CyberArk Conjurシークレットをコネクションで使用

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

このガイドでは、CyberArk Conjurのシークレットを使用してWorkatoコネクションを設定する方法を説明します。

前提条件

このガイドの手順を完了するには、以下が必要です。

CyberArk Conjurからシークレットの詳細を取得

1

Conjur CloudまたはConjur Enterpriseサーバーに認証します。

2

Workatoコネクションで使用する予定のシークレットIDを取得します。

  • Conjur Cloud: 保存されているボールトの名前を含めます: data/vault/Partner-Workato/airtable/password
  • Conjur Enterprise: 変数が保存されているポリシーの名前を含めます: AutomationVault/db/password

未対応: 複数行シークレット

Conjur Cloudでは、秘密鍵や証明書などの複数行シークレットをWorkatoに渡すことはサポートされていません。

3

Workatoアカウントで新しいコネクションを作成するか、既存のコネクションの設定ページを開きます。

CyberArk Conjurコネクションを設定CyberArk Conjurコネクションを設定

4

外部シークレットを参照するコネクションパラメーターに対応する入力フィールドをクリックします。 外部シークレットを追加オプションが表示されます。

5

外部シークレットを追加を選択し、外部シークレットを追加ポップアップを開きます。

6

Secret nameAdd external secretポップアップに入力します。

Conjur外部シークレットを追加外部シークレットを追加

7

完了を選択します。 シークレットは、コネクションページの入力フィールドにマスクされたデータピルとして表示されます。

シークレットを編集するには、データピルを選択します。

8

接続をクリックし、このコネクションが機能することを確認します。

シークレットマスクを使用してシークレットを追加する場合は、Workatoコネクションの認証情報で使用されるシークレットについて、次の構文に従います:

txt
{{workato:sm:<secret-name>}}

<secret-name>をConjurに表示されているシークレットIDに置き換えます。

CyberArk Conjurでシークレットストアへのアクセスを取り消す方法

CyberArk Conjurに保存されているシークレットへのWorkatoのアクセスを取り消すには、PUTリクエストでホストのAPIキーをローテーションし、ホストIDがURLエンコードされていることを確認します:

shell
PUT {{conjurServer}}/authn/{{conjurOrganization}}/api_key?role=host:workato-conjur-demo/workato-us-2

60分後、シークレットにはアクセスできなくなります。

アクセスをただちに取り消すには、APIキーをローテーションしてから、clear_cache APIを使用します。

詳細については、ホストAPIキーをローテーションする方法に関するConjurドキュメントを参照してください。

このプロセスは、CyberArk Conjur EnterpriseとCyberArk Conjur Open Sourceの両方に適用されます。 詳細については、Cyberark Conjur Cloud固有のドキュメントを参照してください。

シークレットキャッシュの動作

WorkatoはCyberArk Conjurから取得した認証情報を60分間キャッシュします。 この期間中は、シークレットを更新またはローテーションしても、レシピはキャッシュされた値を引き続き使用します。

キャッシュの有効期限が切れると、次回のレシピ実行時にCyberArk Conjurから最新の値が取得されます。 変更をすぐに適用するには、Secrets managementキャッシュをクリアエンドポイントを呼び出します。 これにより、コネクションを切断して再接続しなくても、Workatoで最新の認証情報を強制的に取得できます。

トラブルシューティング

初期化されていない変数と不十分な権限

host/host data/Workato/Workato-devに必要な権限があり、変数が初期化されていることを確認します。

  • シークレットが初期化されていない
    • シークレットキーはConjurで作成されていますが、値が割り当てられていません。 Conjurでシークレットに値を割り当てます。
  • ホストに権限がありません
    • ホスト(コネクションの作成に使用したサービスアカウント)には、特定のシークレットに対する[create, execute]権限が必要です。 これにより、Workatoはその値を取得し、コネクションを正常に確立できます。

無効な認証情報

必須フィールドに正しい情報を入力したことを確認します。

  • Server URL
    • セルフホスト型Conjur Enterpriseセットアップの場合はhttps://<domain>形式、Conjur Cloudに接続する場合はhttps://<subdomain>.secretsmgr.cyberark.cloud/api/形式であることを確認します。
  • Organization account name
    • Conjur Enterpriseでリーダーノードを最初に設定したときの組織名、またはConjur Cloudに接続する場合はconjurです。
  • Login ID
    • 変数に対して[read, execute]権限が割り当てられているホストの名前、またはConjur Cloudのワークロード名です。
  • API key
    • ホスト/ワークロードが最初に作成されたときに生成されたAPIキーです。

Last updated: