CyberArk Conjurシークレットをコネクションで使用
このガイドでは、CyberArk Conjurのシークレットを使用してWorkatoコネクションを設定する方法を説明します。
前提条件
このガイドの手順を完了するには、以下が必要です。
Workatoで:
- 正常に設定されたワークスペースレベルのCyberArk Conjurまたはプロジェクトレベルコネクションを持つアカウント。
- 作成およびコネクションの編集権限を持つユーザーロール。
CyberArk Conjur:
- Conjur Cloud: 定義済みのワークロードポリシー。
- Self-hosted Conjur Enterprise: ホストポリシーステートメント。
CyberArk Conjurからシークレットの詳細を取得
Conjur CloudまたはConjur Enterpriseサーバーに認証します。
Workatoコネクションで使用する予定のシークレットIDを取得します。
- Conjur Cloud: 保存されているボールトの名前を含めます:
data/vault/Partner-Workato/airtable/password - Conjur Enterprise: 変数が保存されているポリシーの名前を含めます:
AutomationVault/db/password
未対応: 複数行シークレット
Conjur Cloudでは、秘密鍵や証明書などの複数行シークレットをWorkatoに渡すことはサポートされていません。
Workatoアカウントで新しいコネクションを作成するか、既存のコネクションの設定ページを開きます。
CyberArk Conjurコネクションを設定
外部シークレットを参照するコネクションパラメーターに対応する入力フィールドをクリックします。 外部シークレットを追加オプションが表示されます。
外部シークレットを追加を選択し、外部シークレットを追加ポップアップを開きます。
Secret nameをAdd external secretポップアップに入力します。
外部シークレットを追加
完了を選択します。 シークレットは、コネクションページの入力フィールドにマスクされたデータピルとして表示されます。
シークレットを編集するには、データピルを選択します。
接続をクリックし、このコネクションが機能することを確認します。
シークレットマスクを使用してシークレットを追加する場合は、Workatoコネクションの認証情報で使用されるシークレットについて、次の構文に従います:
{{workato:sm:<secret-name>}}<secret-name>をConjurに表示されているシークレットIDに置き換えます。
CyberArk Conjurでシークレットストアへのアクセスを取り消す方法
CyberArk Conjurに保存されているシークレットへのWorkatoのアクセスを取り消すには、PUTリクエストでホストのAPIキーをローテーションし、ホストIDがURLエンコードされていることを確認します:
PUT {{conjurServer}}/authn/{{conjurOrganization}}/api_key?role=host:workato-conjur-demo/workato-us-260分後、シークレットにはアクセスできなくなります。
アクセスをただちに取り消すには、APIキーをローテーションしてから、clear_cache APIを使用します。
詳細については、ホストAPIキーをローテーションする方法に関するConjurドキュメントを参照してください。
このプロセスは、CyberArk Conjur EnterpriseとCyberArk Conjur Open Sourceの両方に適用されます。 詳細については、Cyberark Conjur Cloud固有のドキュメントを参照してください。
シークレットキャッシュの動作
WorkatoはCyberArk Conjurから取得した認証情報を60分間キャッシュします。 この期間中は、シークレットを更新またはローテーションしても、レシピはキャッシュされた値を引き続き使用します。
キャッシュの有効期限が切れると、次回のレシピ実行時にCyberArk Conjurから最新の値が取得されます。 変更をすぐに適用するには、Secrets managementキャッシュをクリアエンドポイントを呼び出します。 これにより、コネクションを切断して再接続しなくても、Workatoで最新の認証情報を強制的に取得できます。
トラブルシューティング
初期化されていない変数と不十分な権限
host/host data/Workato/Workato-devに必要な権限があり、変数が初期化されていることを確認します。
- シークレットが初期化されていない
- シークレットキーはConjurで作成されていますが、値が割り当てられていません。 Conjurでシークレットに値を割り当てます。
- ホストに権限がありません
- ホスト(コネクションの作成に使用したサービスアカウント)には、特定のシークレットに対する
[create, execute]権限が必要です。 これにより、Workatoはその値を取得し、コネクションを正常に確立できます。
- ホスト(コネクションの作成に使用したサービスアカウント)には、特定のシークレットに対する
無効な認証情報
必須フィールドに正しい情報を入力したことを確認します。
- Server URL
- セルフホスト型Conjur Enterpriseセットアップの場合は
https://<domain>形式、Conjur Cloudに接続する場合はhttps://<subdomain>.secretsmgr.cyberark.cloud/api/形式であることを確認します。
- セルフホスト型Conjur Enterpriseセットアップの場合は
- Organization account name
- Conjur Enterpriseでリーダーノードを最初に設定したときの組織名、またはConjur Cloudに接続する場合は
conjurです。
- Conjur Enterpriseでリーダーノードを最初に設定したときの組織名、またはConjur Cloudに接続する場合は
- Login ID
- 変数に対して
[read, execute]権限が割り当てられているホストの名前、またはConjur Cloudのワークロード名です。
- 変数に対して
- API key
- ホスト/ワークロードが最初に作成されたときに生成されたAPIキーです。
Last updated: