Post-installation Sur site à l'aide de CyberArk Password Vault

Vous utilisez l'utilitaire interactif de coffre à clé en ligne de commande au cours d'un temps d'arrêt planifié du système et vous devez arrêter tous les services Control Room en cours d'exécution. Vous devez coordonner avec l'équipe d'administrateurs CyberArk tout changement de configuration du coffre à clé qui pourrait avoir un impact sur les paramètres de connectivité (tels que l'ID d'app, l'URL du coffre, les numéros de port et le certificat) pendant les temps d'arrêt.

Prérequis

Remarque : Si vous utilisez l'utilitaire de coffre à clé pour désactiver l'intégration de CyberArk Password Vault, vous devez d'abord démapper toutes les informations d'identification mappées qui sont utilisées.

En utilisant la méthode de post-installation, vous pouvez effectuer ces actions :

  • Modifier ou configurer les paramètres de connexion du coffre à clé externe.
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification du compte de service (mot de passe de l'administrateur Active Directory).
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification de la base de données (amorçage) (récupérées lors de l'authentification de la base de données).
    Remarque : La récupération des informations d'identification d'amorçage à partir d'un coffre à clé externe peut entraîner l'échec de Control Room si le coffre à clé externe n'est pas accessible pendant le démarrage, ou si le coffre à clé externe n'est pas accessible lorsque Control Room rafraîchit les connexions à la base de données et authentifie les utilisateurs avec Active Directory.
  • Récupérez la Control Room pour les raisons suivantes :
    • En modifiant les paramètres de connexion du coffre à clé externe, le compte de service et les identifiants d'objet et de sécurité des informations d'identification de la base de données.
    • Si les modifications des paramètres de connexion de CyberArk Password Vault ont provoqué des problèmes de connectivité dans Control Room.
    • Lorsque les identifiants des informations d'identification des mots de passe d'amorçage changent.

      Vous pouvez corriger les paramètres de configuration initiale qui n'ont pas été définis correctement et récupérer le système.

    Remarque : Assurez-vous d'ajouter des en-têtes HTTPS sans espaces, sinon vous ne pourrez pas intégrer CyberArk à l'aide de CRUtil.

    Exemple :

    • Correct : HTTP-Strict-Transport-Security
    • Incorrect : HTTP Strict Transport Security

Vous pouvez configurer et modifier les identifiants d'informations d'identification SMTP et AD pour récupérer les informations du coffre à clé externe à partir de la Control Room Automation 360 en accédant à Administration > Paramètres > Active Directory.

Procédure

  1. Exécution de l'utilitaire de coffre à clé pour CyberArk Password Vault
    Remarque : Vous devez importer le certificat du serveur CyberArk (le certificat émis pour le serveur CyberArk) dans le truststore Java avant d'invoquer les commandes de l'utilitaire dB. Le certificat peut être au format .cer (PEM) et ne contient pas de clé privée.

    Pour exécuter l'utilitaire de coffre à clé et mettre à jour les paramètres de connexion du coffre à clé :

    1. En tant qu'administrateur Control Room, accédez au répertoire d'installation Automation Anywhere Control Room qui a été créé lors de l'installation initiale de Automation 360.
      Exemple : C:\Program Files\Automation Anywhere\Automation360
    2. Téléchargez la dernière version de l'utilitaire de coffre à clé. Pour télécharger le fichier jar utilisé pour mettre à jour le répertoire, procédez comme suit :
      1. Ouvrez un navigateur et accédez au site A-People : A-People Downloads page (Login required).
      2. Cliquez sur le lien vers la dernière version de Sur site.
      3. Cliquez sur le dossier Installation Setup.
      4. Téléchargez le fichier crutils.jar.
      Remarque : Si l'authentification de la base de données est configurée pour utiliser un coffre à clé externe, l'utilitaire renvoie une exception comme suit : Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      L'utilitaire demande à l'utilisateur de confirmer l'action : Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Saisissez Y pour continuer.
    4. Renseignez les champs suivants :
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Ajoutez ces arguments jvm à la commande pour exécuter l'utilitaire de coffre à clé :
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Vous pouvez mettre à jour l'une ou l'autre de ces actions de configuration :

      • Saisissez UPDATE_KEY_VAULT_CONFIGURATION pour modifier la configuration du coffre à clé CyberArk.
      • Saisissez UPDATE_DB_AUTHENTICATION_CONFIGURATION pour passer à l'authentification de base de données à l'aide d'un coffre à clé externe.
  2. En fonction de l'action de configuration que vous avez utilisée, choisissez l'action appropriée :
    • Mise à jour de la configuration du coffre à clé pour CyberArk : Si vous avez saisi UPDATE_KEY_VAULT_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les propriétés et la configuration actuelles du coffre à clé, cette invite s'affiche : Enter key vault [AWS/CYBERARK/AZURE/NONE] :, saisissez CYBERARK
      2. À l'invite Please enter Vault URL:, saisissez (par exemple) : https://services.uscentral.skytap.com:19516
      3. À l'invite Please enter Application ID:, saisissez (par exemple) : AAEControlRoom
      4. À l'invite Please enter Certificate path:, saisissez (par exemple) : C:\Users\Admin\Downloads\client_combined_cert_key_Adminat1234.p12
        Remarque : Le certificat client fourni à la Control Room pour l'authentification auprès de CyberArk doit être au format .p12 (pkcs#12) avec la clé privée.
      5. À l'invite Passphrase will not be displayed on the console Passphrase:, entrez votre phrase secrète.
      L'utilitaire de coffre à clé s'exécute. Si la configuration a réussi (l'utilitaire a pu se connecter au coffre à clé externe en utilisant les paramètres configurés), ces messages s'affichent sur la console :
      Connection configurations valid
        Key Vault configurations successfully updated
    • Mise à jour de l'authentification de la base de données pour CyberArk : Si vous avez saisi UPDATE_DB_AUTHENTICATION_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les informations de configuration de la base de données actuelle, cette invite s'affiche :
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Saisissez KEY_VAULT

      2. À l'invite Please enter Safe name:, saisissez (par exemple) : aa_vb_safe
      3. À l'invite Please enter Object name:, saisissez (par exemple) : Database-MSSql-administrator-admin

      L'utilitaire de coffre à clé s'exécute. Si la configuration de la base de données a réussi (l'utilitaire a pu se connecter à CyberArk, récupérer les informations d'identification désignées, puis les utiliser pour se connecter à la base de données), ces messages s'affichent sur la console :

      Database Credentials are valid
      Database authentication configurations successfully updated