コンテンツにスキップ

Vault

Management Console のこの新しい機能は、ユーザー認証や、パスワードと OAuth 認証情報などのロボットアクセスに関するその他の機密データを安全に管理するための包括的なアプローチを提供します。
また、[Vault] により、CyberArk アプリケーションを統合し、Management Consoleの外部でシークレットを安全に管理します。

[Management Console] > [リポジトリ] > [Vault] を選択して、[Vault] にアクセスします。

ハイライト

[Vault] はセキュリティと一元化されたアクセス管理を提供します。

  • ユーザー(Design Studio経由)およびロボット(RoboServer経由)の両方に対し、シークレット(機密情報)およびOAuthへのアクセスを統合的に管理するアプローチを提供します。

  • シークレット インターフェイスが、CyberArk および組み込みストアの同時の動作をサポートするようになりました。

  • Management Console のバックアップに含まれるデータを暗号化します。

  • Microsoft Azure AD OAuth プロバイダに対して「クライアント資格情報」と「証明書付きクライアント資格情報」のトークン付与フローをサポートします。

  • ロボットのアクセスを、シークレットだけでなく OAuth に拡張します。

  • ユーザー インターフェイスに表示されたロボット パスに基づいてロボット アクセスを許可します。

  • より良い組織化のためにターゲット システム エンティティを導入します。シークレットと OAuth へのアクセスは、ターゲット システム内から実行されます。

  • REST API 呼び出しをサポートします。

設定に関する注意事項

Configuration.xml で、passwordStorevaultConfig という名前に変更されました。組み込みストアまたは CyberArk を選択するには、builtInStoreEnabled あるいは cyberArkEnabled を設定します。

Dockerでは、CONFIG_PASSWORDSTORE 環境変数が CONFIG_VAULT_BUILTIN_STORE_ENABLED という名前に変更され、CONFIG_VAULT_CYBERARK_ENABLED 環境変数が追加されました。

OAuth の制限

Vault の OAuth タブは、ロボット と ベーシックエンジンロボット の両方で使用できますが、ベーシックエンジンロボット では機能に制限があります。 そのため、OAuth は ロボット での使用を推奨します。

  • ベーシックエンジンロボット では、OAuth 認証へのアクセスに制限があります。

  • 従来の OAuth ユーザー (現在は OAuth クライアント) は、従来のベーシック エンジン ロボットでもサポートされていますが、利用できる機能は制限されます。 ベーシック エンジン ロボットに OAuth クライアントを設定する場合は、[ベーシック エンジン ロボットのアクセスを許可]オプションを選択します。『Tungsten RPA ヘルプ』の「OAuth クライアントの設定」を参照してください。

  • OAuth サービス プロバイダとベーシック エンジン ロボットを組み合わせて使用する場合、問題が発生する可能性があります。これは、[表示] メニューの [最新に更新] オプションによる更新がロボットのみを対象としているためです。

下位互換性

従来のベーシック エンジン ロボットはサポートされていますが、新しい機能には制限があります。ロボットについては、以前のリリースで OAuth とパスワード取得はサポートされていなかったため、このリリースでは下位互換性の問題は適用されません。新しいシークレットの検索ステップにより、ロボットに機能が提供されます。

バックアップとアップグレード

リリース 11.3.0 以降のバージョンからバックアップを作成し、このリリースにデータをインポートする場合、次の処理が実行されます。

  • パスワードがシークレットに変換されます。

  • CyberArk アプリケーションは、[Vault] (ターゲット システム スコープ) 内に移行されます。

  • CyberArk エントリはシークレットとして扱われます。

  • OAuth アプリとユーザーは [Vault] [OAuth] に移行されます。

  • パスワードおよび OAuth 設定から、ターゲット システムが自動的に作成されます。

  • ロボット ハッシュは、利用可能な場合はフォルダ/名前に変換され、利用できない場合は削除されます。

バックアップの復元

バージョン 11.2.0 以降で作成された、パスワードおよび OAuth データを含むグローバルバックアップおよびプロジェクトバックアップを復元できます。 また、現在のバージョンでバックアップを作成し、同一バージョン上で復元することも可能です。

以下のデータはすべて [Vault] に移行されます。

  • パスワード

  • パスワード アクセス エントリ

  • CyberArk アプリケーション、レコード、およびアクセス エントリ

  • OAuth アプリケーション

  • OAuth ユーザー (OAuth クライアントという名前に変更されました)

CyberArk のグローバル設定は [Vault] に移行されません。

旧バージョンで作成されたバックアップからデータを復元し、[Vault] に移行する場合は、データの処理および移行方法について以下を参照してください。

  • パスワード ストア レコード:

    パスワード ストア レコードに指定されたターゲット システム名に基づいて、対応するターゲットシステムが [Vault] に自動的に作成されます。

  • パスワード ストア アクセス レコード:

    Management Console は、チェックサムとアクセストークンの値を照合してロボットの特定を試みます。
    一致するロボットが見つかった場合、レコードは Vault に復元され、ロボットアクセスのフォルダーおよび名前の項目が自動的に設定されます。
    一致するロボットが見つからない場合、そのレコードはスキップされ、復元されません。
    スキップされたレコードは無効と見なされるため、追跡されず、インポート結果ダイアログにも表示されません。

  • OAuth アプリケーション:

    既存のターゲットシステムにマッピングされます(名前で一致:OAuth アプリケーション名 → ターゲットシステム名)。
    一致するものがない場合は、OAuth をサポートする新しいターゲットシステムが作成されます。
    インポートされた OAuth アプリケーションの「トークン付与フロー」設定は、自動的に「認証コード」に設定されます。

  • OAuth ユーザー:

    OAuth クライアントに名称変更されます。
    ターゲットシステムから参照され、「ベーシック エンジン ロボットのアクセスを許可」オプションは、インポートされたすべての OAuth ユーザーでデフォルトで有効になります。

  • CyberArk アプリケーション:

    既存のターゲットシステムにマッピングされます(CyberArk アプリケーション ID → ターゲットシステム名で一致)。
    一致するものがない場合は、CyberArk をサポートする新しいターゲットシステムが作成され、関連項目が設定されます。

  • CyberArk ストア レコード:

    必要に応じて、対応するターゲットシステムが、CyberArk ストア レコード名に基づいて [Vault] に自動的に作成されます。

  • CyberArk アクセス レコード:

    Management Console は、チェックサムとアクセストークンの値を照合してロボットの特定を試みます。
    一致するロボットが見つかった場合、レコードは Vault に復元され、ロボットアクセスのフォルダーおよび名前の項目が自動的に設定されます。
    一致するロボットが見つからない場合、そのレコードはスキップされ、復元されません。
    スキップされたレコードは無効と見なされるため、追跡されず、インポート結果ダイアログにも表示されません。

OAuth プロバイダとしての Box の追加

Box が、サポートされる OAuth プロバイダとなりました。