Edited at

Automation Anywhere でログイン情報を安全に保存する標準の方法 (Credential Vault)


概要

RPAで本番環境でシステムを運用する場合、よくあるのが連携するシステムへのログオン作業です。この際、アカウント情報を安全なところに保持しておき、必要な時に情報をひっぱってきて利用する、という運用が望ましいです。間違ってもローカルPCに情報を保管したり、ボットのコードの中に埋め込んだりしてはなりません。

Automation Anywhere Enterpriseでは、Credential Vaultという標準機能で実現できるので、これを使ってみました。

対象


Credential Vaultを利用できるコマンド

公式ドキュメントによると、以下のコマンドで利用可能とのことです。


  • Active Directory

  • Database

  • Email Automation

  • Excel

  • FTP/SFTP

  • Insert Keystrokes

  • Manage Windows Controls

  • Object Cloning

  • PDF Integration

  • PGP

  • REST Web Services

  • SOAP Web Services

  • Terminal Emulator

  • Web Recorder


事前準備: ロッカーと資格情報の準備


ロッカーとは?資格情報とは?その概念

最初に覚えておかないといけないのが、Automation Anywhere で使われる各種オブジェクトの名前、概念です。「ロッカー (Locker)」「資格情報 (Credential)」「属性 (Attribute)」の3つの概念が出てきますので、図でまとめてみます。

aa-locker-credential-attribute.png

オブジェクト
説明

ロッカー (Locker)
資格情報をしまっておくための場所。所有者 (Owner)管理者 (Manager)参加者 (participant)コンシューマー (Consumer)という種類のユーザーがいる。

資格情報 (Credential)
大事なユーザー名とパスワード (=属性)を入れておくための封筒のようなもの。複数の属性をいれておくことができる。1属性=一つの文字列なので、通常は属性1つ目=username、属性2つ目=Passwordとして運用する。

属性 (Attribute)
ユーザー名やパスワードなどの文字列。ユーザーが自分で記載するのか、管理者が用意するのかを選ぶことができる。

それぞれの種類のユーザーができることは以下の通りです。



  • 所有者 (Owner): ロッカーを所有するユーザー。ほかの所有者や管理者を自由に追加/削除できる。1名以上を割り当て可能。最低1名は所有者が必要。


  • 管理者 (Manager): 他の所有者または管理者を追加できない以外は全ての権限を保有しています。


  • 参加者 (participant): ロッカー参加者はロッカーを表示することができます。ロッカー参加者は自らの認証情報をこのロッカーに追加できます (削除はできません)。ロッカー参加者は、ロッカーにある自らの認証情報を表示できますが、他の認証情報は表示できません。ロッカー参加者は、ロッカー コンシューマーでなければ 、Botを実行する際に自らの認証情報を使用できません。


  • コンシューマー: ロッカーコンシューマーはロッカーを表示することができます。ロッカーコンシューマーは、ロッカーにある自らの認証情報を表示できます。ロッカーコンシューマーには、2 つの追加のアクセス権限があります。1) ロッカーコンシューマーは、ユーザー指定の属性を持つユーザー指定の資格情報を利用して、その情報を入力できます。2) ロッカーコンシューマーはBot実行時、このロッカーの認証情報を使用できます。‎

各種類のユーザーですが、所有者、管理者、参加者はユーザー単位で権限を選択します (つまりそんなに多くのユーザーを割り当てることは想定していない)。コンシュマーだけは、多くのユーザー/デバイスに割り当てる可能性があるため、ロールベースで (カスタムロールを作って)指定します。


想定される管理シナリオ

資格情報の管理シナリオには、大きく分けて3つのパターンが存在します。

ロッカーの管理
資格情報
利用者
説明

管理者
管理者が登録
管理者自身 (1人だけ)
基本、自分のために使うロッカーに自分の情報をしまって一人だけで使うパターン。

管理者
管理者または参加者が登録
資格を持ったConsumer (複数)
たとえば、集中管理された万人共通の1種類のユーザー名/パスワードを使って複数のボットにサインインしてもらうパターン。

管理者
各Consumerが登録
登録した各Consumer (複数)
管理者は場所だけ提供して、各自がそれぞれのアカウント情報をしまっておき、必要に応じて取り出すパターン。

2番目のパターンの運用イメージ

aa-credential-scenario01.png

3番目のパターンの運用イメージ

aa-credential-scenario02.png

「権限なし」と「権限あり」の場合の画面の違い (コマンドのダイアログボックスの中でF2を押して変数ダイアログボックスを表示させたとき)

aa-credential-has-privilege.PNG


Control Roomでの管理画面

通常の管理者としてControl Roomにログインすると、「Bots/資格情報」で、閲覧権限がある資格情報とロッカーの一覧を見ることができます。そして、資格情報の新規作成ができます。

aa-credential01.PNG

aa-credential02.PNG


管理に必要なロールと注意点

ただし、注意していただきたいのが、メニューのどこにもロッカーを作成するメニューがないということです。実は、ロッカーの作成は通常の管理者 (AAE_Admin)ロールでは権限がなく、別途ロッカー管理者 (AAE_Locker Admin)の権限が必要になります。

しかし、管理者は自分自身の権限編集ができないので、最初の管理者にAAE_Locker Admin権限は付与できないため、別途ロッカー管理者のユーザーを作成する必要があります


必要なロール、ユーザー、ロッカー、資格情報の作成

ここまで来たら、必要なロール、ユーザー、ロッカー、資格情報が作成できると思います。

ロールとしてコンシュマーロール (Locker_Consumer、権限の中身はデフォルトのまま)、ロッカー管理者 (lockeradminにAAE_Locker Adminを付与)、ロッカー (Locker01)、資格情報 (Cred01)を作成しましょう。

まず、通常の管理者としてControl Roomでコンシュマーロールを作成します。

aa-credential12.PNG

その後、ロッカー管理者としてControl Roomにログインすると、以下のようにロッカーが作成可能となります。

aa-credential03.PNG

ロッカーを作成します。ロッカーの名前を入力後、「コンシューマー」のセクションをクリックして、必須の入力になっているコンシューマーのロール選択の画面に移ります。

aa-credential04.PNG

ロール選択の画面では、左側の「利用可能なロール」から選択して、右側の矢印ボタンをクリックして選択済みに移動させます。

aa-credential05.PNG

これで「ロッカーを作成」ボタンが押せるようになるので、クリックすればロッカーが作成されます。

aa-credential06.PNG

その後、資格情報の作成を行います。名前を入れて、先ほど作成したロッカー Locker01を選択して矢印ボタンで右側に移動します。

aa-credential07.PNG

ロッカーが選択済みになったら、下の属性画面に移動します。

aa-credential08.PNG

属性はusernameとpasswordを作成、入力=標準にして、値をそれぞれ入力します。

aa-credential10.jpg

最後に画面右上の「資格情報を作成」ボタンをクリックすれば完了です。

aa-credential11.PNG


サンプル: Control Room への自動ログインボットでのCredential Vaultの利用

作成した資格情報を使って、Control Roomにログオンするボットを作成してみましょう。

ターゲットとなるのは以下のログイン画面です。(英語を想定しています)

aa-credential12.PNG

Locker_Consumerロールが割り当てられたBot CreatorロールでログインしたClientで、「Web Recorder」の「Open Browser」コマンドで対象となるログイン画面を開いた後、「Manage Web Controls」コマンドで、ユーz-あ名とパスワードを入れるウェブフォーム上のコントロールをキャプチャーします。まず、「Manage Web Controls」コマンドを左の一覧からアクションリストにドラッグ&ドロップしてダイアログボックスを開きます。「ページを選択」で既存のInternet Explorer画面一覧から大正のものを選び、「キャプチャ」をクリックします。

aa-credential13.PNG

ブラウザー上で、usernameのテキストボックスのところでクリックします。そのあとダイアログボックスに戻って「詳細ビュー」ボタンをクリックします。

aa-credential13-1.PNG

usernameという名前のテキストボックスがキャプチャされたことが確認されたら、右側の画面の「アクションを選択」で「Set Text」を選択、「設定するテキスト」のボックスでF2を押して変数の挿入ダイアログボックスを表示します。リストの一番上の$Credential Locker$の下に、先ほど作成したLocker01が表示されます。

aa-credential14.PNG

Locker01を選択すると、Lockerの中の資格情報とその属性を選択する画面が表示されるので、Cred01のusernameを選択します。

aa-credential15.PNG

元の画面に戻ると、必要事項がすべて入力されていることがわかります。「保存」をクリックして閉じます。

aa-credential16.PNG

コマンドが一行追加され、プレビューのスナップショットも右下に表示されます。

aa-credential17.PNG

passwordについても同様の操作でテキストボックスをキャプチャして、入力したい資格情報を選択して指定してください。

最後のログインボタンクリックは、キャプチャ後の画面がちょっとだけ異なります。アクションとして「Perform OnClick」を選択して保存します。

aa-credential18.PNG

以上で作成終了です。以下のようなアクションリストができました。

aa-credential19.PNG

これを実行すると、Internet Explorerが起動してControl Room のログイン画面が表示され、ユーザー名とパスワードが自動入力されてログインボタンが押され、ログインできることが確認できます。

最後までお読みいただきありがとうございました!