Posinstalación Local con Azure Key Vault

SI usa la utilidad interactiva de bóveda de claves de la línea de comandos durante un tiempo de inactividad del sistema programado, debe detener todos los servicios de Control Room que se estén ejecutando. Se recomienda coordinar con el equipo administrativo de Azure cualquier cambio en la configuración de la bóveda de claves que pueda impactar en los parámetros de conectividad (como AZURE_CLIENT_ID, AZURE_CLIENT_SECRET y AZURE_TENANT_ID) durante los períodos de inactividad.

Antes de empezar

Nota: Si usa la utilidad de bóveda de claves para inhabilitar la integración de Azure Key Vault, primero debe desasignar cualquier credencial asignada que esté en uso.

Con el método posinstalación, puede realizar estas acciones:

  • Modificar o configurar los parámetros de conexión de la bóveda de claves externa.
  • (Si no se ha configurado durante la instalación inicial) Modifique o configure la credencial de la cuenta de servicio (contraseña maestra de Active Directory).
  • (Si no se ha configurado durante la instalación inicial) Modificar o configurar el identificador de credenciales de la base de datos (de arranque) (recuperado cuando se autenticó la base de datos).
    Nota: La recuperación de las credenciales de arranque de una bóveda externa de claves podría hacer que la Control Room falle si no se puede acceder a la bóveda externa de claves durante el arranque o cuando la Control Room actualiza las conexiones de la base de datos y autentica a los usuarios con Active Directory.
  • Recuperar la Control Room por los siguientes motivos:
    • Al modificar los parámetros de conexión de la bóveda de claves externa, la cuenta de servicio y los identificadores de objetos y credenciales de la base de datos.
    • Si los cambios en los parámetros de conexión de Azure Key Vault hacen que la Control Room experimente problemas de conectividad.
    • Cuando los identificadores de credenciales para las contraseñas de arranque cambian.

      Puede abordar cualquier ajuste de configuración inicial que no se haya establecido correctamente y recuperar el sistema.

Puede configurar y editar los identificadores de credenciales SMTP y AD para recuperar la información de la bóveda externa de claves desde la Control Room de Automation 360. Para ello, vaya a Administración > Configuración > Active Directory.

Procedimiento

  1. Ejecute la utilidad de bóveda de claves para Azure Key Vault: Para ejecutar la utilidad de bóveda de claves y actualizar la configuración de la conexión de la bóveda de claves:
    1. Como administrador de Control Room, acceda al directorio de instalación de Automation Anywhere Control Room que se creó durante la instalación inicial de Automation 360.
      Por ejemplo: C:\Program Files\Automation Anywhere\Automation360
    2. Descargue la versión más reciente de la utilidad de bóveda de claves. A fin de descargar el archivo jar que se usó para actualizar el directorio, use las siguientes instrucciones:
      1. Abra un navegador y acceda al sitio A-People: A-People Downloads page (Login required).
      2. Haga clic en el vínculo al archivo de versión de Local más reciente.
      3. Haga clic en la carpeta Configuración de la instalación.
      4. Descargue el archivo crutils.jar.
      Nota: Si la autenticación de la base de datos está configurada para usar una bóveda externa de claves, la utilidad devuelve la siguiente excepción: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      La utilidad solicita al usuario que confirme la acción: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Ingrese Y para continuar.
    4. Ingrese los siguientes datos:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
      Nota: Después de abrir la URL https://user-db-vault.vault.azure.net/ desde el navegador web, puede exportar este certificado. El certificado debe estar en formato .pem o .cer.
    5. Agregue estos argumentos jvm al comando para ejecutar la utilidad de bóveda de claves:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Puede actualizar cualquiera de estas acciones de configuración:

      • Ingrese UPDATE_KEY_VAULT_CONFIGURATION para editar la configuración de la bóveda de claves de Azure.
      • Ingrese UPDATE_DB_AUTHENTICATION_CONFIGURATION para cambiar a la autenticación de la base de datos mediante la bóveda externa de claves.
      Nota: Si desea que las credenciales de la base de datos se actualicen desde la bóveda de claves, ingrese UPDATE_KEY_VAULT_CONFIGURATION primero y, luego, ingrese UPDATE_DB_AUTHENTICATION_CONFIGURATION.
  2. Según la acción de configuración que haya utilizado, elija la acción adecuada:
    • Actualizar la configuración de la bóveda de claves para Azure: Si ha ingresado UPDATE_KEY_VAULT_CONFIGURATION como acción de configuración, haga lo siguiente:
      1. Después de que la utilidad cargue la configuración y las propiedades actuales de la bóveda de claves, aparecerá este mensaje: Enter key vault [AWS/CYBERARK/AZURE/NONE] :, ingrese AZURE
      2. En la indicación del sistema Please enter Vault URL:, ingrese (por ejemplo): https://user-db-vault.vault.azure.net/
      La utilidad de bóveda de claves se ejecuta. Si la configuración fue exitosa (la utilidad pudo conectarse a la bóveda externa de claves con los parámetros configurados), aparecen los siguientes mensajes en la consola:
      Connection configurations valid
        Key Vault configurations successfully updated
    • Actualizar la autenticación de la base de datos para Azure: Si ha ingresado UPDATE_DB_AUTHENTICATION_CONFIGURATION como acción de configuración, haga lo siguiente:
      1. Después de que la utilidad cargue la información de configuración de la base de datos actual, aparecerá este mensaje:
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Escribir KEY_VAULT

      2. En la indicación del sistema Please enter Secret name:, ingrese (por ejemplo): testDB

      La utilidad de bóveda de claves se ejecuta. Si la configuración de la base de datos fue exitosa (la utilidad pudo conectarse a Azure, recuperar la credencial designada y, luego, usar la credencial para conectarse a la base de datos), los siguientes mensajes aparecerán en la consola:

      Database Credentials are valid
      Database authentication configurations successfully updated
      

      Ejecute la utilidad de bóveda de claves en los tres nodos de una configuración de clúster.