自动登录,机器人 将继续进行部署。

  3. 但是,如果没有活动会话,或者有一个不属于 robiticworker2112 的活动会话,Control Room 将从 CyberArk 密码保管库中检索自动登录凭据。
  4. Control Room 将凭证(密码)传递给 机器人代理机器人代理 使用 robiticworker2112 的自动登录凭据在设备 WinVDI1138 上以 robiticworker2112 的身份执行 Windows 登录(首先注销任何其他用户登录会话)。 自动化(机器人ProcureToPayGeoEast 然后以 robiticworker2112 的身份在设备 WinVDI1138 上开始运行。

使用 CyberArk 检索自动化凭据

自动化凭据是由 机器人 开发人员在自动化 (机器人) 操作中使用的变量,用于定义和从加密存储中检索数据。 自动化使用凭据对应用程序进行身份验证(例如:财务应用程序)。 在运行时,自动化凭据由Automation 360 机器人代理检索。 在 CyberArk 中,保险库是一个存储柜,对象是一个凭据。

以下图像显示了使用 CyberArk 检索自动化凭据的过程:

CyberArk 检索自动化凭据

从 CyberArk 密码保管库中检索到的自动化凭据映射在 Automation Anywhere 凭据保管库 中。 凭据保管库支持这两种类型的自动化凭据:

默认凭据
凭据是指凭据变量返回的值对于使用该变量的任何自动化都是相同的。
基于用户名的凭据
凭据,其中凭据变量返回的值根据自动化运行的用户上下文而有所不同。
注: 您无法使用基于用户名的凭据选项从不同的用户配置文件在 Central Credential Provider (CCP) 中输入动态值。 这些值和属性保持静态,并在 CyberArk 密码保管库中创建。

对于系统凭证和用户定义的凭证,机器人 开发人员在 机器人 代码中指定相同的凭证变量。 然后,系统确定在 机器人 运行时要检索哪个凭证。

用户定义的凭据通过使机器人开发人员能够使用单个凭据变量编写代码来简化自动化开发,其中 RPA 平台在运行时将返回的值替换为唯一的用户特定值。 开发人员可以避免编写带有不同用户特定凭证变量的重复代码。

以下图像显示了 Automation Anywhere 凭据保管库 对象与系统和用户定义凭据的 CyberArk 凭据之间的关系:

Automation Anywhere 和 CyberArk 映射凭据

  • Control Room存储柜(Locker1)已映射到 CyberArk 保险库名称(Safe1)。
  • Control Room系统凭据(Credential1)映射到 CyberArk 对象(Object1)。

作为管理员,您可以在 Automation 360 Control Room 中使用外部密钥保管库功能创建和配置 存储柜 和凭据。 在 Control Room 中,管理员将 Automation Anywhere 存储柜 (Locker1) 映射到一个保险库名称 (Safe1),并将凭据 (Credential1) 映射到一个对象名称 (Object1)。 Control Room 用户可用的凭据由外部密钥保管库(CyberArk 密码保管库)中配置的内容决定。

如果您想在 CyberArk 集成中使用用户定义的凭据,CyberArk 管理员将必须为每个用户定义的凭据创建对象,并使用 Control Room_username 后缀命名这些对象。 在运行时期间,RPA 平台将检索带有与自动化所运行用户上下文(用户定义的凭据)相匹配的后缀的对象名称。 如果没有用户定义的凭据,RPA 平台将检索没有用户名后缀的对象名称(并使用系统凭据)。

注: 您可以将任何 Automation Anywhere 存储柜 映射到任何 CyberArk 保险库名称。 但是,用于映射自动化凭据的保险库名称应与用于自动登录的保险库名称不同。

作为管理员,您可以使用 Automation 360 Control Room 中的访问控件,通过提供对 存储柜 的用户访问权限来分离凭据访问权限。 通过将不同的 Control Room 用户分配到不同的角色,然后将不同的 存储柜 与这些角色关联来控制凭据的访问。 通过将不同的 CyberArk 保险库映射到不同的 存储柜,将 CyberArk 保险库中凭据的访问权限映射到 Control Room 中的访问控件并由其强制执行。

注:Control Room 中通过角色分配的相同权限和特权适用于映射到外部密钥库的凭据。

CyberArk 自动化凭据检索示例

要配置自动化凭据检索并与 CyberArk 密码保管库集成,您首先需要创建一个 存储柜,然后创建凭据。

注: 如果您想在 Control Room 凭据保管库和外部密钥库中存储凭据,我们建议您执行以下操作:
  • Control Room 中创建单独的 存储柜,以存储在 Control Room 凭据保管库中创建的凭据。
  • Control Room 中创建单独的 存储柜,以存储在外部密钥库中创建的凭据。

Control Room 不支持在同一个 存储柜 中存储来自 Control Room 凭据保管库和外部密钥保管库的凭据。

要创建一个与 CyberArk 密码保管库集成的 存储柜,请执行以下步骤:

  1. Automation 360 Control Room,导航到管理 > 凭证

    具有管理我的凭据和存储柜 权限的用户被授权创建凭据。

  2. 单击存储柜选项卡。
  3. 单击创建存储柜
  4. 输入 存储柜 的名称。

    此名称是 Control Room 的本地名称,与 CyberArk 保险库名称没有任何依赖关系。

  5. 单击外部密钥保管库,并在保险库名称字段中输入 CyberArk 保险库名称(例如: Finance_Safe)。
    注: 有关安全名称和对象名称格式,请参阅 外部密钥保管库命名约定
  6. 单击下一步
  7. 存储柜配置所有者、管理者、参与者和消费者。
  8. 单击创建存储柜

    请参阅 创建存储柜

现在,Control Room 已准备就绪,可以检索映射的 CyberArk 保险库的凭据并执行访问控制。 若要继续,您现在需要创建凭证。

要创建凭据以与 CyberArk 密码保管库集成,请执行以下步骤:

  1. Automation 360 Control Room,导航到管理 > 凭据

    具有管理我的凭据和存储柜 权限的用户被授权创建凭据。

  2. 凭据选项卡中,选择创建凭据
  3. 凭证名称字段中输入凭证名称。

    此名称是 Control Room 的本地名称,与 CyberArk 保险库名称没有任何依赖关系。

    注: 有关安全名称和对象名称格式,请参阅 外部密钥保管库命名约定
  4. 单击名称字段下方的外部密钥库
  5. 从可用的 存储柜 列表中,选择之前映射到现在要映射到对象(凭据)的凭据的保险库名称的 存储柜
  6. 对象名称字段中输入 CyberArk 对象名称。
  7. 单击验证并检索属性

    系统通过尝试从 CyberArk 密码保管库中检索保险库名称(存储柜)和对象名称(凭据)组合来验证映射。 在映射到 存储柜 的保险库名称中,Automation 360 期望对象使用正确的命名约定。. 请参阅 外部密钥保管库命名约定

    如果验证失败,CyberArk 密码保管库中将不存在名称与保险库名称(存储柜)和对象名称(凭据)组合匹配的对象。

    当系统成功检索到对象详细信息时,它将显示 CyberArk 密码保管库对象属性(密钥中的字段)。

  8. 从属性列表中选择要映射到凭证的属性。
  9. 单击创建凭证

    如果成功,将会显示凭据成功创建的消息。