Поделиться через

Создание учетных данных CyberArk

  • Статья

Эта функция позволяет пользователям создавать учетные данные Power Automate, которые будут извлекать секреты CCP CyberArk из хранилища во время выполнения.

Availability

В настоящее время эта функция недоступна для облаков для государственных учреждений США.

Предварительные условия

Настройка центрального поставщика учетных данных CyberArk (CCP)

Если ваш центральный поставщик учетных данных CyberArk (CCP) не настроен, выполните следующие действия:

  1. Настройте центрального поставщика учетных данных (CCP). Подробнее см. в разделе https://docs.cyberark.com/credential-providers/latest/en/Content/CCP/CCP-Installation.htm.
  2. Убедитесь, что ваши компьютеры могут обмениваться данными с сервером CyberArk.
  3. Разрешите HTTPS-подключениям связь с CCP AIMWebService.

Создайте приложение с аутентификацией по сертификации клиента из PVWA

Подписанный сертификат обеспечивает аутентификацию приложения с помощью серийного номера сертификата.

Чтобы добавить подписанный сертификат:

  1. Войдите в систему доступа к хранилищу паролей CyberArk (PVWA).

  2. В левой области навигации выберите вкладку Приложения, а затем выберите Добавить приложение.

    Снимок экрана приложения CyberArk.

  3. Укажите информацию в окне «Приложение» (по крайней мере, имя) и выберите Добавить.

  4. В сведениях о приложении выберите Добавить на вкладке Аутентификация.

  5. Выберите Серийный номер сертификата и введите значение. Дополнительную информацию см. в разделе Методы аутентификации приложений.

Настройте сейф CyberArk, содержащий учетные записи пользователей

(Необязательно) Если у вас еще нет сейфа, вы можете создать его из PVWA:

  1. В левой области навигации выберите Политики, а затем выберите Сейфы.

  2. Выберите Создать сейф.

  3. Введите имя сейфа и выберите PasswordManager.

  4. Введите «Безопасные участники и доступ», а затем выберите Создать сейф.

    Затем из PVWA вы можете добавить учетные записи своих компьютеров.

    Заметка

    Вы также можете создавать учетные записи из клиента PrivateArk.

  5. В левой области навигации выберите Учетные записи>Добавить учетную запись.

  6. Выберите Windows в качестве типа системы.

  7. Выберите сейф, который вы создали для хранения своих учетных записей компьютеров для роботизированной автоматизации процессов (RPA).

  8. Укажите информацию о своей учетной записи и выберите Добавить.

    Снимок экрана с добавлением учетной записи в CyberArk.

Определите поставщика приложений и учетных данных как безопасного участника

  1. Добавьте пользователя поставщика учетных данных в качестве безопасного участника со следующими полномочиями:

    • Список учетных записей
    • Получение учетных записей
    • Просмотр безопасных участников

    Снимок экрана с управлением разрешениями в CyberArk

  2. Добавьте приложение в качестве безопасного участника со следующими полномочиями:

    • Получение учетных записей

Добавление приложения CyberArk в компьютер/группу компьютеров

Важно

В настоящее время пользователи не могут связать приложение CyberArk с компьютерами или группами, доступ к которым предоставлен другим пользователям.

Если вы хотите запустить классический поток на компьютере или в группе, используя учетные данные CyberArk, вам необходимо добавить информацию о своем приложении CyberArk на портале Power Automate.

  1. Войдите в Power Automate.

  2. На панели навигации слева выберите Компьютеры, затем выберите компьютер или группу.

  3. В разделе «Сведения о компьютере» выберите Настроить CyberArk.

    Снимок экрана подключения с учетными данными.

  4. Выберите Новое приложение.

  5. Введите идентификатор приложения, созданного из CyberArk PVWA.

  6. Выберите сертификат, в котором хранятся закрытый и открытый ключ сертификата.

    • Разрешенными форматами являются файлы .pfx или .p12.
    • Закрытый ключ должен быть помечен как экспортируемый.

  7. Введите пароль файла сертификата, который используется для открытия файла сертификата.

    Заметка

    Пароль не сохраняется. Сертификат открывается и шифруется открытым ключом группы компьютеров, поэтому его можно прочитать только с зарегистрированных компьютеров.

  8. Введите описание (необязательно), а затем выберите Сохранить.

    Снимок экрана с настройкой группы компьютеров CyberArk

Создание учетных данных CyberArk

Теперь, когда вы выполнили все необходимые действия, вы можете создать свои учетные данные CyberArk.

  1. Выберите Учетные данные из левого меню навигации.

  2. Выберите Новые учетные данные.

  3. В мастере укажите имя учетной записи и краткое описание, а затем выберите Далее.

  4. При создании учетных данных в Power Automate укажите, где эти учетные данные используются. Учетные данные можно использовать для двух целей:

    • Подключение: это учетные данные сеанса пользователя, в котором выполняется классический поток.

    • Классические потоки (предварительная версия): это учетные данные, которые вы хотите использовать в классическом потоке. Например, учетные данные SAP, учетные данные SharePoint, пароль Excel и т. д.

      Заметка

      Для общедоступной предварительной версии учетные данные, используемые в действиях классических потоков, требуют наличия CyberArk.

  5. Выберите CyberArk CCP в качестве типа хранилища учетных данных.

  6. Если вы уже определили хранилище CyberArk, вы можете выбрать его из раскрывающегося списка. В противном случае выберите Создать новое.

    • Отображаемое имя: укажите имя для вашего хранилища CyberArk.

    • Адрес сервера: этот адрес сервера является URL-адресом центрального поставщика учетных данных. Например: https://svc.skytap.com:8992.

      Заметка

      Версии, предшествующие августовскому выпуску, не поддерживают адрес сервера, оканчивающийся на "/".

    • Идентификатор приложения: чтобы найти идентификатор приложения, откройте CyberArk PVWA (Password Vault Web Access) в веб-браузере и перейдите на вкладку «Приложения».

    • Сейф: введите имя сейфа, отображаемое в CyberArk PVWA.

    • Папка (необязательно): укажите имя папки, в которой хранятся ваши учетные данные. По умолчанию учетные данные хранятся в корневой папке.

    Снимок экрана с созданием нового хранилища учетных данных.

  7. На последнем шаге мастера вам необходимо предоставить информацию об учетной записи пользователя:

    • Имя пользователя: выберите имя пользователя из текстовых переменных среды или создайте новое, выбрав «Создать».

      Если вы создаете учетные данные CyberArk для использования в подключении классического потока, укажите учетную запись устройства. Укажите имя пользователя (например, <MACHINENAME\User> или <local\User>) либо учетную запись Microsoft Entra ID, например <DOMAIN\User> или <username@domain.com>.

    • Имя объекта: имя объекта соответствует хранилищу имен объектов CyberArk в сейфе CyberArk. Это значение также называется именем учетной записи в PVWA.

Использование учетных данных в подключениях классических потоков

Ваши учетные данные созданы. Вы можете использовать их в подключении классического потока для запуска классических потоков из облачных потоков.

Использование учетных данных в действиях классических потоков (предварительная версия)

  1. Убедитесь, что у вас есть зарегистрированный компьютер, на котором выполняется классический поток. Учетные данные извлекаются с этого компьютера.

    Важно

    Зарегистрированный компьютер необходим для правильной работы учетных данных во время выполнения, даже для локальных запусков с сопровождением или отладкой.

  2. В конструкторе классических потоков выберите модуль переменных секретов Power Automate (предварительная версия), а затем выберите действие Получить учетные данные (предварительная версия).

    Заметка

    Это действие пока недоступно в национальных облаках.

  3. Укажите, какие учетные данные следует извлечь. В классическом потоке отображаются только учетные данные, определенные как пригодные для использования. В общедоступной предварительной версии поддерживаются только учетные данные, используемые CyberArk в качестве хранилища.

  4. Определите имя создаваемой переменной. Эта переменная помечена как "конфиденциальная" и не может быть изменена. Это означает, что значение этой переменной не хранится в журналах.

    Заметка

    Переменные типа учетных данных всегда должны быть конфиденциальными, независимо от того, как они создаются (действие "Получить учетные данные (предварительная версия)" или переназначение переменной учетных данных новой, которая наследует тот же тип переменной). То же самое относится и к свойству "Password" переменных учетных данных.

  5. После нажатия кнопки "Сохранить" используйте свои учетные данные в другом действии. Все действия Power Automate могут использовать учетные данные.

  6. В поле действия выберите синюю кнопку для переменных. В списке переменных потока найдите свои учетные данные и разверните их. Вы можете увидеть атрибуты "имя пользователя" и "пароль". Выберите атрибут, который вы хотите использовать в этом действии (двойным щелчком кнопки мыши).

  7. Выполните поток.