共用方式為

建立 CyberArk 認證

  • 發行項

此功能允許使用者建立 Power Automate 認證,用於在執行階段從儲存庫擷取 CCP CyberArk 祕密。

可用工時

目前,此功能不適用於美國政府雲端。

先決條件

設定您的 CyberArk 中央認證提供者 (CCP)

如果您的 CyberArk 中央認證提供者 (CCP) 未設定,請完成以下操作:

  1. 安裝中央認證提供程式 (CCP)。 請至 https://docs.cyberark.com/credential-providers/latest/en/Content/CCP/CCP-Installation.htm 深入了解。
  2. 確保您的電腦可以與 CyberArk 伺服器通訊。
  3. 允許 HTTPS 連線連接到 CCP AIMWebService。

建立具有來自 PVWA 的用戶端認證驗證的應用程式

簽名證書使用證書序列號啟用應用程式驗證。

若要新增簽署憑證:

  1. 登入 CyberArk 的密碼儲存庫 Web 存取 (PVWA)。

  2. 從左側導覽中,選取應用程式索引標籤,然後選取新增應用程式

    CyberArk 應用程式的螢幕擷取畫面。

  3. 在「應用程式」視窗中提供資訊 (至少一個名稱),然後選擇新增

  4. 在應用程式的詳細資訊中,選擇驗證索引標籤上的新增

  5. 選擇證書 序列號 並輸入值。 有關詳細資訊,請參閱 應用程式驗證方法

設定包含使用者帳戶的 CyberArk 儲存庫

(選用) 如果您還沒有保管庫,可以從 PVWA 建立保管庫:

  1. 從左側導覽中,選取原則,然後選取保管庫

  2. 選取建立保管庫

  3. 輸入保管庫名稱,並選取 PasswordManager

  4. 輸入「保管庫成員」和「存取權」,然後選取建立保管庫

    然後,可以從 PVWA 中新增電腦帳戶。

    注意

    您也可以從 PrivateArk 用戶端建立帳戶。

  5. 從左導覽窗格,選取帳戶>新增帳戶

  6. 在系統類型選擇 Windows

  7. 選擇您建立的用於儲存機器人程序自動化 (RPA) 電腦帳戶的保險箱。

  8. 提供有關帳戶的資訊,然後選擇新增

    在 CyberArk中新增帳戶的螢幕擷取畫面。

將應用程式和認證提供者定義為安全成員

  1. 將認證提供者使用者新增為具有以下權限的安全成員:

    • 列出帳戶
    • 擷取帳戶
    • 查看安全成員

    CyberArk 中管理權限的螢幕擷取畫面

  2. 將應用程式新增為具有以下權限的安全成員:

    • 擷取帳戶

將 CyberArk 應用程式新增到電腦/群組

重要

目前,使用者無法將 CyberArk 應用程式與其他使用者共用的電腦或群組關聯起來。

如果要使用 CyberArk 認證在電腦或群組上執行桌面流程,則需要在 Power Automate 入口網站中新增 CyberArk 應用程式資訊。

  1. 登入 Power Automate

  2. 從左側導覽中選擇電腦,然後選擇電腦或群組。

  3. 在「電腦詳細資訊」中,選擇設定 CyberArk

    使用認證連線的螢幕擷取畫面。

  4. 選取新增應用程式

  5. 輸入您從 CyberArk PVWA 建立的應用程式的應用程式識別碼。

  6. 選擇憑證,其中儲存了憑證的私密金鑰和公開金鑰。

    • 允許的格式為 .pfx 或 .p12 檔案。
    • 私鑰應標記為可匯出。

  7. 輸入用於打開證書檔的證書文件密碼。

    注意

    不儲存密碼。 該憑證使用電腦群組的公開金鑰開啟和加密,因此只能從註冊的電腦上讀取。

  8. 輸入說明 (選用),然後選取儲存

    在電腦群組上設定 CyberArk 的螢幕擷取畫面

建立 CyberArk 認證

現在您已完成所有先決條件步驟,可以建立 CyberArk 認證。

  1. 從左側導覽中選取認證

  2. 選取新認證

  3. 在精靈中,定義憑證名稱和簡短說明,然後選擇下一步

  4. 在 Power Automate 中建立憑證時,請指定使用此憑證的位置。 憑證可用於兩種用途:

    • 連線:這些是執行桌面流程的使用者工作階段的憑證。

    • 桌面流程 (預覽版):以下是您可能會想要在桌面流程中使用的憑證。 例如,SAP 憑證、SharePoint 憑證、Excel 密碼等。

      注意

      對於公開預覽版,桌面流程動作中使用的憑證需要 CyberArk。

  5. 選擇 CyberArk CCP 作為認證儲存的類型。

  6. 如果您已經定義了 CyberArk 存放區,則可以從下拉清單中選擇它。 否則,請選取建立新的

    • 顯示名稱:為您的 CyberArk 存放區提供一個名稱。

    • 伺服器位址:伺服器位址為中央認證提供者 URL。 例如:https://svc.skytap.com:8992

      注意

      八月版本以下的版本不支援以 "/" 結尾的伺服器位址。

    • 應用程式識別碼:若要尋找應用程式識別碼,請在網頁瀏覽器上開啟 CyberArk PVWA (密碼儲存庫 Web 存取),然後瀏覽至應用程式索引標籤。

    • 保管庫:填入 CyberArk PVWA 中顯示的保管庫名稱。

    • 資料夾 (選用):填入儲存您認證的資料夾名稱。 默認情況下,認證儲存在「根」資料夾中。

    建立新認證存放區的螢幕擷取畫面。

  7. 在精靈的最後一步中,您需要提供有關使用者帳戶的資訊:

    • 使用者名稱:從文字環境變數中選取使用者名稱,或選取 [新增] 建立新的使用者名稱

      如果您建立要在桌面流程連線中使用的 CyberArk 憑證,請提供您的裝置帳戶。 請填入使用者名稱 (例如 <MACHINENAME\User><local\User>) 或 Microsoft Entra ID 帳戶,例如 <DOMAIN\User><username@domain.com>

    • 物件名稱:物件名稱與 CyberArk 保管庫中儲存的 CyberArk 物件名稱相對應。 此值在 PVWA 中也稱為帳戶名。

在桌面流程連線中使用認證

現在已建立您的認證。 您可以在桌面流程連線中使用它來從雲端執行桌面流程

在桌面流程動作中使用憑證 (預覽版)

  1. 確保您有一台執行桌面流程的已註冊電腦。 憑證是從此墊烤擷取的。

    重要

    即使是本機有人參與或偵錯執行,也需要註冊的機器才能使憑證在執行階段正常運作。

  2. 在桌面流程設計工具中,選擇 Power Automate 祕密變數 (預覽版) 模組,然後選擇取得憑證 (預覽版) 動作。

    注意

    此動作尚無法其他主權雲端中使用。

  3. 指定要擷取的憑證。 您只能看到定義為在桌面流程中可用的憑證。 在公開預覽版中,僅支援使用 CyberArk 作為存放庫的憑證。

  4. 定義產生的變數的名稱。 該變數被標記為「敏感」且無法修改。 這意味著該變數的值不會儲存在記錄中。

    注意

    憑證類型的變數始終強制設定為敏感資料,無論它們是如何產生的 (例如使用「獲取憑證 (預覽版)」動作,或是將一個憑證變數重新指派給新的變數,並繼承相同的變數類型)。 這同樣適用於憑證變數的「密碼」屬性。

  5. 按一下「儲存」後,在其他動作中使用您的憑證。 所有 Power Automate 動作都可以使用憑證。

  6. 在動作欄位中,選擇變數的藍色按鈕。 在流變數清單中,找到您的憑證並將其展開。 您可以看到屬性「使用者名稱」和「密碼」。 選擇您想要在此動作中使用的選項 (按兩下)。

  7. 執行該流程。