Nach der On-Premises-Installation mit CyberArk Password Vault

Sie verwenden das interaktive Befehlszeilen-Dienstprogramm für den Schlüsseltresor während einer geplanten Stillstandszeit des Systems und müssen alle ausgeführten Control Room-Dienste anhalten. Sie sollten alle Änderungen an der Konfiguration des Schlüsseltresors, die sich während der Stillstandszeiten auf die Verbindungsparameter (z. B. App-ID, Tresor-URL, Port-Nummern und Zertifikat) auswirken könnten, mit dem CyberArk-Administrationsteam abstimmen.

Vorbereitungen

Anmerkung: Wenn Sie das Dienstprogramm für den Schlüsseltresor verwenden, um die Integration von CyberArk Password Vault zu deaktivieren, müssen Sie zunächst die Zuordnung aller Anmeldedaten aufheben, die in Gebrauch sind.

Mit der Methode für den Zeitraum nach der Installation können Sie die folgenden Aktionen durchführen:

  • Ändern oder konfigurieren Sie die Verbindungsparameter des externen Schlüsseltresors.
  • (Falls bei der Erstinstallation nicht konfiguriert) Ändern oder konfigurieren Sie die Anmeldedaten für das Dienstkonto (Active Directory-Administratorpasswort).
  • (Falls bei der Erstinstallation nicht konfiguriert) Ändern oder konfigurieren Sie die Anmeldedatenkennung der Datenbank (Bootstrap) (die bei der Authentifizierung der Datenbank abgefragt wird).
    Anmerkung: Das Abrufen von Bootstrap-Anmeldedaten aus einem externen Schlüsselspeicher kann dazu führen, dass der Control Room den Vorgang nicht abschließen kann, wenn der externe Schlüsselspeicher während des Hochfahrens oder während Control Room die Datenbankverbindungen aktualisiert und Nutzer mit Active Directory authentifiziert nicht verfügbar ist.
  • Stellen Sie den Control Room aus diesen Gründen wieder her:
    • Bei Änderung der Verbindungsparameter des externen Schlüsseltresors, des Dienstkontos und der sicheren und objektbezogenen Kennungen der Datenbank
    • Wenn Änderungen an den Verbindungsparametern von CyberArk Password Vault zu Konnektivitätsproblemen des Control Rooms führen
    • Wenn sich die Kennungen der Anmeldedaten für Bootstrap-Passwörter ändern.

      Sie können alle Einstellungen der ersten Konfiguration korrigieren, die nicht korrekt eingestellt waren, und das System wiederherstellen.

Sie können SMTP- und AD-Anmeldedatenkennungen konfigurieren und bearbeiten, um Informationen des externen Schlüsseltresors aus dem Automation 360-Control Room abzurufen, indem Sie zu Administration > Einstellungen > Active Directory navigieren.

Prozedur

  1. Führen Sie das Dienstprogramm für den Schlüsseltresor in CyberArk Password Vault aus
    Anmerkung: Sie müssen das CyberArk-Server-Zertifikat (das Zertifikat, das für den CyberArk-Server ausgestellt wurde) in Java Truststore importieren, bevor Sie die DB-Dienstprogrammbefehle aufrufen. Das Zertifikat kann im .cer-Format (PEM) vorliegen und enthält keinen privaten Schlüssel.

    So führen Sie das Dienstprogramm für den Schlüsseltresor aus und aktualisieren die Verbindungseinstellungen für den Schlüsseltresor:

    1. Greifen Sie als Control Room-Administrator auf das Automation Anywhere Control Room-Installationsverzeichnis zu, das bei der ersten Automation 360-Installation erstellt wurde.
      Beispiel: C:\Program Files\Automation Anywhere\Enterprise
    2. Laden Sie die neueste Version des Dienstprogramms für den Schlüsseltresor herunter. Zum Herunterladen der JAR-Datei, mit der das Verzeichnis aktualisiert wird, öffnen Sie einen Browser und rufen Sie die A-People-Website auf: A-People Downloads page (Login required).
      Anmerkung: Wenn die DB-Authentifizierung so konfiguriert ist, dass ein externer Schlüsseltresor verwendet wird, gibt das Dienstprogramm die folgende Ausnahme zurück: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      Das Dienstprogramm fordert den Nutzer auf, die Aktion zu bestätigen: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Geben Sie Y ein, um fortzufahren.
    4. Geben Sie Folgendes ein:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Fügen Sie diese jvm-Argumente dem Befehl hinzu, um das Dienstprogramm des Schlüsseltresors auszuführen:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Sie können eine dieser Konfigurationsaktionen aktualisieren:

      • Geben Sie UPDATE_KEY_VAULT_CONFIGURATION ein, um die Konfiguration des CyberArk-Schlüsseltresors zu bearbeiten.
      • Geben Sie UPDATE_DB_AUTHENTICATION_CONFIGURATION ein, um zur Datenbank-Authentifizierung mit externem Schlüsseltresor zu wechseln.
  2. Wählen Sie die Aktion, die Ihrer Konfigurationsaktion entspricht:
    • Aktualisieren Sie die Konfiguration des Schlüsseltresors für CyberArk: Wenn Sie UPDATE_KEY_VAULT_CONFIGURATION als Konfigurationsaktion eingegeben haben:
      1. Nachdem das Dienstprogramm die aktuelle Konfiguration und die Eigenschaften des Schlüsseltresors geladen hat, wird diese Eingabeaufforderung angezeigt: Enter key vault [AWS/CYBERARK/AZURE/NONE] : Geben Sie CYBERARK ein.
      2. Geben Sie bei der Eingabeaufforderung Please enter Vault URL: Folgendes ein (Beispiel): https://services.uscentral.skytap.com:19516
      3. Geben Sie bei der Eingabeaufforderung Please enter Application ID: Folgendes ein (Beispiel): AAEControlRoom
      4. Geben Sie bei der Eingabeaufforderung Please enter Certificate path: Folgendes ein (Beispiel): C:\Users\Admin\Downloads\client_combined_cert_key_Adminat1234.p12
        Anmerkung: Das Client-Zertifikat, das dem Control Room zur Authentifizierung bei CyberArk ausgestellt wird, muss im Format .p12 (pkcs#12) vorliegen und den privaten Schlüssel enthalten.
      5. Geben Sie an der Eingabeaufforderung Passphrase will not be displayed on the console Passphrase: Ihre Passphrase ein.
      Das Dienstprogramm für den Schlüsseltresor wird ausgeführt. Wenn die Konfiguration erfolgreich war (das Dienstprogramm konnte unter Verwendung der konfigurierten Parameter eine Verbindung mit dem externen Schlüsseltresor herstellen), werden diese Meldungen auf der Konsole angezeigt:
      Connection configurations valid
  Key Vault configurations successfully updated
    • Aktualisieren Sie die Datenbank-Authentifizierung für CyberArk: Wenn Sie UPDATE_DB_AUTHENTICATION_CONFIGURATION als Konfigurationsaktion eingegeben haben:
      1. Nachdem das Dienstprogramm die aktuellen Informationen für die Konfiguration der Datenbank geladen hat, wird diese Eingabeaufforderung angezeigt:
        Database authentication configurations loaded
Currently configured database authentication [SQL]

Change database authentication. Available options:
WINDOWS: Connect to database using windows authentication
SQL: Connect to database using SQL server authentication, manually enter username and password
KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 

Enter database authentication [WINDOWS/SQL/KEY_VAULT]:

        Geben Sie den KEY_VAULT ein.

      2. Geben Sie bei der Eingabeaufforderung Please enter Safe name: Folgendes ein (Beispiel): aa_vb_safe
      3. Geben Sie bei der Eingabeaufforderung Please enter Object name: Folgendes ein (Beispiel): Database-MSSql-administrator-admin

      Das Dienstprogramm für den Schlüsseltresor wird ausgeführt. Wenn die Datenbankkonfiguration erfolgreich war (das Dienstprogramm konnte eine Verbindung zu CyberArk herstellen, die angegebenen Anmeldedaten abrufen und dann die Anmeldedaten für die Verbindung mit der Datenbank verwenden), werden diese Meldungen in der Konsole angezeigt:

      Database Credentials are valid
Database authentication configurations successfully updated