On-Premisese Erstinstallation mit CyberArk Password Vault

Mit der Methode der Erstinstallation können Sie eine Verbindung herstellen und den externen Schlüsseltresor-Connector, die Anmeldedaten des Dienstkontos (Active Directory-Administratorpasswort) und die Bootstrap-Anmeldedatenkennung (Datenbank) konfigurieren.

Anmerkung: Sie müssen die Microsoft SQL Server-Authentifizierung als Datenbank auswählen; andere Datenbank-Authentifizierungsmethoden werden für diesen Anwendungsfall nicht unterstützt.

Die Erstinstallation unterstützt in Bezug auf die Bootstrap-Anmeldeinformationen für den Control Room eine passwortlose Installation. Bei der passwortlosen Installation werden die Bootstrap-Anmeldeinformationen durch den Safe-Namen und den Objektnamen in CyberArk identifiziert.

Sie können die SMTP- und AD-Anmeldedatenkennung für den Abruf aus dem externen Schlüsseltresor über die Automation 360-Nutzeroberfläche konfigurieren.

Prozedur

  1. Nachdem Sie den Automation 360-Installationsassistenten gestartet haben, wählen Sie Lokal als Bereitstellungsoption aus und klicken Sie auf Weiter.
  2. Akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Weiter.
  3. Wählen Sie unter Einstellungen für den Installationstyp die Option Benutzerdefiniert aus und klicken Sie auf Weiter.
  4. Akzeptieren Sie die Standardspeicherorte für die Zielordner und klicken Sie auf Weiter.
  5. Wählen Sie zum Verbinden und Konfigurieren der externen Schlüsseltresor-Integration CyberArk aus.
    1. Geben Sie in das Feld Tresor-URL die CCP-API-URL des CyberArk AIM-Servers ein (z. B.: https://<hostname:port_num>/.
      Anmerkung: Um auf die CCP-APIs zuzugreifen, hängt der Control Room automatisch /AIMWebService/api/Accounts? an die eingegebene Tresor-URL an. Daher müssen Sie den Webdienst auf dem CyberArk AIM-Server als AIMWebService konfigurieren.
    2. Geben Sie in das Feld Anwendungs-ID die CCP-API-AppID ein (z. B.: AAEControlRoom).
    3. Geben Sie den Pfad zu dem CyberArk-AIM-Serverzertifikat (im Format .pem mit .p12) ein, das für den Control Room-Server ausgestellt wurde (Betreff des Zertifikats: Feld enthält den vollständig qualifizierten Domainnamen (FQDN) für den Control Room).
      Dieses Zertifikat muss von CyberArk als vertrauenswürdig eingestuft und in CyberArk konfiguriert werden.
    4. Klicken Sie auf Zertifikat hochladen, um es auf dem Automation 360-Control Room-Server zu speichern.
    5. Geben Sie die Passphrase der Zertifikatsdatei ein, um auf die Control Room-Zertifikatsdatei zuzugreifen.
    6. Optional: Wenn die ausstellende Zertifizierungsstelle (CA) des Serverzertifikats in CyberArk vom Control Room als nicht vertrauenswürdig eingestuft wird, geben Sie ein optionales Serverzertifikat ein.
      Dies ist das Serverzertifikat für den CyberArk-Server ohne einen privaten Schlüssel (Betreff des Zertifikats: Feld enthält den FQDN des CyberArk AIM-Servers). Das Installationsprogramm fügt das optionale CyberArk Serverzertifikat dem vom Control Room verwendeten Truststore hinzu.
    7. Klicken Sie auf Weiter.
  6. Übernehmen Sie die Standardeinstellungen aus dem Dialogfeld TLS-Konfiguration und klicken Sie auf Weiter.
  7. Wählen Sie im Dialogfeld Dienstanmeldedaten eine Option aus, um Safe-Name und Objektname von CyberArk anzugeben, anstatt den Nutzernamen und das Passwort für das Dienstkonto manuell einzugeben, das vom Control Room verwendet wird.
  8. Klicken Sie auf Dienstkonto (Anmeldeinformationen aus externem Schlüsseltresor abrufen) und geben Sie dann die Werte Safe-Name und Objektname ein. Optional können Sie die Eigenschaft eingeben, die auf Ihren CyberArk-Nutzernamen eingestellt ist. Um zum Beispiel den Nutzernamen im Format domain\username zu konfigurieren, müssen Sie Folgendes eingeben: $domain$\$username$, wobei die Werte für die Domäne und den Nutzernamen aus der CyberArk-Geheimantwort abgerufen werden.
    Das Installationsprogramm fragt die Anmeldedaten in CyberArk ab, um zu überprüfen, ob das Objekt im angegebenen Safe existiert.
    Anmerkung: Wenn die Option Dienstkonto nicht zur Angabe von Safe-Name und Objektname verfügbar ist, bedeutet dies, dass CyberArk Password Vault zuvor nicht ordnungsgemäß als externer Schlüsseltresor konfiguriert und verbunden wurde. Wenden Sie sich an Ihr AAI-Supportteam oder überprüfen Sie das zuvor Genannte.

    Siehe auch: Problembehandlung bei externen Schlüsseltresoren.

  9. Klicken Sie auf Weiter.
  10. Wählen Sie im Dialogfeld Datenbankserver Ihren Datenbankserver aus, geben Sie den Namen Ihrer Control Room-Datenbank ein und klicken Sie dann auf Weiter.
  11. Wählen Sie im Dialogfeld Datenbankauthentifizierung eine Option aus, um Safe-Name und Objektname von CyberArk anzugeben, anstatt den Nutzernamen und das Passwort manuell einzugeben, die Control Room zur Authentifizierung bei der Datenbank verwendet.
    1. Klicken Sie auf SQL-Server-Authentifizierung (Anmeldeinformationen aus externem Schlüsseltresor abrufen) und geben Sie dann die Werte Safe-Name und Objektname ein.
      Anmerkung: Geben Sie denselben Wert für Safe-Name ein, den Sie zuvor für den sicheren Namen für Dienstkonto eingegeben haben.
    2. Klicken Sie auf Weiter, um fortzufahren und die Erstinstallation abzuschließen.

Nach erfolgreicher Erstinstallation kann der Automation 360-Control Room auf Anmeldedaten im CyberArk Password Vault zugreifen und diese abrufen.