您可以集成 Automation 360 以从 CyberArk Password Vault 中检索凭据。 这些凭据存储在 CyberArk Password Vault 中,并由其进行管理、定期轮换和同步。

注: CyberArk 标志和徽标是 CyberArk Software Ltd 的商标或注册商标,仅用于识别目的。

借助 CyberArk Central Credential Provider (CCP) API,将 Automation 360 Control Room 连接到 CyberArk Password Vault 进行集成。 无需额外许可即可与 CyberArk Password Vault 集成或使用 CCP API。

注: 我们建议您通过 IP 地址控制对 CyberArk Password Vault 的访问。

您可以使用以下任一部署将 Automation 360 与 CyberArk Password Vault 集成:

  • 云部署
  • 本地部署

下图显示了 Automation 360 部署,其中 Control Room 托管在 AAI Cloud 上:

Cyberark 云部署

对于本地部署,您需要部署以下内容:

  • 在您的客户环境中作为软件部署 Control Room
  • 在运行自动化并访问客户应用程序的客户环境中部署 Bot Agent
重要: 您只能通过用户界面在部署中编辑外部密钥保管库连接设置。 本地部署中的外部密钥保管库设置只能在安装期间配置,或者在安装后使用密钥保管库实用工具进行配置。

CyberArk Password Vault 集成要求

安装 CyberArk Central Credential Provider

您必须在 CyberArk 服务器上安装和配置 CyberArk Central Credential Provider。 请参阅 CyberArk Central Credential Provider installation

实施 X.509 客户端证书认证方法

X.509 客户端证书是一种数字证书,客户端系统使用它向远程服务器发出经过身份验证的请求,并使用广泛接受的国际 X.509 公钥基础设施 (PKI) 标准来验证证书中包含的用户、计算机或服务身份是否拥有公钥。

Automation 360 Control Room 在连接到 CyberArk CCP API 时使用客户端证书作为身份验证方法。

这种身份验证方法非常安全,并利用系统的信任库来存储客户端证书、服务器证书和私钥。 信任库是由操作系统软件提供的证书存储位置,其中包含颁发证书的证书颁发机构 (CA) 的证书。 您可以将单个服务器证书导入到信任库中。 然而,导入颁发证书的证书颁发机构 (CA) 证书更高效。

以下图像提供了基于证书的身份验证概述:

基于证书的身份验证方法

  1. 客户端 (Automation 360 Control Room) 向 CyberArk AIM 服务器(受保护资源)发送请求。
  2. 服务器随后通过向客户端发送证书进行响应。
  3. Automation 360 Control Room 通过将其与存储在 Control Room 信任库公共部分的受信任服务器认证信息进行验证,验证由 CyberArk AIM 服务器发送的证书。
  4. 在验证信任库中的信息后,Automation 360 Control Room 将证书重新发送回 CyberArk AIM 服务器。
  5. CyberArk AIM 服务器随后根据存储在 AIM 服务器信任库公共部分的受信客户端认证信息验证由 Automation 360 Control Room 发送的证书。

    由于客户证书(包含私钥的证书)通常以受密码保护的格式分发,因此证书文件(使用 .p12 格式,如:c:\PATH\aaeCyberArkCertificate.p12)需要一个密码短语。

  6. 双方(客户端和服务器)在证书通过以下验证的基础上获得对受保护资源的访问权限:
    • Control Room 证书必须被 CyberArk AIM 服务器信任。
    • Control Room 必须信任 CyberArk AIM 服务器上的证书。
    • 证书中的主题字段与调用系统的完全限定域名(DNS 名称)匹配。
    • 证书未过期
重要: 在集成规划阶段,协调证书和证书请求。 在开始进行集成配置之前,您需要请求由公钥基础设施 (PKI) 团队颁发证书。 证书文件存储在 PKI 文件夹中,并在需要时使用 Control Room 密码访问。 Control Room 密码短语以加密形式存储在 keyvault.properties 文件中。

CyberArk Central Credential Provider API 配置要求

您必须在 Automation 360 Control Room 和 CyberArk AIM 服务器之间具有网络连接。 Automation 360 Control Room 通过 CyberArk Central Credential Provider (CCP) API 连接到 CyberArk Password Vault,适用于 本地部署Cloud部署。

CyberArk CCP API 配置

注: 使用 CCP API 不需要额外的许可。

要使用 CCP API,您必须设置以下必需的参数:

  • Automation 360 v.20(仅支持使用 On-Premises部署的引导凭据)
  • Automation 360 v.21 或更高版本(支持所有引导和系统场景的 On-Premises部署、自动登录以及 On-PremisesCloud部署的自动化凭据)
  • Control Room Key Vault 包含以下连接详细信息:
    • CCP API 保险库连接 URL – 例如:https://<host:port>/AIMWebService/api/Accounts?
    • CCP API 应用程序 ID – 您必须使用应用程序 ID (AppID) 配置 CyberArk AIM 服务器。 例如: AACompanyControlRoom1.

      请参阅 定义 CyberArk 应用程序 ID

    • X.509 客户端证书与私钥颁发给 Automation 360 Control Room

      (证书的主题字段中包含 Control Room 完全限定域名)并配置了 CyberArk AIM 服务器进行身份验证。 例如:c:\PATH\aaeCyberArkCertificate.p12

      注: 需要 .p12 格式。

查看 CyberArk 凭证术语和标识符

CyberArk 和 Automation Anywhere 使用不同的术语来描述和识别凭据:

描述 CyberArk Automation Anywhere
凭据存储位置 对象 凭据
密钥保管库的主要分区 保险库(包含对象) 存储柜(包含凭据)
  • CyberArk 中的凭据存储在对象中,每个对象都包含在保险库中。

    单个 CyberArk 实例可以有多个保险库,每个保险库都有用户访问控制。

  • Automation Anywhere 中的凭据存储在存储柜 中,每个存储柜都有 Control Room 用户访问控制。

CyberArk 通过保险库名称和对象名称识别凭据。 CCP API 使用 CyberArk 保险库名称和 CyberArk 对象名称来访问 CyberArk Password Vault 中的凭据(凭据必须存在于 CyberArk 中)。

以下是一个代码示例,展示了 CCP API 调用及其对应的响应:

https://<host:port>/AIMWebService/api/Accounts?AppID=BillingApp&Query=Safe=Billing;Object=MonthlyBilling

响应

{ "Content":"", "PolicyID":"CyberArk", "CreationMethod":"PVWA", "Folder":"Root", "Address":"address tbd", "Name":"Application-CyberArk-address tbd-vb", "Safe":"aa_vb_safe", "DeviceType":"Application", "UserName":"vb", "PasswordChangeInProcess":"False" }

凭据值或密钥(例如,密码)存储在内容属性中,用户 ID(Control Room 用户名,例如 vb)存储在用户名属性中。

定义 CyberArk 应用程序 ID

Automation 360 通过 CyberArk Central Credential Provider (CCP) API 与 CyberArk Password Vault 集成。 应用程序 ID (AppID) 是必需的配置参数。

作为 CyberArk 管理员,使用 CyberArk Password Vault Web Access (PVWA) 界面,通过遵循指定的程序来定义应用程序 ID,以准备 CyberArk AIM 服务器与 Control Room 的集成。 请参阅 CyberArk Password Vault Web Access

  1. 您必须以被允许在 CyberArk 平台上管理应用程序的用户身份登录(需要管理用户授权)。
  2. 应用程序选项卡中,单击添加应用程序
  3. 添加应用程序面板中,输入以下信息:
    选项 行动
    名称 指定应用程序的唯一名称 (ID)。

    我们建议使用基于 Control Room 名称或功能的名称,例如: AACompanyControlRoom1
    描述 请输入简短的应用程序描述以便于识别。
    业务负责人 输入有关应用程序业务负责人的联系信息。
    位置 在保管库层次结构中选择应用程序的位置。

    如果未选择位置,应用程序将添加到与创建此应用程序的用户相同的位置。
  4. 单击添加以添加新的应用程序,并在应用程序详细信息页面上显示。
  5. 应用程序详细信息页面中,选择允许扩展身份验证限制复选框,为单个应用程序指定无限数量的机器和 Windows 域操作系统用户。
  6. 身份验证选项卡中,单击添加以向新的应用程序添加详细信息。

    显示可用的身份验证特征列表,凭据提供程序在获取应用程序密码之前使用这些特征进行验证。

    凭据提供程序身份验证特征

  7. 可选: 选择操作系统用户,输入将运行该应用程序的用户的名称,然后单击添加,将操作系统用户添加到身份验证选项卡中的用户列表中。
  8. 选择证书序列号并输入 Control Room 客户端证书的序列号,然后单击添加
  9. Automation 360 推荐): 在允许的机器选项卡中,单击添加,并指定允许应用程序运行和请求密码的 IP/主机名/DNS 地址。

    CyberArk AIM 使用此地址来确保只有从指定机器上运行的应用程序才能访问其密码。

  10. 单击添加将 IP 地址添加到允许的机器列表中。

在 CyberArk Password Vault 中配置账户

在应用程序能够运行之前,您必须授予应用程序访问现有用户账户或在 CyberArk Password Vault 中配置新用户账户的权限。

使用 Password Safe 来提供应用程序所需的特权用户账户。 您可以使用以下方法之一来配置账户:

  • 手动逐个添加账户,然后指定所有账户详细信息。
  • 自动使用密码上传功能添加多个账户。 要自动添加账户,您必须在 Password Safe 中拥有对添加账户功能的授权。

有关添加和管理特权账户的详细信息,请参阅Privileged Access Manager - Self-Hosted

设置对应用程序和密码提供程序的访问权限

在用户账户由 CyberArk 提供后,您必须设置对应用程序和为应用程序提供服务的 CyberArk Application Password 提供程序的访问权限。

在安装 Central Credential Provider 的位置,将提供程序用户和应用程序用户添加为 Password Safe(其中存储应用程序密码)的成员。 您可以使用以下方法之一添加用户:

  • 保险库选项卡手动操作
  • 通过在添加多个应用程序时在 CSV 文件中指定保险库名称

要将用户添加为保险库成员,请在添加保险库成员对话框中,将提供程序添加为保险库成员,并选择以下访问授权,然后单击添加

  • 检索账户(访问)
  • 列出账户(访问)
  • 查看保险库成员(监控)

CyberArk 添加保险库成员

注: 在为 CyberArk Password Vault 集成安装多个提供程序时,我们建议您首先为它们创建一个组,然后将该组添加到保险库中,并选择相同的访问授权。

要将应用程序 (AppID) 添加为保险库成员,请执行以下步骤:

  1. 添加保险库成员对话框中,将 (AppID) 添加为保险库成员,并选择检索账户(访问)作为访问授权。
  2. 单击添加

如果保险库配置为对象级访问,请确保提供程序用户和应用程序都具有访问密码的权限以进行检索。 有关添加和管理特权账户的详细信息,请参阅Privileged Access Manager - Self-Hosted