Cloud-Integration mit CyberArk Passworttresor

Sie verbinden und integrieren den externen CyberArk Password Vault mit dem Automation 360 Control Room.

Anmerkung: Die Marke CyberArk und das CyberArk-Logo sind Warenzeichen oder eingetragene Warenzeichen von CyberArk Software Ltd. und werden nur zu Identifikationszwecken verwendet.

Das folgende Bild zeigt die CyberArk Cloud-Integration in den Control Room:

CyberArk Cloud-Integration in den Control Room

Sie müssen die Firewall der Kundennetzwerk-Umgebung so konfigurieren, dass der Zugriff auf CyberArk_CCP_hostname:port von Automation 360 Cloud AWS NAT-Gateway IP-Adressen zugelassen wird.

In der folgenden Tabelle finden Sie ein Beispiel für die Konfiguration der Firewall der Kundenumgebung:

Von Bis Verwendetes Protokoll
Control Room in Automation 360 Cloud: Drei AWS NAT-Gateway IP-Adressen CyberArk_CCP API_hostname:port

Zum Beispiel: cyberarkpwv.dev.abcd.com:4043

 TLS Verschlüsselte CCP-API

(TLS gegenseitige Authentifizierung)

Weitere Details finden Sie unter Control Room IP-Adressen für externe Integrationen.

Bei Cloud-Integrationen können Sie die Integrationen des Control Rooms und des externen Schlüsseltresors über die Benutzeroberfläche des Automation 360-Control Rooms konfigurieren.

Die Anwendungsfälle Automatische Anmeldung für Agent und Automatisierung für Agent werden nur in Automation 360-Cloud Control Room-Instanzen unterstützt. Keiner dieser Anwendungsfälle hat Auswirkungen auf die Control Room-Boot-Sequenz oder Control Room-Funktionalität.

Anmerkung:
  • Die Anwendungsfälle und Abruf von Anmeldedaten für Bootstrap und Dienstkonten werden in Cloud Control Room-Instanzen nicht unterstützt, da die Datenbank und die Dienste intern von Automation Anywhereverwaltet werden. Es gibt keinen Compliance-Anwendungsfall (Anforderung), der festlegt, dass diese Anmeldedaten im externen Schlüsseltresor des Kunden gespeichert werden.
  • Wenn Sie CyberArk in einer Automation 360-Cloud-Bereitstellung verwenden, muss der externe Schlüsseltresor von CyberArk von der Cloud Control Room durch die Firewall-Regeln der Netzwerkumgebung hindurch erreichbar sein. Einzelheiten zur Konfiguration der externen Firewall-Regeln finden Sie unter Control Room IP-Adressen für externe Integrationen.
  1. Erfassen Sie die spezifischen CyberArk-Informationen, die für die Konfiguration des externen Schlüsseltresor-Connectors erforderlich sind, mithilfe des Automation 360-Control Rooms.
    Element Beschreibung
    Tresor-URL Die CyberArk AIM-Server CCP-API-URL (zum Beispiel: https://<hostname:port_num>/
    Anmerkung: Um auf die CCP-APIs zuzugreifen, hängt der Control Room automatisch /AIMWebService/api/Accounts? an die eingegebene Tresor-URL an. Daher müssen Sie den Webdienst auf dem CyberArk AIM-Server als AIMWebService konfigurieren
    Anwendungs-ID Die AppID der CCP-API (zum Beispiel: AAEControlRoom).

    Details finden Sie unter Integration von CyberArk Password Vault.
    Zertifikatsdatei Geben Sie den Pfad zu dem Client-Zertifikat ein, das für den Control Room-Server ausgestellt wurde.

    Die Client-Zertifikatsdatei, die für den Control Room ausgestellt wird, ist eine .p12-Datei, die den privaten Schlüssel enthält. CyberArk-Administratoren konfigurieren diese Datei auf dem CyberArk-Server. Nachdem die Zertifikatsdatei konfiguriert wurde, wird sie zur Authentifizierung jeder Client-Anfrage verwendet, die vom Automation 360-Cloud Control Room an den CyberArk-Server gesendet wird.

    Das Zertifikat wird von der internen Zertifizierungsstelle des Kunden für den Cloud Control Room ausgestellt (Betreff: das Feld des Zertifikats enthält den vollständig qualifizierten Domänennamen (FQDN) des Control Rooms).
    Passwort der Zertifikatsdatei Ein Passwort, das zum Öffnen der Zertifikatsdatei verwendet wird.
    Serverzertifikat: PEM-Format (Erforderlich nur für die Cloud-Integration): Das Serverzertifikat ohne den privaten Schlüssel des CyberArk AIM-Servers (Betreff: das Feld des Zertifikats enthält den FQDN des CyberArk AIM-Servers).

    Dieses Serverzertifikat ist ein öffentliches Zertifikat für die URL, unter der CyberArk gehostet wird. Dieses Zertifikat liegt im PEM-Textformat vor und enthält die Subject Alternative Names (SAN), unter denen CyberArk auf Anfragen reagiert. Weitere Informationen finden Sie unter CyberArk CACert.
  2. Melden Sie sich beim Automation 360-Control Room als Administrator an.
  3. Navigieren Sie vom Control Room zu Administration > Einstellungen > Externer Schlüsseltresor.
  4. Klicken Sie auf das Symbol Bearbeiten, um den Bereich Konfigurationseinstellungen zu öffnen.
  5. Klicken Sie auf CyberArk und geben Sie dann die spezifischen Informationen für CyberArk ein, die in der vorstehenden Tabelle beschrieben sind.
  6. Klicken Sie auf Änderungen speichern, um den externen Schlüsseltresor zu verbinden.