Postinstalación Local con CyberArk Password Vault

SI usa la utilidad interactiva de bóveda de claves de la línea de comandos durante un tiempo de inactividad del sistema programado, debe detener todos los servicios de Control Room que se estén ejecutando. Se recomienda coordinar con el equipo administrativo de CyberArk cualquier cambio en la configuración de la bóveda de claves que pueda impactar en los parámetros de conectividad (como el ID de la aplicación, la URL de la bóveda, los números de puerto y el certificado) durante los períodos de inactividad.

Antes de empezar

Nota: Si usa la utilidad de bóveda de claves para inhabilitar la integración de CyberArk Password Vault, primero debe desasignar cualquier credencial asignada que esté en uso.

Con el método posinstalación, puede realizar estas acciones:

  • Modificar o configurar los parámetros de conexión de la bóveda de claves externa.
  • (Si no se ha configurado durante la instalación inicial) Modifique o configure la credencial de la cuenta de servicio (contraseña maestra de Active Directory).
  • (Si no se ha configurado durante la instalación inicial) Modificar o configurar el identificador de credenciales de la base de datos (de arranque) (recuperado cuando se autenticó la base de datos).
    Nota: La recuperación de las credenciales de arranque de una bóveda externa de claves podría hacer que la Control Room falle si no se puede acceder a la bóveda externa de claves durante el arranque o cuando la Control Room actualiza las conexiones de la base de datos y autentica a los usuarios con Active Directory.
  • Recuperar la Control Room por los siguientes motivos:
    • Al modificar los parámetros de conexión de la bóveda de claves externa, la cuenta de servicio y los identificadores de objetos y credenciales de la base de datos.
    • Si los cambios en los parámetros de conexión de CyberArk Password Vault hacen que la Control Room experimente problemas de conectividad.
    • Cuando los identificadores de credenciales para las contraseñas de arranque cambian.

      Puede abordar cualquier ajuste de configuración inicial que no se haya establecido correctamente y recuperar el sistema.

Puede configurar y editar los identificadores de credenciales SMTP y AD para recuperar la información de la bóveda externa de claves desde la Control Room de Automation 360. Para ello, vaya a Administración > Configuración > Active Directory.

Procedimiento

  1. Ejecute la utilidad de bóveda de claves para CyberArk Password Vault
    Nota: Debe importar el certificado del servidor CyberArk (el certificado emitido para el servidor CyberArk) al almacén de confianza de Java antes de invocar los comandos de la utilidad dB. El certificado puede estar en formato .cer (PEM) y no contiene una clave privada.

    Para ejecutar la utilidad de bóveda de claves y actualizar la configuración de la conexión de la bóveda de claves:

    1. Como administrador de Control Room, acceda al directorio de instalación de Automation Anywhere Control Room que se creó durante la instalación inicial de Automation 360.
      Por ejemplo: C:\Program Files\Automation Anywhere\Enterprise
    2. Descargue la versión más reciente de la utilidad de bóveda de claves. A fin de descargar el archivo jar utilizado para actualizar el directorio, abra un navegador y acceda al sitio de A-People: A-People Downloads page (Login required).
      Nota: Si la autenticación de la base de datos está configurada para usar una bóveda externa de claves, la utilidad devuelve la siguiente excepción: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      La utilidad solicita al usuario que confirme la acción: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Ingrese Y para continuar.
    4. Ingrese los siguientes datos:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Agregue estos argumentos jvm al comando para ejecutar la utilidad de bóveda de claves:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Puede actualizar cualquiera de estas acciones de configuración:

      • Ingrese UPDATE_KEY_VAULT_CONFIGURATION para editar la configuración de la bóveda de claves de CyberArk.
      • Ingrese UPDATE_DB_AUTHENTICATION_CONFIGURATION para cambiar a la autenticación de la base de datos mediante la bóveda externa de claves.
  2. Según la acción de configuración que haya utilizado, elija la acción adecuada:
    • Actualizar la configuración de la bóveda de claves para CyberArk: Si ha ingresado UPDATE_KEY_VAULT_CONFIGURATION como acción de configuración, haga lo siguiente:
      1. Después de que la utilidad cargue la configuración y las propiedades actuales de la bóveda de claves, aparecerá este mensaje: Enter key vault [AWS/CYBERARK/AZURE/NONE] :, ingrese CYBERARK
      2. En la indicación del sistema Please enter Vault URL:, ingrese (por ejemplo): https://services.uscentral.skytap.com:19516
      3. En la indicación del sistema Please enter Application ID:, ingrese (por ejemplo): AAEControlRoom
      4. En la indicación del sistema Please enter Certificate path:, ingrese (por ejemplo): C:\Users\Admin\Downloads\client_combined_cert_key_Adminat1234.p12
        Nota: El certificado de cliente emitido a la Control Room para autenticarse en CyberArk debe estar en formato .p12 (pkcs#12) con la clave privada.
      5. En la indicación del sistema Passphrase will not be displayed on the console Passphrase:, ingrese su frase de acceso.
      La utilidad de bóveda de claves se ejecuta. Si la configuración fue exitosa (la utilidad pudo conectarse a la bóveda externa de claves con los parámetros configurados), aparecen los siguientes mensajes en la consola:
      Connection configurations valid
        Key Vault configurations successfully updated
    • Actualizar la autenticación de la base de datos para CyberArk: Si ha ingresado UPDATE_DB_AUTHENTICATION_CONFIGURATION como acción de configuración, haga lo siguiente:
      1. Después de que la utilidad cargue la información de configuración de la base de datos actual, aparecerá este mensaje:
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Escribir KEY_VAULT

      2. En la indicación del sistema Please enter Safe name:, ingrese (por ejemplo): aa_vb_safe
      3. En la indicación del sistema Please enter Object name:, ingrese (por ejemplo): Database-MSSql-administrator-admin

      La utilidad de bóveda de claves se ejecuta. Si la configuración de la base de datos fue exitosa (la utilidad pudo conectarse a CyberArk, recuperar la credencial designada y, luego, usar la credencial para conectarse a la base de datos), los siguientes mensajes aparecerán en la consola:

      Database Credentials are valid
      Database authentication configurations successfully updated