Schlüsseltresor-Geheimnisse

Um vertrauliche Daten mit Tosca zu verwenden, können Sie einen Schlüsseltresoranbieter integrieren. Auf diese Weise können Sie Geheimnisse aus einem Schlüsseltresor abrufen, die Sie für Ihre Tests verwenden können, z. B. Passwörter, Token oder vertrauliche Informationen. Wenn Sie dies tun, verwendet Tosca den abgerufenen Wert nur für einen kurzen Zeitraum, ohne ihn zu speichern.

Diese bietet folgende Vorteile:

  • Verbesserte Geheimnisverwaltung, da Sie vertrauliche Informationen nicht mehr in Tosca aktualisieren müssen.

  • Verbesserte Sicherheit, da Tosca nur den Pfad zum geheimen Schlüssel speichert.

  • Verbesserter Datenschutz, da vertrauliche Informationen von Logs oder Testergebnissen ausgeschlossen werden.

Eine Liste der unterstützten Schlüsseltresore finden Sie im Kapitel „Systemanforderungen“.

Einschränkungen

Die folgenden Einschränkungen gelten bei der Verwendung eines Schlüsseltresors mit Tosca:

  • Sie können keine Geheimnisse in Ihrem Schlüsseltresor bei Tosca hinzufügen, aktualisieren oder bearbeiten.

  • Sie können Geheimnisse nur mit der Aktion Input oder der Aktion Insert und dem Datentyp Secret abrufen.

Geheimnisse abrufen

Um Geheimnisse aus einem Schlüsseltresor abzurufen, müssen Sie zunächst Ihr zu testendes System vorbereiten:

  • Richten Sie den Schlüsseltresor auf dem Rechner ein, auf dem Sie Ihre Tests durchführen.

  • Bleiben Sie während der Testausführung jederzeit bei Ihrem Schlüsseltresor angemeldet.

Verwenden Sie nach der Vorbereitung des zu testenden Systems (SUT) den dynamischen Ausdruck {SECRET} und die folgende Syntax:

Syntax:

{SECRET[<KeyVault>][<SecretPath>][<FieldName>][<CyberArkAppId>]}

KeyVault

Der Parameter KeyVault gibt den Anbieter Ihres Schlüsseltresors an, z. B. HashiCorp oder CyberArk. Dieser Parameter ist für HashiCorp optional.

SecretPath

Der Parameter SecretPath gibt den Pfad zum Geheimnis innerhalb des Schlüsseltresors an.

FieldName

Der Parameter FieldName gibt an, welches Feld aus dem Geheimnis abgerufen werden soll.

CyberArkAppId

Der Parameter CyberArkAppId gibt die CyberArk-Applikations-ID an. Verwenden Sie ihn daher nur, wenn Ihr Schlüsseltresor CyberArk ist.

In diesem Beispiel rufen Sie das Feld DBPassword ab, das sich unter kv/database/production/pw befindet. Verwenden Sie dazu die folgende Syntax:

{SECRET[hashicorp][kv/database/production/pw][DBPassword]}

MFA/SSO steuern

Sie können MFA/SSO steuern, indem Sie Einmalpasswörter generieren. Stellen Sie zunächst sicher, dass Sie für das zu testende System Geheimnisse abrufen und diese im Geheimnis des Schlüsseltresors speichern.

Um ein Einmalpasswort zu generieren, verwenden Sie den dynamischen Ausdruck {OTP} und die folgende Syntax: 

Syntax:

{OTP[KeyVault][<SecretPath>][<FieldName>][<CyberArkAppId>]}

Die Parameter stimmen mit den oben beschriebenen Parametern in der Syntax zum Abrufen von Geheimnissen überein.

In diesem Beispiel führen Sie die folgenden Aktionen durch:

  • Sie rufen den username und das password des Geheimnisses ab. In diesem Beispiel speichern Sie den Benutzernamen in CyberArk unter My-safe/sso-account und das Passwort in HashiCorp unter kv/credentials.

  • Sie steuern das Feld Enter your MFA Code: mit dem Wert {OTP[cyberark][My-Safe/sso-account][password][TRICENTIS_APPID]}. Dieser Befehl fügt das Einmalpasswort basierend auf dem in KEY gespeicherten Aktivierungscode ein. Die Applikation, bei der Sie sich authentifizieren möchten, stellt den Aktivierungscode bereit, oft in Form eines QR-Codes (wird in einem neuen Reiter geöffnet). Sie können diesen QR-Code scannen, um den Code zu erhalten und im Schlüsseltresor zu speichern.

  • Sie schließen die Authentifizierung ab, indem Sie auf die Schaltfläche Log in klicken.

MFA durch Generierung von Einmalpasswörtern steuern

Zusätzliche Konfigurationen

Anderen Timeout-Wert angeben

Standardmäßig wartet Tosca 5 Sekunden auf die Antwort des Schlüsseltresors, bevor eine Anfrage fehlschlägt. Wenn der Standardwert nicht ausreicht, können Sie einen anderen Timeout-Wert angeben.

Erstellen Sie dazu einen Testkonfigurationsparameter (TCP) namens KeyVaultCommandTimeout und geben Sie den neuen Timeout-Wert in Millisekunden an.

Anderen Pfad zur ausführbaren Schlüsseltresordatei angeben

Standardmäßig ruft Tosca den Pfad zur ausführbaren Schlüsseltresordatei über ihre Umgebungsvariable ab, die während des Setups des Tresors festgelegt wird. Wenn die entsprechende Umgebungsvariable in Ihrem System nicht vorhanden ist, kann Tosca die ausführbare Datei zur Verarbeitung der Anfrage nicht finden, und die Ausführung schlägt fehl. In diesem Fall müssen Sie den Pfad manuell angeben.

Erstellen Sie dazu einen TCP namens KeyVaultPath und geben Sie den vollständigen Pfad zur ausführbaren Schlüsseltresordatei an.