Skip to main content

Configuração do HashiCorp

Configurar a conexão do cofre externo

Conecte o Gerenciador de Conexões de Dados (DCM) à sua instância do HashiCorp para que você possa buscar dados de autenticação do HashiCorp para o seu fluxo de trabalho posteriormente.

  1. Acesse Arquivo > Gerenciar conexões para abrir o DCM.

  2. Selecione Cofres externos no canto inferior esquerdo.

  3. Clique no botão + Novo para adicionar um novo cofre ao DCM.

  4. Escolha a sua tecnologia HashiCorp Vault. Somente o motor de segredos KV é compatível nas versões 1 e 2.

  5. Digite um nome personalizado para esta conexão do cofre.

  6. Em seguida, digite o "URL" e o "Namespace" onde o HashiCorp Vault está localizado e selecione Salvar. Por exemplo:

    • URL: https://vault.your-company.hashicorp.cloud:8200

    • Namespace: Namespace1

  7. Selecione + Conectar credencial e escolha Criar nova credencial no menu suspenso Credencial.

  8. Preencha os campos com base no método de autenticação selecionado para acessar o HashiCorp (nome de usuário e senha para autenticação básica ou ao usar LDAP, ID do cliente, Segredo para OIDC ou Certificado mTLS).

  9. Selecione Criar e vincular.

    Agora, você pode selecionar esse cofre recém-criado ao criar novas credenciais.

hashicorp_1.png

Configuração do certificado mTLS

Para configurar a credencial do certificado mTLS para o HashiCorp Vault, é necessário preencher as seguintes informações:

  • Nome da credencial: escolha um nome personalizado para fazer referência à credencial criada.

  • Certificado SSL: especifique o caminho do arquivo para o arquivo de certificado com os tipos compatíveis mencionados abaixo.

  • Tipo de certificado: escolha entre automático, DER, P12 ou PEM. Deixe em "automático" para determinar automaticamente o tipo de certificado com base na extensão do arquivo.

  • Chave: se o certificado SSL não contiver o arquivo de chave, forneça o caminho do arquivo para a chave em si. O único tipo de arquivo compatível é .key.

  • Senha: insira a senha para a chave (ou certificado, se um único arquivo) se o arquivo estiver protegido.

  • Função do certificado HashiCorp Vault: opcionalmente, especifique a função desejada para autenticação usando o certificado, seguindo a configuração das funções de certificado em seu HashiCorp Vault.

Espera-se que todos os arquivos de certificado e de chave privada sejam armazenados localmente e sigam as práticas recomendadas gerais para armazenamento de dados confidenciais.

Os arquivos podem ser acessados usando um caminho de rede. Esse comportamento depende do sistema operacional e o DCM independe dessas diferenças e não fornece garantias.

Para usar um arquivo de uma rede, preencha seu caminho de rede completo (por exemplo, \\192.168.1.130\mtls\user.crt) em seu respectivo campo. Todos os arquivos de rede precisam estar acessíveis para serem usados durante a execução do fluxo de trabalho. No Alteryx Designer, isso significa o usuário atual do sistema operacional. No Alteryx Server, isso significa um administrador em uma máquina de nó do Gallery. Uma unidade mapeada na rede também pode ser usada, mas as mesmas regras se aplicam: o mapeamento de rede precisa estar definido corretamente para o usuário e o administrador.

HashiCorp_mTLS.png

Nota

O certificado mTLS é usado somente durante a solicitação de autenticação inicial para o HashiCorp Vault. Quando a autenticação for bem-sucedida, todas as interações subsequentes com o cofre, como recuperar segredos, usarão o token de autenticação emitido pelo cofre. O certificado do cliente não é usado novamente após o login inicial.

O token de autenticação não é armazenado no DCM. Ele é retido apenas na memória durante a conexão e é descartado com segurança quando não é mais necessário.

Criar uma nova credencial com um cofre externo

Crie uma nova credencial do DCM, que usará a conexão do cofre externo para obter dados de autenticação do HashiCorp.

  1. Acesse Arquivo > Gerenciar conexões para abrir o DCM.

  2. Selecione Credenciais no canto superior esquerdo.

  3. Clique no botão + Adicionar credencial para adicionar uma nova credencial.

  4. Digite um nome para sua nova credencial.

  5. No menu suspenso Cofre, escolha a instância do HashiCorp que você criou anteriormente.

  6. Preencha o campo "Caminho do cofre" com o caminho para os dados de autenticação em seu HashiCorp Vault.

    Por exemplo, você tem um nome de usuário e uma senha para o seu banco de dados do Microsoft SQL salvos no HashiCorp, o caminho poderia ser este: "vault_name/databases/mssql".

    Para ler os valores secretos do cofre, a API HTTP HCV é usada, portanto, as solicitações são construídas de forma diferente, mas o caminho do cofre inserido no DCM permanece o mesmo para as versões 1 e 2 do motor de segredos do KV.

    • Para o KV versão 1, o URL de solicitação é construído como [vaultUrl]/v1/secret/[vaultPath], por exemplo, para https://my-vault.hashicorp.cloud/v1/secret/vault_name/database/mssql.

    • Para o KV versão 2, o URL de solicitação é construído como [vaultUrl]/v1/secret/data/[vaultPath], por exemplo, para https://my-vault.hashicorp.cloud/v1/secret/data/vault_name/database/mssql.

  7. Em seguida, escolha o Método de autenticação preferido. Esse método deve corresponder aos dados de autenticação que você deseja obter do HashiCorp.

    Por exemplo, se eu quiser obter o nome de usuário e a senha do HashiCorp, selecionarei a opção "Nome de usuário e senha".

  8. Certifique-se de que a caixa de seleção Usar valores do cofre esteja habilitada se você quiser que os dados de autenticação sejam obtidos do HashiCorp. Em seguida, cada campo correspondente deve conter a chave em que o valor está salvo em seu HashiCorp.

    Por exemplo, se meu nome de usuário estiver salvo no HashiCorp em uma chave chamada "SQLUsername1", marcarei "Usar valores do cofre" e digitarei "SQLUsername1" no campo "Nome de usuário".

  9. Clique em Salvar.

    Agora, você pode usar essa credencial recém-criada para uma fonte de dados correspondente ao configurar uma ferramenta de fluxo de trabalho.

hashicorp configuration_2

Usar " Credencial" em um fluxo de trabalho

Você pode usar sua nova credencial em um fluxo de trabalho. Esse fluxo é idêntico ao uso de uma credencial armazenada no DCM.

  1. Para começar, crie um novo fluxo de trabalho e adicione algumas ferramentas de Dados de Entrada ou de Saída.

    Por exemplo, posso adicionar a ferramenta Dados de Entrada.

  2. Certifique-se de que a ferramenta esteja configurada para usar o DCM (habilite a caixa de seleção Usar o Gerenciador de Conexões de Dados (DCM) na ferramenta Dados de Entrada).

  3. Configure sua conexão e escolha a tecnologia desejada.

    Por exemplo, selecionarei "MSSQL Server Quick Connect" em minha ferramenta Dados de Entrada.

  4. Quando a janela do Gerenciador de Conexões for aberta, escolha uma fonte de dados existente ou crie uma nova.

  5. Selecione + Conectar credencial e escolha a credencial criada anteriormente (aquela que obtém dados de autenticação do HashiCorp).

    Por exemplo, selecionarei a credencial que chamei de "John's MSSQL creds".

  6. Selecione Criar e vincular.

  7. Clique em Conectar.

  8. Agora, a conexão está configurada. Você pode continuar configurando detalhes específicos relacionados à sua tecnologia de fonte de dados (por exemplo, selecionar a tabela do banco de dados, limite de registros etc.).

    Quando o fluxo de trabalho estiver pronto, execute-o para ver se você se autenticou corretamente na fonte de dados usando as credenciais obtidas no HashiCorp Vault.

Nesta secção: