Skip to main content

Configurazione di HashiCorp

Impostazione della connessione al vault esterno

Connessione di Data Connection Manager (DCM) all'istanza HashiCorp per recuperare i dati di autenticazione da HashiCorp nel flusso di lavoro.

  1. Vai a File > Gestisci connessioni per aprire DCM.

  2. Seleziona Vault esterni nell'angolo in basso a sinistra.

  3. Seleziona il pulsante + Nuovo per aggiungere un nuovo vault a DCM.

  4. Scegli la tecnologia HashiCorp Vault. Nelle versioni 1 e 2 è supportata solo la gestione dei segreti KV.

  5. Immetti un nome personalizzato per questa connessione al vault.

  6. Quindi, immetti l'URL e lo spazio dei nomi in cui si trova HashiCorp Vault e seleziona Salva. Per esempio:

    • URL: https://vault.your-company.hashicorp.cloud:8200

    • Spazio dei nomi:Namespace1

  7. Seleziona + Connetti credenziali e scegli Crea nuova credenziale nel menu a discesa Credenziali.

  8. Compila i campi in base al metodo di autenticazione selezionato per accedere a HashiCorp (nome utente e password per l'autenticazione di base o quando si utilizza LDAP, ClientId, Secret per OIDC o certificato mTLS).

  9. Seleziona Crea e collega.

    D'ora in poi, potrai selezionare questo vault appena creato quando crei nuove credenziali.

hashicorp_1.png

Configurazione certificato mTLS

Per configurare le credenziali del certificato mTLS per HashiCorp Vault, devi inserire le seguenti informazioni:

  • Nome credenziale: scegli un nome personalizzato come riferimento per le credenziali create.

  • Certificato SSL: specifica il percorso del file del certificato con i tipi supportati indicati di seguito.

  • Tipo di certificato: scegli tra auto, DER, P12 o PEM. Mantieni l'opzione "automatico" per far determinare automaticamente il tipo di certificato in base all'estensione del file.

  • Chiave: se il certificato SSL non contiene il file della chiave, fornisci il percorso del file alla chiave stessa. L'unico tipo di file supportato è .key.

  • Password: inserisci la password per la chiave (o il certificato se un singolo file) se il file è protetto.

  • Ruolo certificato HashiCorp Vault: se desideri, specifica il ruolo per l'autenticazione utilizzando il certificato, seguendo la configurazione dei ruoli del certificato in HashiCorp Vault.

Tutti i certificati e i file delle chiavi private devono essere archiviati localmente e devono seguire le best practice generali per l'archiviazione dei dati sensibili.

È possibile accedere ai file utilizzando un percorso di rete. Questo comportamento dipende dal sistema operativo e il DCM non è vincolato a tali differenze e non fornisce alcuna garanzia.

Per utilizzare un file da una rete, inserisci il percorso di rete completo (ad esempio,  \\192.168.1.130\mtls\user.crt) nel rispettivo campo. Tutti i file di rete devono essere accessibili per essere utilizzati durante l'esecuzione del flusso di lavoro. In Alteryx Designer, ciò indica l'utente corrente del sistema operativo. In Alteryx Server, ciò indica un amministratore su una macchina nodo di Gallery È possibile utilizzare anche un'unità mappata in rete, ma si applicano le stesse regole: la mappatura di rete deve essere impostata correttamente per l'utente e l'amministratore.

HashiCorp_mTLS.png

Nota

Il certificato mTLS viene utilizzato solo durante la richiesta di autenticazione iniziale a HashiCorp Vault. Una volta completata l'autenticazione, tutte le interazioni successive con Vault, come il recupero dei segreti, utilizzano il token di autenticazione emesso da Vault. Il certificato client non viene utilizzato di nuovo dopo l'accesso iniziale.

Il token di autenticazione non è memorizzato nel DCM. Viene conservato solo in memoria per la durata della connessione e viene eliminato in modo sicuro quando non è più necessario.

Creazione di una nuova credenziale in un vault esterno

Come creare una nuova credenziale DCM che utilizzerà la connessione al vault esterno per ottenere i dati di autenticazione da HashiCorp.

  1. Vai a File > Gestisci connessioni per aprire DCM.

  2. Seleziona Credenziali nell'angolo in alto a sinistra.

  3. Seleziona il pulsante + Aggiungi credenziali per aggiungere una nuova credenziale.

  4. Immetti un nome per la nuova credenziale.

  5. Nel menu a discesa Vault, scegli l'istanza HashiCorp che hai creato.

  6. Compila il campo Percorso vault con il percorso ai dati di autenticazione in HashiCorp Vault.

    Ad esempio, se disponi di un nome utente e di una password per il database Microsoft SQL salvato in HashiCorp, il percorso potrebbe essere il seguente: "vault_name/databases/mssql"

    Per leggere i valori segreti dal vault, viene utilizzata l'API HTTP di HCV, quindi le richieste vengono costruite in modo diverso, ma il percorso del vault inserito in DCM rimane lo stesso per entrambe le versioni 1 e 2 della gestione dei secreti KV.

    • Per la versione 1 di KV, l'URL della richiesta è costruito come [vaultUrl]/v1/secret/[vaultPath], ad esempio, a https://my-vault.hashicorp.cloud/v1/secret/vault_name/database/mssql.

    • Per la versione 2 di KV, l'URL della richiesta è costruito come [vaultUrl]/v1/secret/data/[vaultPath], ad esempio, a https://my-vault.hashicorp.cloud/v1/secret/data/vault_name/database/mssql.

  7. Quindi, scegli il tuo metodo di autenticazione preferito. Questo metodo deve corrispondere ai dati di autenticazione che desideri recuperare da HashiCorp.

    Ad esempio, se desideri ottenere il nome utente e la password da HashiCorp, seleziona l'opzione "Nome utente e password".

  8. Assicurati che la casella di spunta Usa valori dal vault sia attivata, se desideri che i dati di autenticazione vengano recuperati da HashiCorp. Quindi, ogni campo corrispondente deve contenere la chiave sotto la quale è salvato il valore in HashiCorp.

    Ad esempio, se il nome utente è salvato in HashiCorp con una chiave denominata "SQLUsername1", occorrerà selezionare "Usa valori dal vault" e immettere "SQLUsername1" nel campo Nome utente.

  9. Seleziona Salva.

    D'ora in poi, potrai utilizzare questa credenziale appena creata per un'origine dati corrispondente quando configuri uno strumento del flusso di lavoro.

hashicorp configuration_2

Utilizza credenziale in un flusso di lavoro

Puoi utilizzare la nuova credenziale in un flusso di lavoro. Questo flusso è identico all'utilizzo di una credenziale memorizzata in DCM.

  1. Inizia creando un nuovo flusso di lavoro e aggiungendo alcuni strumenti per i dati di input o output.

    Ad esempio, puoi aggiungere lo strumento Dati di input

  2. Assicurati che lo strumento sia configurato per l'uso di DCM (attiva la casella di spunta Utilizza Data Connection Manager (DCM) nello strumento Dati di input).

  3. Imposta la connessione e scegli la tecnologia desiderata.

    Ad esempio, seleziona "Connessione rapida server MSSQL" nello strumento Dati di input

  4. Quando viene visualizzata la finestra Connection Manager, scegli un'origine dati esistente o creane una nuova.

  5. Seleziona + Connetti credenziali e scegli la credenziale precedentemente creata (quella che ottiene i dati di autenticazione da HashiCorp).

    Ad esempio, seleziona le credenziali ridenominate come "Credenziali MSSQL di John".

  6. Seleziona Crea e collega.

  7. Seleziona Connetti.

  8. Ora la connessione è impostata. Puoi configurare qualsiasi dettaglio specifico relativo alla tecnologia dell’origine dati (ad esempio, seleziona la tabella del database, il limite di record, ecc.).

    Una volta che il flusso di lavoro è pronto, eseguilo per verificare se l’origine dati è autenticata correttamente tramite le credenziali ottenute da HashiCorp Vault.

In questa sezione: