创建 CyberArk 凭据

此功能允许用户创建 Power Automate 凭据,以便在运行时从保管库中检索 CCP CyberArk 密码。

空闲情况

目前,这项功能不可用于美国政府云。

先决条件

设置您的 CyberArk 中心凭据提供程序 (CCP)

如果您的 CyberArk 中心凭据提供程序 (CCP) 尚未设置,请完成以下操作:

  1. 安装中心凭据提供程序 (CCP)。 在 https://docs.cyberark.com/credential-providers/latest/en/Content/CCP/CCP-Installation.htm 了解更多信息。
  2. 确保您的计算机可以与 CyberArk 服务器通信。
  3. 允许 https 连接联系 CCP AIMWebService。

从 PVWA 创建带有客户端认证身份验证的应用程序

签名证书使用证书序列号启用应用程序身份验证。

添加已签名证书:

  1. 登录到 CyberArk 的 Password Vault Web Access (PVWA)。

  2. 从左侧导航栏中,选择应用程序选项卡,然后选择添加应用程序

    CyberArk 应用程序的屏幕截图。

  3. 在应用程序窗口中提供信息(至少一个名称),然后选择添加

  4. 在应用程序的详细信息中,选择身份验证选项卡上的添加

  5. 选择证书序列号并输入值。 了解应用程序验证方法的更多信息。

设置包含其用户帐户的 CyberArk 保险箱

(可选)如果您还没有保险箱,您可以从 PVWA 创建保险箱:

  1. 从左侧导航栏中,选择策略,然后选择保险箱

  2. 选择创建保险箱

  3. 输入保险箱名称,然后选择 PasswordManager

  4. 输入保险箱成员和访问权限,然后选择创建保险箱

    然后,您可以从 PVWA 添加您的计算机帐户。

    备注

    您也可以从 PrivateArk 客户端创建帐户。

  5. 从左侧导航栏中,选择帐户>添加帐户

  6. 选择 Windows 作为系统类型。

  7. 选择您创建的用于存储机器人流程自动化 (RPA) 机器帐户的保险箱。

  8. 提供您的帐户信息,然后选择添加

    在 CyberArk 中添加账户的截图。

将应用程序和凭据提供程序定义为安全成员

  1. 通过以下授权将凭据提供程序用户添加为安全成员:

    • 列出帐户
    • 检索帐户
    • 查看安全成员

    CyberArk 中管理权限的屏幕截图

  2. 通过以下授权将应用程序添加为安全成员:

    • 检索帐户

将 CyberArk 应用程序添加到计算机/组

重要提示

用户目前无法将 CyberArk 应用程序与其他用户共享的计算机或组相关联。

如果您想要使用 CyberArk® 凭据在计算机或组上运行桌面流,您需要在 Power Automate 门户中添加您的 CyberArk 应用程序信息。

  1. 登录到 Power Automate

  2. 在左侧导航中,选择计算机,然后选择计算机或组。

  3. 在计算机详细信息中,选择配置 CyberArk

    使用凭据的连接的屏幕截图。

  4. 选择新应用程序

  5. 输入您从 CyberArk PVWA 创建的应用程序的应用程序 ID。

  6. 选择证书,该证书存储证书的私钥和公钥。

    • 允许的格式有 .pfx 或 .p12 文件。
    • 私钥应标记为可导出。
  7. 输入用于打开证书文件的证书文件密码。

    备注

    密码不会存储。 证书是用计算机组的公钥打开和加密的,因此只能从已注册的机器上读取。

  8. 输入描述(可选),然后选择保存

    计算机组上配置 CyberArk 的屏幕截图

创建 CyberArk 凭据

现在,您已完成所有必备条件步骤,可以创建您的 CyberArk 凭据。

  1. 从左侧导航栏中,选择凭据

  2. 选择新凭据

  3. 在向导中,定义凭据名称和简短说明,然后选择下一步

  4. 在 Power Automate 中创建凭据时,指定在哪里使用此凭据。 您可以将凭据用于两种类型的用法:

    • 连接:这些凭据是桌面流运行的用户会话的凭据。

    • 桌面流(预览):这些凭据是您希望在桌面流中使用的凭据。 例如,SAP 凭据、SharePoint 凭据、Excel 密码等。

      备注

      对于公开预览,桌面流操作中使用的凭据需要 CyberArk。

  5. 选择 CyberArk CCP 作为凭据存储的类型。

  6. 如果您已经定义了 CyberArk 存储,您可以从下拉列表中选择。 否则,选择新建

    • 显示名称:为您的 CyberArk 存储提供名称。

    • 服务器地址:服务器地址是中心凭据提供程序的 URL。 例如,https://svc.skytap.com:8992

      备注

      8 月发行版以下的版本不支持以“/”结尾的服务器地址。

    • 应用程序 ID:要查找应用程序 ID,请在 web 浏览器上打开 CyberArk PVWA (Password Vault Web Access) 并导航至应用程序选项卡。

    • 保险箱:填写 CyberArk PVWA 中显示的保险箱名称。

    • 文件夹 (可选):填充存储凭据的文件夹名称。 默认情况下,凭据存储在“Root”文件夹中。

    新建凭据存储的屏幕截图。

  7. 在向导的最后一步骤,您需要提供有关用户帐户的信息:

    • 用户名:从文本环境变量中选择一个用户名,或通过选择“新建”创建一个新的用户名。

      如果您创建将在桌面流连接中使用的 CyberArk 凭据,提供您的设备帐户。 请填充用户名(例如,<MACHINENAME\User><local\User>)或 Microsoft Entra ID 帐户,例如 <DOMAIN\User><username@domain.com>

    • 对象名称:对象名称对应于存储在 CyberArk 保险箱中的 CyberArk 对象名称。 该值在 PVWA 中也称为帐户名。

在桌面流连接中使用凭据

您的凭据现已创建。 您可以在桌面流连接中使用它来从云端流运行桌面流

在桌面流操作中使用凭据(预览)

  1. 确保您有执行桌面流的已注册计算机。 从此计算机检索凭据。

    重要提示

    凭据需要在已注册的计算机上才能在运行时正常工作,即使是对本地有人参与或调试运行。

  2. 在桌面流设计器中,选择 Power Automate 机密变量(预览)模块,然后选择获取凭据(预览)操作。

    备注

    主权云中尚未提供此操作。

  3. 指定要检索的凭据。 在桌面流中,您只能看到定义为可用的凭据。 在公开预览中,仅支持使用 CyberArk 作为保管库的凭据。

  4. 定义您生产变量的名称。 此变量标记为“敏感”,无法修改。 这意味着此变量的值不会存储在日志中。

    备注

    凭据类型变量始终被强制为敏感,与它们的生成方式无关(获取凭据(预览)操作或将凭据变量重新分配给继承相同变量类型的新变量)。 这同样适用于凭据变量的“Password”属性。

  5. 单击“保存”后,请通过其他操作使用您的凭据。 所有 Power Automate 操作都可以使用凭据。

  6. 在操作字段中,选择变量的蓝色按钮。 在流程变量列表中,查找您的凭据并展开它。 您可以看到属性“username”和“password”。 选择您要在此操作(双击)中使用的属性。

  7. 执行流。