Automation Anywhere Enterprise - A2019 Credential Vault

A2019で開発するうえで非常に重要だけど、分りづらいCredential Vaultの設定を自分用にまとめ。

A2019 Credential Vaultとは

自動化を行う上で各種システムへのアクセスは切っても切れません。
そんな時、作成するロボットのコードにユーザー名やパスワードが生で記載されているとセキュリティ的に問題があります。

そこで、ロボットのコードにはそれらの情報を記載しないで使えるようにという仕組みがCredential Vault。
この仕組みがあれば、ロボットを開発する人にユーザー名やパスワードを教える必要がなくなります。

Credential Vaultの仕組み

NISTのIA-2という仕組みで認証しているらしい。

暗号化には、こちらの仕組みを利用しているとの事。

ロール①

デフォルトで管理者用のAAE_Locker Adminというロールが作成されています。

設定されている権限はこんな感じ。

オブジェクト

ここで、見慣れない用語が出てきたので、ひとまず整理。

• 資格情報属性値
  • 具体的な値。ユーザーIDとかパスワードの文字列そのもの。
• 属性
  • 資格情報属性値を入れる変数の様なもの
  • 標準とユーザー指定が可能であり、標準は皆が同じ値を使う場合。ユーザー指定はそれぞれのユーザーが指定する。
  • また、パスワードなどはマスクすることも可能
• 資格情報
  • 複数の属性をまとめ上げたもの。例えば、ユーザー名とパスワード。
• マイロッカー、全てのロッカーロッカーは資格情報を纏めて入れて置く場所。
  • 製品では”ロッカー”になってますが、”キャビネット”の方が近い気がする・・・

ロール②

デフォルトのAAE_Locker Adminで設定されている内容を見ると、
「全ての」ロッカーに対するアクセスが付与されることが分かります。つまり、他の人が作ったロッカーもアクセスできるという事ですね。

あと、この管理者ロールでも選択されていない「すべての資格情報属性値を表示および編集」。
API経由の様ですが、全ての設定した値の表示と更新が可能とのことですので、
使うときは要注意です。

資格情報のセットアップ

下記の様な流れになるかと思います。

1. まずは「マイロッカーを管理」と「資格情報の標準属性を作成」をロールとして持ったユーザーの作成。
2. ロッカーの作成
   • １のユーザーでログインし、入れ物を作り、誰がアクセスできるのかを指定します。設定可能なアクセス権としては下記があります。
     • 所有者
       • ロッカーの機能が利用でき、他の所有者の追加・削除が可能
     • マネージャー
       • 他の所有者の追加・削除は出来ないけど、ロッカーの機能は利用可能
     • 参加者
       • ロッカーを表示出来て、自分の資格情報を追加可能（削除は不可）
       • 他の人の資格情報は表示できない。
     • コンシューマー
       • ユーザー指定の属性に対して設定が可能。
       • Bot実行時に利用可能。
3. 資格情報の作成
   • あとは、どんな資格情報が必要かを設定して、ロッカーと紐づけて完成。
4. ユーザー属性の資格情報設定
   • コンシューマーに割り当てられると下記の様なメールが送られてきますので、値を設定します。