PAM360とAutomation Anywhereとの統合

本書では、PAM360とRobotic Process Automation (RPA)ツールとの統合手順について説明します。PAM360は、ボットを使用してさまざまなソフトウェアプロセスを模倣するRPAツールであるAutomation Anywhereと統合できます。

PAM360ボットは、PAM360のvaultのリソースとアカウント詳細を使ってパスワードを自動的に取り込むことで、パスワードを手動で取り込んで各種タスクを事項する必要性を解消します。PAM360ボットは、Automation Anywhereの他のボットと組み合わせ、完全エンドポイント管理ワークフローを作成できます。会社でボットを使って自動化したセキュアリモートログインセットアップが必要であるとします。PAM360のボットと、リモート接続を起動する別のボットを組み合わせることができます。PAM360のボットのパスワード取り込みメカニズムでは、パスワードがPAM360のvaultから安全に取り込まれ、リモート装置へのログインに使用できるようになります。

本書の終わりでは、以下のトピックについて学ぶことになります：

1. ロールと権限
2. 統合はどのように機能しますか?
3. Automation Anywhereポータルのセットアップ
4. PAM360でのRPA統合の設定
5. PAM360のアカウント詳細のダウンロード

1.ロールと権限

デフォルトでは、特権管理者、管理者、Cloud Administratorのユーザーロールを持つユーザーは、Automation Anywhereを統合して設定できます。これらの事前定義されたロールに加えて、カスタム設定でロボティック・プロセス・オートメーション権限が有効になっているカスタムロールを持つユーザーは、統合および設定を行うことができます。

2.統合はどのように機能しますか?

統合により、PAM360ボットは、PAM360のパスワードリポジトリからパスワードを取り込むプロセスを自動化できます。次に、安全に取り込まれたパスワードは、マシン、アプリケーション、またはデータベースへの接続に使用できます。

PAM360のタスクボットは、PAM360の保管庫からパスワードを2つの方法で取得できます。リソース名＆アカウント名およびリソースID＆アカウントIDからです。タスクボットは、ユーザーから手動で入力値を受け取ることも、テキストファイルからデータを読み取ることもできます。入力値には、PAM360のWebインターフェイスから生成された一意のアプリトークンが含まれます。必要な入力情報がすべて入力されたら、Automation Anywhereポータルでタスクボットを実行します。要求されたリソースとアカウントのパスワードが取得され、Automation Anywhereに表示されます。

3.Automation Anywhereポータルのセットアップ

初めてご利用の方は、こちらをクリックしてAutomation Anywhereをダウンロードし、使い始めてください。

Automation Anywhereポータルを設定し、PAM360ボットを追加するには、以下の手順に従ってください。

1. Bot StoreからPAM360ボットをダウンロードしてください。
2. .msiファイルをダブルクリックして、インストール手順に従います。Automation Anywhereのダウンロードページからライセンスコードをコピーしてください。インストーラーは、Automation Anywhereディレクトリの下に、それぞれのコンテンツを含むフォルダ構造を作成します。
   

   メモ：

   PAM360ボットパッケージには、以下の機能を実行できる2つのタスクボットが含まれています。これらのタスクボットは、<Automation-Anywhere-Installation-Directory> >> [My Tasks] >> [Bot Store] >> [Retrieve Credentials from PAM360-ManageEngine] >> [My Tasks] に配置されています。

   • MasterBot.atmx - リソース名とアカウント名を手動で入力してパスワードを取得します。
   • MasterBot-ReadInputFromFile.atmx - PAM360のWebインターフェースからダウンロードできるテキストファイルからリソースIDとアカウントIDを読み取ってパスワードを取得します。アカウントの詳細をダウンロードする方法については、下記のセクション5を参照してください。
3. 次に、Automation Anywhereポータルを開き、下の手順に進みます。

3.1 リソース名とアカウント名を使ったパスワードの取り込み

タスクボットMasterBot.atmxを使用してパスワードを取得するには、以下の手順に従ってください。

1. 左パネルから ［Tasks］ >> ［Bot Store］ >> ［Retrieve Credentials from PAM360-ManageEngine］に進み、,MasterBot.atmxをMy Tasksで探します。MasterBot.atmxを右クリックし、［Edit］をクリックします。
2. 右パネルでVariable Managerに以下の変数が一覧表示されます： vServerName、vPort、vAccountName、vResourceName、vReason、vAppToken、vTicketID。必要な変数をダブルクリックすると、Edit Variableウィンドウが表示されます。ここで、選択した変数の値を入力してください。該当する場合、パスワードを取り込むには、PAM360から生成されたvAppToken、vPort、vServerName、vResourceName、vAccountName等の入力パラメーターをvReasonやvTicketIDとあわせて入力する必要があります。
   
   
   
3. 上部のメニューバーの［Save］をクリックし、［Run］をクリックしてボットを実行します。すべての入力パラメーターが正しく与えられている場合、ボットはPAM360から必要なパスワードを取り込み、メッセージボックスに表示します。

3.2 ファイルから読取オプションを使ったパスワードの取り込み

ファイルから読み取るオプションを使ってパスワードを取り込むには、PAM360から特定アカウントのリソースとアカウント詳細を含むテキストファイルをダウンロードする必要があります。PAM360からテキストファイルをダウンロードする方法については、こちらをクリックしてください。

テキストファイルがローカルディスクに保存されたら、下の手順を続行します：

1. 左パネルの ［Tasks］ >> ［Bot Store］ >> ［Retrieve Credentials from PAM360-ManageEngine］に進み、,MasterBot-ReadInputFromFile.atmxをMy Tasksで探します。MasterBot-ReadInputFromFile.atmxを右クリックし、［Edit］をクリックします。
2. Actions Listで、Read From Text File（下の画像の14行目）をダブルクリックします。［Read from CSV/Text］ウインドウがポップアップされます。ここで、Browseオプションをクリックしてローカルディスクに保存されたテキストファイルを選択および追加します。デフォルトでは、PAM360からダウンロードしたテキストファイルには、'='が区切りとして付いています。［Save］をクリックして、変更を保存します。
   
   
   
3. vPort、vResourceID, vAccountID、vServerName等の入力パラメーターは、テキストファイルから直接入力されます。ただし、PAM360から生成されたvAppTokenは必ず入力します。また、vReasonとvTicketIDパラメーターに値を入力します（該当する場合）。
4. 上部のメニューバーの［Save］をクリックし、［Run］をクリックしてボットを実行します。すべての入力パラメーターが正しく与えられている場合、ボットはPAM360から必要なパスワードを取り込み、メッセージボックスに表示します。

Automation Anywhereのセットアップが缶完了しました。Automation AnywhereポータルでのPAM360 MetaBotのセットアップが完了しましたので、以下のセクションの手順に従い、PAM360側での統合設定を完了させてください。

4.PAM360でのRPA統合の設定

RPA統合を有効にするには、以下の手順に従ってください。

1. PAM360のWebインターフェースにログインし、[管理] >> [Workflow Orchestration] >> [ロボティック・プロセス・オートメーション]に移動します。
2. Automation Anywhereの［有効にする］をクリックします。
   
3. 新しいウィンドウから、RPAエントリの追加、編集、削除、および保留中の要求の承認を行うことができます。

新しい RPA エントリを追加するには、[追加] をクリックし、次の属性を入力して、ユーザーの新しい RPA エントリを追加します。

1. RPA名：参照用に一意の名前を入力します。例. username-hostname
2. ユーザー名：PAM360で表示されるユーザーは、ドロップダウンに一覧表示されます。ここで選択されたユーザーは、次の手順で指定されたホスト名からAutomation Anywhereのアプリトークンを使用できるユーザーです。アプリトークンを使用する前に、要求が承認メカニズムを通過します。承認ワークフローのセクションを参照して、さまざまな種類のユーザーに対する承認の仕組みを確認してください。
3. ホスト名：生成されたアプリトークンが承認された後、選択したユーザーがPAM360ボットを使用できる元となるホスト名を入力します。一意のユーザー名－ホスト名のコンビには1つのRPAエントリのみ可能です。
4. アプリトークン：［生成］をクリックして、アプリトークンを生成します。このアプリトークンは、選択されたユーザーによってRPA入力要求が承認された後にのみ有効になります。デフォルトでは、アプリトークンは無期限で有効です。ただし、アプリトークンの有効期間は次の手順で定義できます。
5. アプリトークンの有効：無期限が自動的に選択され、アプリトークンは永久に有効な状態を維持します。［有効期限日］をクリックすると、アプリトークンの有益期限日を設定できます。
6. 保存をクリックして新しいエントリを追加します。
   

RPAエントリを編集するには、該当するRPA名の横にあるアクションの下のユーザーを編集アイコンをクリックし、必要に応じて値を編集します。詳細が編集されたら、要求が承認メカニズムを再通過します。要求が承認されたら、新しいアプリトークンまたはホスト名がアクティブになります。

RPAエントリを削除するには、いずれかのRPA名の横にあるアクションの下のユーザー削除アイコンをクリックしてください。複数のエントリを削除するには、RPA名の横のチェックボックスを選択し、トップバーの［削除］をクリックします。次に、確認ダイアログボックスで削除をクリックして、削除プロセスを完了します。

4.1 RPAエントリの承認ワークフロー

追加ウィンドウで選択するユーザー名は、管理者ユーザー、別の管理者ユーザー、または管理者以外のユーザー（パスワードユーザーまたはパスワード監査担当者）のいずれかです。選択されたユーザーに基づいて、RPAのエントリ承認メカニズムは以下のように変化します。

ケースI -自動承認: 各自のユーザー名を選択した場合、エントリは自動的に承認され、アプリトークンがすぐにアクティブになります。

ケースII - RPA特権ユーザーの承認待ち：RPAの所有者がRPA権限を持つユーザーである場合、承認要求はRPAの所有者に送信され、承認待ちの下に表示されます。ユーザー名、ホスト名、作成者等の詳細をレビューし、要求を承認または拒否するか選択できます。承認されたら、RPAオーナーは、新しいアプリトークンを生成するか、エントリが追加されたときに生成されたのと同じものを使用できます。RPAオーナーは、アプリトークンを入力し、PAM360ボットをAutomation Anywhereで使用できますので、注意してください。要求が拒否されたら、RPAエントリはメニューから削除されます。

ケースIII - RPA権限なしでユーザーへの承認待ち：RPAの所有者がRPA権限を持つユーザーでない場合、RPAエントリを作成した管理者以外のすべての管理者に承認要求が送信されます。そして、いずれかの管理者が要求を承認または拒否できます。アプリトークンをコピーして、管理者の1人による承認後、RPAオーナーに提供することができます。

5.PAM360のアカウント詳細のダウンロード

Automation Anywhereには、詳細の手動入力以外に、テキストファイルから入力変数を追加するオプションがあります。下の手順にしたがって、PAM360の特定アカウントのアカウント詳細をダウンロードします：

1. [リソース]に移動し、リソース名をクリックします。アカウント情報ウインドウに、そのリソースに関連づけられたすべてのアカウントが表示されます。
2. 必要なアカウントの横にある [アカウントアクション]ドロップダウンをクリックし、ドロップダウンから [アカウント情報をダウンロードする]を選択します。
3. SERVERNAME、SERVERPORT、RESOURCE ID、ACCOUNT ID等の詳細を含むテキストファイルがエクスポートされます。テキストファイル内では、キーと値のペアは区切り文字=で区切られます。