HashiCorp 凭据检索场景

您可以为这些场景检索 HashiCorp 凭据:引导、系统、自动登录和自动化。

检索 Control Room 引导凭据

注: 此场景仅适用于 On-Premises 部署。

Automation 360 Control Room 使用引导凭据访问支持服务,例如数据库、服务账户和 Active Directory (AD)。 在初始安装 On-Premises 期间或安装后(使用密钥保管库工具)配置这些凭据时,您需要指定密钥名称。

以下图像显示了检索Control Room引导凭据的过程使用HashiCorp:

HashiCorp control-room 引导凭据检索

在启动序列或正常操作期间(例如刷新服务身份验证)需要时,Control Room 使用密钥保管库连接检索凭据并执行所需的身份验证。

注: 您必须为此场景选择 Microsoft SQL Server 认证;其他数据库认证方法不支持引导。

检索Control Room系统凭据

注: 此场景仅适用于 On-Premises 部署,并且您只能在初始安装期间配置服务账户。

如果您在初始安装期间配置了外部密钥保管库,则可以使用 Automation 360 用户界面(安装后)配置 SMTP 和 Active Directory (AD) 凭据。

要配置 SMTP:
  1. 以管理员身份登录 Automation 360 Control Room
  2. Control Room导航到: 管理 > 设置 > 电子邮件设置

要配置 Active Directory 凭据:

  1. 以管理员身份登录 Automation 360 Control Room
  2. Control Room导航到: 管理 > 设置 > 活动目录设置
  3. 您可以从外部密钥库映射AD主账户凭据,配置外部凭据,或设置为手动(切换AD主账户凭据检索模式)。

检索自动登录凭据

注:
  • 此场景适用于 On-PremisesCloud 部署。
  • 现在,当您将 Automation 360 服务器与外部密钥保管库集成以实现自动登录时,您可以使用 Control Room 设置配置用户名和密钥保管库对象名称的映射,而不是遵循 Automation 360 的命名约定。 请参阅 自定义密钥命名规定

自动登录凭据用于向 Automation 360 Bot Agent 设备进行身份验证,并启动一个活动的 Windows 会话。 机器人流程自动化 (RPA) 需要一个活动的 Windows 会话才能运行。 当从远程 Bot Agent 设备启动自动化时,自动登录会在自动化运行之前发生。

以下图像显示了使用 HashiCorp 检索自动登录凭据的过程:

HashiCorp 检索自动登录凭据

Control Room 管理员可以通过指定以下详细信息,在 Bot Agent 设备上手动启动或安排作业以启动自动化:

  • 自动化 (bot) 名称
  • 设备名称
  • 用户上下文

系统使用与用户上下文关联的用户名和密码自动登录到指定设备,然后在设备上运行自动化程序。

如果您使用旧版外部保管库命名约定,则必须为每个需要从外部密钥保管库检索自动登录凭据的 Control Room 用户创建一个密钥,并且 HashiCorp 保管库中的密钥名称 必须与 Control Room 用户名匹配。

使用更新后的方法和自定义的密钥命名,您可以提供自己的密钥命名格式,而无需遵循任何 Automation 360 编码约定。 您可以创建 Control Room 用户名与密钥名称的映射。 要将 Control Room 用户名与名称进行映射,您必须导入一个包含用户名,秘密名称映射条目的.CSV 模板文件到 Control Room 中。

要配置从外部密钥库检索自动登录凭据,请执行以下步骤:

  1. 以管理员身份登录 Automation 360 Control Room
  2. Control Room,导航到 管理 > 设置 > 外部密钥库 > 设备自动登录
  3. 单击 Edit
  4. 如果您之前将 HashiCorp 保管库配置为外部密钥保管库连接,请单击启用以从该外部密钥保管库检索自动登录凭据。

    如果此选项被禁用,则外部密钥库连接未配置。

    注: 如果您禁用来自外部密钥库的自动登录,则凭据将使用 AAI Credential Vault 及其存储的凭据来检索。
  5. HashiCorp 保管库有一个扁平命名空间,没有任何组织容器,因此您不需要输入保险库名称。 单击保存更改

如果成功,将显示自动登录设置已成功保存的消息。

自动登录命名约定

Control Room 根据外部密钥保管库中的密钥命名约定检索自动登录凭据。 Control Room 将搜索密钥名称(外部密钥库中的凭据名称)与其正在执行自动登录的 Control Room 用户名相匹配的对象。

前缀 autologin_ 是所有外部密钥保管库自动登录凭据命名约定的一部分: CyberArk、AWS、HashiCorp 和 Azure。 外部密钥保管库中自动登录凭据的名称必须包含 autologin_,后接 Control Room 用户名。 在某些情况下,某些密钥保管库对凭据密钥名称中可使用的字符有限制。 此外,为了支持不同场景对凭据的编码方式,Automation 360 要求保留或编码某些字符。

以下表格列出了 Control Room 中预期的密钥命名约定示例:

Control Room 用户名 预期的密钥名称格式
ABCD\user123 autologin_ABCD--user123
user123@rpa.abcd.com autologin_user123-40-rpa-2e-abcd-2e-com
注: 对于使用 AD 认证的On-Premises客户,您必须使用 UPN 格式或domain\username后缀来格式化自动登录用户名。

对于自动登录凭据,请记住以下几点:

  • 外部密钥保管库中的密钥名称必须包含前缀 autologin_
  • 自动登录凭证名称必须映射到要检索的凭证的 Control Room 用户名(登录 ID)。

    某些外部密钥保管库对某些字符的使用有限制,例如在密钥名称中限制使用反斜杠(\)和符号(@),以及对 API 调用中如何解释特殊字符的限制。 如果用户 ID 包含特殊字符,则必须使用以下表格中的 ASCII 码字符替换对外部密钥保管库中的密钥名称进行编码。

此字符 对该 ASCII 代码字符替换的更改
\(反斜杠) --
-(破折号) -2天-
_(下划线) -5f-
@(与号) -40-
.(句号) -2e-
注: 除了反斜杠被映射为双破折号之外,破折号、句号、下划线和符号 & 被映射为用破折号括起来的 ASCII 代码。

HashiCorp 自动登录凭据示例

对于此自动登录凭据检索示例,请考虑一个想要以特定用户身份在设备上部署botControl Room用户。 此示例使用以下详细信息:

  • 自动化 (bot) 名称在设备上运行 = ProcureToPayGeoEast
  • 代理设备名称 = WinVDI1138
  • 代理用户上下文 = autologin-5f-rpauserCR1-40-abcd-2e-com

以下图像显示了使用 HashiCorp 保管库检索自动登录凭据的示例:

HashiCorp 自动登录凭据

在启动自动化之前,请确保以下事项:

  1. Control Room 连接详细信息已成功配置,Control Room 使用这些连接详细信息连接到 HashiCorp 并执行身份验证。
  2. Control Room 查询设备 WinVDI1138 上运行的 Bot Agent 设备,以检查设备 WinVDI1138 上当前是否有活动的 Windows(操作系统)会话,并且该会话是否属于坐席用户 rpauserCR1

    如果用户 rpauserCR1 设备上存在现有会话,则无需执行自动登录,bot 将继续进行部署。

  3. 但是,如果没有活动会话,或者有一个不属于 rpauserCR1 的活动会话,Control Room 将从 HashiCorp 保管库中检索自动登录凭据。
  4. Control Room 将凭证(密码)传递给 Bot AgentBot Agent 使用 rpauserCR1 的自动登录凭据在设备 WinVDI1138 上以 rpauserCR1 的身份执行 Windows 登录(首先注销任何其他用户登录会话)。 自动化(BotProcureToPayGeoEast 然后以 rpauserCR1 的身份在设备 WinVDI1138 上开始运行。

检索自动化凭据

注: 此场景适用于 On-PremisesCloud 部署。

自动化凭据是由 bot 开发人员在自动化 (bot) 操作中使用的变量,用于定义和从加密存储中检索数据。 自动化使用凭据对应用程序进行身份验证(例如:财务应用程序)。 在运行时,自动化凭据由Automation 360 Bot Agent检索。

下图显示了使用 HashiCorp 检索自动化凭据的过程:

hashicorp_检索_自动化_凭据

HashiCorp 保管库中检索到的自动化凭据被映射在 Automation Anywhere Credential Vault 中。 Credential Vault 支持这两种类型的自动化凭据:

系统凭据
凭据是指凭据变量返回的值对于使用该变量的任何自动化都是相同的。
用户定义的凭证
凭据,其中凭据变量返回的值根据自动化运行的用户上下文而有所不同。

对于系统凭据和用户定义的凭据,bot 开发人员在 bot 代码中指定相同的凭据变量。 然后,系统确定在 bot 运行时要检索哪个凭据。

用户定义的凭据通过使 bot 开发人员能够使用单个凭据变量编写代码来简化自动化开发,其中 RPA 平台在运行时将返回的值替换为唯一的用户特定值。 开发人员可以避免编写带有不同用户特定凭证变量的重复代码。

以下图像显示了 HashiCorp 凭据的预期命名约定:

HashiCorp 需要凭据

该图显示了 HashiCorp 保管库中的六个密钥,这些密钥可以映射到 Control Room Credential Vault 中的两个凭据。

  • Object3
  • Object4

例如,您可以将 Control Room 中的 locker 映射到 prefixID3prefixID4。 然后,您将密钥映射到凭据。 对于每个凭据,密钥将作为系统定义的凭据(没有用户名后缀)和两个用户定义的凭据(分别为用户名为 User1ID1User1ID2Control Room 用户)使用(由Control Room检索)。

注:Control Room Credential Vault 中,locker 的名称和凭据的名称是任意的,并且是 Control Room 的本地名称。 您将这些名称映射到外部密钥保管库中的特定密钥。

HashiCorp 保管库中,每个自动化凭据都以包含特定标识符的名称存储,这些标识符包括:前缀、对象标识符和可选的后缀(用于标识用户名)。 这是一个必需的命名约定,以确保检索到正确的凭据。 HashiCorp 保管库中密钥(凭据)的名称编码了有关 Automation Anywhere Credential Vault 内映射的信息。

作为管理员,要将 Control Room 映射到 HashiCorp 保管库,您需要在 Automation 360 Control Room 中使用 创建存储柜创建凭据 功能下的外部密钥保管库选项创建和配置 locker 和凭据。

  • 您在映射到HashiCorp保管库名称前缀的 Credential Vault 中配置 locker
  • 您在映射到 HashiCorp 保管库对象标识符(用户定义凭据的可选后缀)的 Credential Vault 中配置凭据。

在运行时,RPA 平台检索与自动化运行的用户上下文(用户定义的凭据)匹配的后缀命名的密钥。 如果没有用户定义的凭据,RPA 平台将检索没有用户名后缀的密钥(系统凭据)。

Control Room 通过角色内的权限对外部凭据实施访问控制。 您通过将不同的 Control Room 用户分配到不同的角色,然后将不同的 locker 与这些角色关联,来控制对凭据的访问。

下图显示了映射到 HashiCorp 保管库的 Control Room Credential Vault locker 和凭据:

HashiCorp 将凭据映射到凭据保管库

重要: 在创建外部映射凭据时,必须将凭据放置在适当的外部映射 locker 中(locker 映射到密钥名称中的前缀)。 HashiCorp 保管库名称将遵循命名约定: 前缀 + Secret_Name_Body + 后缀(用户自定义凭据可选)。
注:Control Room 中通过角色分配的相同权限和特权适用于映射到外部密钥库的凭据。

自动化命名约定

以下表格展示了使用命名约定进行自动化的 HashiCorp 保管库外部密钥保管库示例。

注: HashiCorp 前缀映射到Control Room存储柜,而 HashiCorp 保管库映射到 Control Room 的凭据。
自动化凭据示例 HashiCorp 前缀 HashiCorp 键值密钥引擎 HashiCorp 中的密钥 Control Room 用户名

accounting_pdf

存储柜 中的系统凭据映射到 HashiCorp 保管库密钥名称前缀会计

会计 pdf accounting_pdf(系统) 无 - 系统凭据

accounting_pdf_ABCD--user123

存储柜中的用户定义凭据映射到 HashiCorp 密钥名称前缀 会计

会计 pdf accounting_pdf_ABCD--user123 ABCD\user123

HashiCorp 自动化凭据检索示例

要配置自动化凭据检索并与 HashiCorp 保管库集成,您首先需要创建一个 locker,然后创建凭据。

注: 如果您想在 Control Room 凭据保管库和外部密钥库中存储凭据,我们建议您执行以下操作:
  • Control Room 中创建单独的 lockers,以存储在 Control Room 凭据保管库中创建的凭据。
  • Control Room 中创建单独的 lockers,以存储在外部密钥库中创建的凭据。

Control Room 不支持在同一个 locker 中存储来自 Control Room 凭据保管库和外部密钥保管库的凭据。

要创建一个与 HashiCorp 保管库集成的 locker,请执行以下步骤:

  1. Automation 360 Control Room,导航到管理 > 凭证

    具有管理我的凭据和lockers 权限的用户被授权创建凭据。

  2. 凭据选项卡中,选择创建存储柜
  3. 输入 locker 的名称(例如,Locker3)。

    此名称是 Control Room 的本地名称,并且不依赖于 HashiCorp 保管库的密钥名称。

  4. 单击外部密钥保管库 并输入 HashiCorp 保管库密钥名称前缀(例如:prefixID3)。 您必须使用名称前缀在 HashiCorp 保管库中命名密钥,以成功完成映射配置。
  5. 单击下一步
  6. locker 配置所有者、管理者、参与者和消费者。
  7. 单击创建存储柜

    请参阅 创建locker

现在,Control Room 已准备就绪,可以对所有前缀为 prefixID3 的 HashiCorp 密钥检索凭据并执行访问控制。 若要继续,您现在需要创建凭据。

要创建一个与 HashiCorp 保管库集成的凭据,请执行以下步骤:

  1. Automation 360 Control Room,导航到管理 > 凭据

    具有管理我的凭据和lockers 权限的用户被授权创建凭据。

  2. 凭据选项卡中,选择创建凭据
  3. 凭据名称字段中输入凭据名称。

    此名称是 Control Room 的本地名称,并且不依赖于 HashiCorp 保管库密钥名称。

  4. 单击名称字段下方的外部密钥库
  5. 从可用的 lockers 列表中,选择之前映射到您现在想要映射到凭据的密钥名称前缀的相应 locker
  6. 密钥名称字段中输入 HashiCorp Secret_Name_Body(例如: Object3)。
  7. 单击验证并检索属性

    系统通过尝试从 HashiCorp 保管库中检索名为 Prefix_Secret_Name_Body 的密钥来验证映射(例如:prefixID3_Object3)。

    如果验证失败,HashiCorp 保管库中将不存在名称与 locker(前缀)和凭据 (Secret_Name_Body) 相匹配的密钥。 在此示例中,HashiCorp 保管库中没有名为 prefixID3_Object3 的密钥。

    当系统成功检索到密钥时,将显示 HashiCorp 保管库密钥属性(密钥中的字段)。

  8. 从属性列表中选择要映射到凭证的属性。
  9. 单击创建凭证

    如果成功,将会显示凭据成功创建的消息。