通过

创建 CyberArk 凭据

此功能允许用户创建 Power Automate 凭据,以便在运行时从保管库中检索 CCP CyberArk 密码。

空闲情况

目前,这项功能不可用于美国政府云。

先决条件

设置您的 CyberArk 中心凭据提供程序 (CCP)

如果您的 CyberArk 中心凭据提供程序 (CCP) 尚未设置,请完成以下操作:

  1. 安装中心凭据提供程序 (CCP)。 在 https://docs.cyberark.com/credential-providers/latest/en/Content/CCP/CCP-Installation.htm 了解更多信息。
  2. 确保您的计算机可以与 CyberArk 服务器通信。
  3. 允许 https 连接联系 CCP AIMWebService。

从 PVWA 创建带有客户端认证身份验证的应用程序

签名证书使用证书序列号启用应用程序身份验证。

添加已签名证书:

  1. 登录到 CyberArk 的 Password Vault Web Access (PVWA)。

  2. 从左侧导航栏中,选择应用程序选项卡,然后选择添加应用程序

    CyberArk 应用程序的屏幕截图。

  3. 在应用程序窗口中提供信息(至少一个名称),然后选择添加

  4. 在应用程序的详细信息中,选择身份验证选项卡上的添加

  5. 选择证书序列号并输入值。 了解应用程序验证方法的更多信息。

设置包含其用户帐户的 CyberArk 保险箱

(可选)如果您还没有保险箱,您可以从 PVWA 创建保险箱:

  1. 从左侧导航栏中,选择策略,然后选择保险箱

  2. 选择创建保险箱

  3. 输入保险箱名称,然后选择 PasswordManager

  4. 输入保险箱成员和访问权限,然后选择创建保险箱

    然后,您可以从 PVWA 添加您的计算机帐户。

    备注

    您也可以从 PrivateArk 客户端创建帐户。

  5. 从左侧导航栏中,选择帐户>添加帐户

  6. 选择 Windows 作为系统类型。

  7. 选择您创建的用于存储机器人流程自动化 (RPA) 机器帐户的保险箱。

  8. 提供您的帐户信息,然后选择添加

    在 CyberArk 中添加账户的截图。

将应用程序和凭据提供程序定义为安全成员

  1. 通过以下授权将凭据提供程序用户添加为安全成员:

    • 列出帐户
    • 检索帐户
    • 查看安全成员

    CyberArk 中管理权限的屏幕截图

  2. 通过以下授权将应用程序添加为安全成员:

    • 检索帐户

将 CyberArk 应用程序添加到计算机/组

重要提示

用户目前无法将 CyberArk 应用程序与其他用户共享的计算机或组相关联。

如果您想要使用 CyberArk® 凭据在计算机或组上运行桌面流,您需要在 Power Automate 门户中添加您的 CyberArk 应用程序信息。

  1. 登录到 Power Automate

  2. 在左侧导航中,选择计算机,然后选择计算机或组。

  3. 在计算机详细信息中,选择配置 CyberArk

    使用凭据的连接的屏幕截图。

  4. 选择新应用程序

  5. 输入您从 CyberArk PVWA 创建的应用程序的应用程序 ID。

  6. 选择证书,该证书存储证书的私钥和公钥。

    • 允许的格式有 .pfx 或 .p12 文件。
    • 私钥应标记为可导出。

  7. 输入用于打开证书文件的证书文件密码。

    备注

    密码不会存储。 证书是用计算机组的公钥打开和加密的,因此只能从已注册的机器上读取。

  8. 输入描述(可选),然后选择保存

    计算机组上配置 CyberArk 的屏幕截图

创建 CyberArk 凭据

现在,您已完成所有必备条件步骤,可以创建您的 CyberArk 凭据。

  1. 从左侧导航栏中,选择凭据

  2. 选择新凭据

  3. 在向导中,定义凭据名称和简短说明,然后选择下一步

  4. 在 Power Automate 中创建凭据时,指定在哪里使用此凭据。 您可以将凭据用于两种类型的用法:

    • 连接:这些凭据是桌面流运行的用户会话的凭据。

    • 桌面流(预览):这些凭据是您希望在桌面流中使用的凭据。 例如,SAP 凭据、SharePoint 凭据、Excel 密码等。

      备注

      对于公开预览,桌面流操作中使用的凭据需要 CyberArk。

  5. 选择 CyberArk CCP 作为凭据存储的类型。

  6. 如果您已经定义了 CyberArk 存储,您可以从下拉列表中选择。 否则,选择新建

    • 显示名称:为您的 CyberArk 存储提供名称。

    • 服务器地址:服务器地址是中心凭据提供程序的 URL。 例如,https://svc.skytap.com:8992

      备注

      8 月发行版以下的版本不支持以“/”结尾的服务器地址。

    • 应用程序 ID:要查找应用程序 ID,请在 web 浏览器上打开 CyberArk PVWA (Password Vault Web Access) 并导航至应用程序选项卡。

    • 保险箱:填写 CyberArk PVWA 中显示的保险箱名称。

    • 文件夹 (可选):填充存储凭据的文件夹名称。 默认情况下,凭据存储在“Root”文件夹中。

    新建凭据存储的屏幕截图。

  7. 在向导的最后一步骤,您需要提供有关用户帐户的信息:

    • 用户名:从文本环境变量中选择一个用户名,或通过选择“新建”创建一个新的用户名。

      如果您创建将在桌面流连接中使用的 CyberArk 凭据,提供您的设备帐户。 请填充用户名(例如,<MACHINENAME\User><local\User>)或 Microsoft Entra ID 帐户,例如 <DOMAIN\User><username@___domain.com>

    • 对象名称:对象名称对应于存储在 CyberArk 保险箱中的 CyberArk 对象名称。 该值在 PVWA 中也称为帐户名。

在桌面流连接中使用凭据

您的凭据现已创建。 您可以在桌面流连接中使用它来从云端流运行桌面流

在桌面流操作中使用凭据(预览)

重要提示

  • 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能在正式发布之前已经可用,以便客户可以抢先体验并提供反馈。
  • 有关详细信息,请转到预览条款
  • 主权云中尚未提供此操作。

  1. 确保您有执行桌面流的已注册计算机。 从此计算机检索凭据。

    备注

    凭据需要在已注册的计算机上才能在运行时正常工作,即使是对本地有人参与或调试运行。

  2. 在桌面流设计器中,选择 Power Automate 机密变量(预览)模块,然后选择获取凭据(预览)操作。

  3. 指定要检索的凭据。 您只会看到在桌面流中定义为可用的凭据。 在公开预览版中,支持使用 Azure 密钥保管库或 CyberArk 作为保管库的凭据。

  4. 定义您生产变量的名称。 此变量标记为“敏感”,无法修改。 这意味着此变量的值不会存储在日志中。

    备注

    凭据类型变量始终被强制为敏感,与它们的生成方式无关(获取凭据(预览)操作或将凭据变量重新分配给继承相同变量类型的新变量)。 这同样适用于凭据变量的“Password”属性。

  5. 选择保存后,在另一个操作中使用凭据。 所有 Power Automate 操作都可以使用凭据。

  6. 在操作字段中,选择变量选择器。 在流程变量列表中,查找您的凭据并展开它。 您可以看到属性用户名密码。 选择您要在此操作(双击)中使用的属性。

  7. 运行流。