次の方法で共有

CyberArk 資格情報を作成する

  • [アーティクル]

この機能により、ユーザーは実行時にボールトから CCP CyberArk シークレットを取得する Power Automate 資格情報を作成できます。

在庫状況

現在、この機能は米国政府機関のクラウドでは利用できません。

前提条件

CyberArk セントラル認証プロバイダ (CCP) を設定する

CyberArk Central Credential Provider (CCP) が設定されていない場合は、次の操作を実行してください。

  1. Central Credential Provider (CCP) をインストールする。 詳細については、https://docs.cyberark.com/credential-providers/latest/en/Content/CCP/CCP-Installation.htm をご覧ください。
  2. CyberArk サーバーと通信できることを確認します。
  3. CCP AIMWebService への接続に https 接続を許可します。

PVWA からのクライアント証明書認証を使用したアプリケーションの作成

署名された証明書により、証明書のシリアル番号によるアプリケーション認証が可能になります。

署名した証明書を追加するには:

  1. CyberArk の Password Vault Web Access (PVWA) にサインインします。

  2. 左側のナビゲーションから、アプリケーション タブを選択して、アプリケーションの追加 を選択します。

    CyberArk アプリケーションのスクリーンショット。

  3. アプリケーション ウィンドウに情報 (少なくとも名前) を入力し、追加 を選択します。

  4. アプリケーションの詳細で、認証 タブに 追加 を選択します。

  5. 証明書のシリアル番号 を入力して値を入力します。 詳細については、アプリケーション認証方法 をご覧ください。

ユーザーアカウントを格納する CyberArk セーフを設定する

(オプション) まだ金庫がない場合は、PVWA から金庫を作成できます。

  1. 左のナビゲーションで、ポリシー を選択してから 金庫 を選択します。

  2. サイトの作成 を選択します。

  3. アプリの名前を入力し、PasswordManager を選択します。

  4. セーフ メンバーとアクセスを入力し、セーフを作成 を選択します。

    PVWA から、コンピュータ アカウントを追加できます。

    注意

    PrivateArk クライアントからアカウントを作成することもできます。

  5. 左側のナビゲーションから、アカウント>アカウントの追加 を選択します。

  6. Windows をシステムタイプとして選択します。

  7. ロボティック プロセス オートメーション (RPA) マシン アカウントを保存するために作成した金庫を選択します。

  8. アカウントに関する情報を入力し、追加 を選択します。

    CyberArk でアカウントを追加しているスクリーンショット。

アプリケーションと資格情報プロバイダーを安全なメンバーとして定義する

  1. 資格情報プロバイダ ユーザを、以下の権限を持つセーフメンバーとして追加します:

    • アカウントの一覧を表示する
    • アカウントを取得する
    • 安全なメンバーを表示

    CyberArk でのアクセス許可の管理のスクリーンショット

  2. 以下の権限を持つセーフ メンバーとしてアプリケーションを追加します:

    • アカウントを取得する

CyberArk アプリケーションをコンピュータ / グループに追加する

重要

現在、ユーザーが他のユーザーと共有しているコンピュータやグループに CyberArk アプリケーションを関連付けることはできません。

CyberArk 資格情報を使用してコンピュータまたはグループで デスクトップ フロー を実行する場合は、CyberArk アプリケーション情報を Power Automate ポータルに追加する必要があります。

  1. Power Automate にサイン インします。

  2. 左側のナビゲーションから、コンピューター を選択し、コンピューターまたはグループを選択します。

  3. コンピュータの詳細セクションで、CyberArk の構成 を選択します。

    資格情報を使用した接続のスクリーンショット。

  4. 新規アプリケーション を選択します。

  5. CyberArk PVWA から作成したアプリケーションのアプリ ID を入力します。

  6. 資格情報を選択します。これは証明書の秘密キーと公開キーを保存します。

    • 許可される形式は .pfx または .p12 ファイルです。
    • 秘密キーはエクスポート可能としてマークする必要があります。

  7. 証明書ファイルを開くために使用される証明書ファイルのパスワードを入力します。

    注意

    パスワードは保存されていません。 証明書はコンピューター グループの公開キーで開かれ、暗号化されるため、登録されたコンピュータからのみ読み取ることができます。

  8. 名前と説明 (任意) を入力し、保存 を選択します。

    コンピューター グループの CyberArk 構成のスクリーンショット

CyberArk 資格情報を作成する

すべての前提条件の手順を完了したので、CyberArk 資格情報を作成できます。

  1. 左のナビゲーションから 資格情報 を選択します。

  2. 新規資格情報 を選択します。

  3. ウィザードで、資格情報の名前と簡単な説明を定義し、次へ を選択します。

  4. Power Automate で資格情報を作成するときに、この資格情報が使用される場所を指定します。 資格情報は、次の 2 種類の用途に使用できます。

    • 接続: これらは、デスクトップ フローが実行されるユーザー セッションの資格情報です。

    • デスクトップ フロー (プレビュー): これらは、デスクトップ フローで使用する資格情報です。 たとえば、SAP 資格情報、SharePoint 資格情報、Excel パスワードなど。

      注意

      パブリック プレビューの場合、デスクトップ フロー アクションで使用される資格情報には CyberArk が必要です。

  5. CyberArk CCP を Credential Store のタイプとして選択します。

  6. すでに CyberArk ストアを定義している場合は、ドロップダウンからそれを選択できます。 それでない場合は、新規作成 を選択します。

    • フォロー: CyberArk Store の名前を提供します。

    • サーバー アドレス: サーバーアドレスはCentral Credential Provider の URL です。 たとえば、https://svc.skytap.com:8992 などとします。

      注意

      8 月リリースより前のバージョンでは、「/」で終わるサーバー アドレスはサポートされません。

    • アプリケーション ID: アプリケーション ID は、Web ブラウザの CyberArk PVWA (Password Vault Web Access) を開いて、アプリケーション タブに移動します。

    • 金庫: CyberArk PVWA に表示される金庫の名前を入力します。

    • フォルダ (オプション): 資格情報が保存されているフォルダー名を入力します。 デフォルトでは、資格情報は "ルート" フォルダに保存されます。

    新しい Credential Store 作成のスクリーンショット。

  7. ウィザードの最後の手順では、ユーザー アカウントに関する情報を提供する必要があります。

    • ユーザー名: テキスト環境変数からユーザー名を選択するか、または新規を選択して新しく作成します。

      デスクトップ フロー接続で使用する CyberArk の資格情報を作成する場合は、デバイス アカウントを指定します。 ユーザー名 (例: <MACHINENAME\User> または <local\User>)、または Microsoft Entra ID アカウント (例: <DOMAIN\User> または <username@domain.com>) を入力します。

    • オブジェクト名: オブジェクト名は、CyberArk 金庫の CyberArk オブジェクト名ストアに相当します。 この値は、PVWA ではアカウント名とも呼ばれます。

デスクトップ フロー接続で資格情報を使用する

これで資格情報が作成されました。 デスクトップ フロー接続で使用して クラウドフローからデスクトップ フローを実行します

デスクトップ フロー アクションで資格情報を使用する (プレビュー)

  1. デスクトップ フローが実行される 登録済みコンピューター があることを確認してください。 資格情報はこのコンピューターから取得されます。

    重要

    ローカルでの実行やデバッグ実行の場合でも、実行時に資格情報が正しく機能するには、登録されたコンピューターが必要となります。

  2. デスクトップ フロー デザイナーで、Power Automateシークレット変数 (プレビュー) モジュールを選択してから、資格情報の取得 (プレビュー) アクションを選択してください。

    注意

    このアクションは、ソブリン クラウドではまだ利用できません。

  3. 取得する資格情報を指定します。 デスクトップ フローで使用可能として定義された資格情報のみが表示されます。 パブリック プレビューでは、CyberArk をボールトとして使用する資格情報のみがサポートされます。

  4. 生成された変数の名前を定義します。 この変数は "機密" としてマークされており、変更できません。 つまり、この変数の値はログに保存されません。

    注意

    資格情報タイプの変数は、その生成方法 (資格情報を取得 (プレビュー) アクション、または新しい資格情報変数に再割り当てするとき、同じ変数タイプが継承されます) に関係なく、常に 機密になるように強制されます。 資格情報変数の "パスワード" プロパティにも同じことが当てはまります。

  5. 「保存」をクリックした後、別のアクションで資格情報を使用してください。 すべての Power Automate アクションで資格情報を使用できます。

  6. アクション フィールドで、変数の青いボタンを選択します。 フロー変数リストで、資格情報を見つけて展開します。 "ユーザー名" と "パスワード" の属性が表示されます。 このアクションで使用するものを選択します (ダブルクリック)。

  7. フローを実行します。