Post-installation Sur site à l'aide d'Azure Key Vault

Vous utilisez l'utilitaire interactif de coffre à clé en ligne de commande au cours d'un temps d'arrêt planifié du système et vous devez arrêter tous les services Control Room en cours d'exécution. Vous devez coordonner tout changement de configuration du coffre à clé qui pourrait avoir un impact sur les paramètres de connectivité (tels que AZURE_CLIENT_ID, AZURE_CLIENT_SECRET et AZURE_TENANT_ID) pendant les temps d'arrêt avec l'équipe d'administrateurs d'Azure.

Prérequis

Remarque : Si vous utilisez l'utilitaire de coffre à clé pour désactiver l'intégration d'Azure Key Vault, vous devez d'abord démapper toutes les informations d'identification mappées qui sont utilisées.

En utilisant la méthode de post-installation, vous pouvez effectuer ces actions :

  • Modifier ou configurer les paramètres de connexion du coffre à clé externe.
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification du compte de service (mot de passe de l'administrateur Active Directory).
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification de la base de données (amorçage) (récupérées lors de l'authentification de la base de données).
    Remarque : La récupération des informations d'identification d'amorçage à partir d'un coffre à clé externe peut entraîner l'échec de Control Room si le coffre à clé externe n'est pas accessible pendant le démarrage, ou si le coffre à clé externe n'est pas accessible lorsque Control Room rafraîchit les connexions à la base de données et authentifie les utilisateurs avec Active Directory.
  • Récupérez la Control Room pour les raisons suivantes :
    • En modifiant les paramètres de connexion du coffre à clé externe, le compte de service et les identifiants d'objet et de sécurité des informations d'identification de la base de données.
    • Si les modifications des paramètres de connexion d'Azure Key Vault ont provoqué des problèmes de connectivité dans la Control Room.
    • Lorsque les identifiants des informations d'identification des mots de passe d'amorçage changent.

      Vous pouvez corriger les paramètres de configuration initiale qui n'ont pas été définis correctement et récupérer le système.

Vous pouvez configurer et modifier les identifiants d'informations d'identification SMTP et AD pour récupérer les informations du coffre à clé externe à partir de la Control Room Automation 360 en accédant à Administration > Paramètres > Active Directory.

Procédure

  1. Exécution de l'utilitaire de coffre à clé pour Azure Key Vault : Pour exécuter l'utilitaire de coffre à clé et mettre à jour les paramètres de connexion du coffre à clé :
    1. En tant qu'administrateur Control Room, accédez au répertoire d'installation Automation Anywhere Control Room qui a été créé lors de l'installation initiale de Automation 360.
      Par exemple : C:\Program Files\Automation Anywhere\Automation360
    2. Téléchargez la dernière version de l'utilitaire de coffre à clé. Pour télécharger le fichier jar utilisé pour mettre à jour le répertoire, procédez comme suit :
      1. Ouvrez un navigateur et accédez au site A-People : A-People Downloads page (Login required).
      2. Cliquez sur le lien vers la dernière version de Sur site.
      3. Cliquez sur le dossier Installation Setup.
      4. Téléchargez le fichier crutils.jar.
      Remarque : Si l'authentification de la base de données est configurée pour utiliser un coffre à clé externe, l'utilitaire renvoie une exception comme suit : Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      L'utilitaire demande à l'utilisateur de confirmer l'action : Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Saisissez Y pour continuer.
    4. Renseignez les champs suivants :
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
      Remarque : Après avoir ouvert l'URL https://user-db-vault.vault.azure.net/ dans le navigateur Web, vous pouvez exporter ce certificat. Le certificat doit être au format .pem ou .cer.
    5. Ajoutez ces arguments jvm à la commande pour exécuter l'utilitaire de coffre à clé :
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Vous pouvez mettre à jour l'une ou l'autre de ces actions de configuration :

      • Saisissez UPDATE_KEY_VAULT_CONFIGURATION pour modifier la configuration d'Azure Key Vault.
      • Saisissez UPDATE_DB_AUTHENTICATION_CONFIGURATION pour passer à l'authentification de base de données à l'aide d'un coffre à clé externe.
      Remarque : Si vous souhaitez que les informations d'identification de la base de données soient mises à jour à partir du coffre à clé, saisissez d'abord UPDATE_KEY_VAULT_CONFIGURATION, puis saisissez UPDATE_DB_AUTHENTICATION_CONFIGURATION.
  2. En fonction de l'action de configuration que vous avez utilisée, choisissez l'action appropriée :
    • Mise à jour de la configuration du coffre à clé pour Azure : Si vous avez saisi UPDATE_KEY_VAULT_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les propriétés et la configuration actuelles du coffre à clé, cette invite s'affiche : Enter key vault [AWS/CYBERARK/AZURE/NONE] :, saisissez AZURE
      2. À l'invite Please enter Vault URL:, saisissez (par exemple) : https://user-db-vault.vault.azure.net/
      L'utilitaire de coffre à clé s'exécute. Si la configuration a réussi (l'utilitaire a pu se connecter au coffre à clé externe en utilisant les paramètres configurés), ces messages s'affichent sur la console :
      Connection configurations valid
  Key Vault configurations successfully updated
    • Mise à jour de l'authentification de la base de données pour Azure : Si vous avez saisi UPDATE_DB_AUTHENTICATION_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les informations de configuration de la base de données actuelle, cette invite s'affiche :
        Database authentication configurations loaded
Currently configured database authentication [SQL]

Change database authentication. Available options:
WINDOWS: Connect to database using windows authentication
SQL: Connect to database using SQL server authentication, manually enter username and password
KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 

Enter database authentication [WINDOWS/SQL/KEY_VAULT]:

        Saisissez KEY_VAULT

      2. À l'invite Please enter Secret name:, saisissez (par exemple) : testDB

      L'utilitaire de coffre à clé s'exécute. Si la configuration de la base de données a réussi (l'utilitaire a pu se connecter à Azure, récupérer les informations d'identification désignées, puis les utiliser pour se connecter à la base de données), ces messages s'affichent sur la console :

      Database Credentials are valid
Database authentication configurations successfully updated

      Exécutez l'utilitaire coffre à clé sur les trois nœuds d'une configuration du cluster.