Sur site après installation en utilisant le HashiCorp Vault

Vous utilisez l'utilitaire interactif de coffre à clé en ligne de commande au cours d'un temps d'arrêt planifié du système pendant lequel vous devez arrêter tous les services Control Room en cours d'exécution. Vous devez coordonner avec l'équipe d'administrateurs HashiCorp tout changement de configuration du coffre à clé qui pourrait avoir un impact sur les paramètres de connectivité (tels que l'ID d'app, l'URL du coffre, les numéros de port et le certificat) pendant les temps d'arrêt.

Prérequis

Remarque : Si vous utilisez l'utilitaire de coffre à clé pour désactiver l'intégration du HashiCorp Vault, vous devez d'abord démapper toutes les informations d'identification mappées qui sont utilisées.

En utilisant la méthode de post-installation, vous pouvez effectuer ces actions :

  • Modifier ou configurer les paramètres de connexion du coffre à clé externe.
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification du compte de service (mot de passe de l'administrateur Active Directory).
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification de la base de données (amorçage) (récupérées lors de l'authentification de la base de données).
    Remarque : La récupération des informations d'identification d'amorçage à partir d'un coffre à clé externe peut entraîner l'échec de Control Room si le coffre à clé externe n'est pas accessible pendant le démarrage ; ou si le coffre à clé externe n'est pas accessible lorsque Control Room rafraîchit les connexions à la base de données et authentifie les utilisateurs avec Active Directory.
  • Récupérez la Control Room pour les raisons suivantes :
    • Si les paramètres de connexion du coffre à clé externe, le compte de service et les identifiants d'objet et de sécurité des informations d'identification de la base de données ont été modifiés.
    • Si les modifications des paramètres de connexion du HashiCorp Vault ont provoqué des problèmes de connectivité dans la Control Room.
    • Lorsque les identifiants des information d'identification des mots de passe d'amorçage changent.

      Vous pouvez mettre à jour les paramètres de configuration initiale qui n'ont pas été définis correctement et récupérer le système.

    Remarque :

    Vous pouvez configurer et modifier les identifiants d'informations d'identification SMTP et AD pour récupérer les informations du coffre à clé externe à partir de Automation 360 Control Room en accédant à Administration > Paramètres > E-mail et Administration > Paramètres > Active Directory.

Procédure

  1. Exécutez l'utilitaire de coffre à clé pour le HashiCorp Vault.
    Remarque : Vous devez importer le certificat du serveur HashiCorp (le certificat émis pour le serveur HashiCorp) dans le truststore Java avant d'invoquer les commandes de l'utilitaire dB. Le certificat peut être au format .cer (PEM) et ne contient pas de clé privée.

    Pour exécuter l'utilitaire de coffre à clé et mettre à jour les paramètres de connexion du coffre à clé :

    1. En tant qu'administrateur Control Room, accédez au répertoire d'installation Automation Anywhere Control Room qui a été créé lors de l'installation initiale de Automation 360.
      Par exemple : C:\Program Files\Automation Anywhere\Enterprise
    2. Téléchargez la dernière version de l'utilitaire de coffre à clé. Pour télécharger le fichier jar utilisé pour mettre à jour le répertoire, procédez comme suit :
      1. Ouvrez un navigateur et accédez au site A-People : A-People Downloads page (Login required).
      2. Cliquez sur le lien vers la dernière version de Sur site.
      3. Cliquez sur le dossier Installation Setup.
      4. Téléchargez le fichier crutils.jar.
      Remarque : Si l'authentification de la base de données est configurée pour utiliser un coffre à clé externe, l'utilitaire renvoie une exception comme suit : Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      L'utilitaire demande à l'utilisateur de confirmer l'action : Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Saisissez Y pour continuer.
    4. Renseignez les champs suivants :
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Ajoutez ces arguments jvm à la commande pour exécuter l'utilitaire de coffre à clé :
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Vous pouvez mettre à jour l'une ou l'autre de ces actions de configuration :

      • Saisissez UPDATE_KEY_VAULT_CONFIGURATION pour modifier la configuration du coffre à clé HashiCorp.
      • Saisissez UPDATE_DB_AUTHENTICATION_CONFIGURATION pour passer à l'authentification de base de données à l'aide d'un coffre à clé externe.
  2. En fonction de l'action de configuration que vous avez utilisée, sélectionnez l'action appropriée :
    • Mise à jour de la configuration du coffre à clé pour HashiCorp : Si vous avez saisi UPDATE_KEY_VAULT_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les propriétés et la configuration actuelles du coffre à clé, cette invite s'affiche : Enter key vault [AWS/CYBERARK/AZURE/HASHICORP/NONE] :. Saisissez HASHICORP
      2. À l'invite Please enter Vault URL:, saisissez (par exemple) : https://services.uscentral.skytap.com:19516
      3. À l'invite Please enter Role Name:, saisissez (par exemple) : jenkins
      4. À l'invite Please enter Role ID:, saisissez (par exemple) : 675a50e7-cfe0-be76-e35f-49ec009731ea
      5. À l'invite Please enter Secret ID:, saisissez (par exemple) : ed0a642f-2acf-c2da-232f-1b21300d5f29
      6. À l'invite Please enter Namespace:, saisissez (par exemple) : tenant1
      L'utilitaire de coffre à clé s'exécute. Si la configuration a réussi (l'utilitaire a pu se connecter au coffre à clé externe en utilisant les paramètres configurés), ces messages s'affichent sur la console :
      Connection configurations valid
  Key Vault configurations successfully updated
    • Mise à jour de l'authentification de la base de données pour HashiCorp : Si vous avez saisi UPDATE_DB_AUTHENTICATION_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les informations de configuration de la base de données actuelle, cette invite s'affiche :
        Database authentication configurations loaded
Currently configured database authentication [SQL]

Change database authentication. Available options:
WINDOWS: Connect to database using windows authentication
SQL: Connect to database using SQL server authentication, manually enter username and password
KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 

Enter database authentication [WINDOWS/SQL/KEY_VAULT]:

        Saisissez KEY_VAULT

      2. À l'invite Please enter Secret name:, saisissez (par exemple) : aadbuser

      L'utilitaire de coffre à clé s'exécute. Si la configuration de la base de données a réussi (l'utilitaire a pu se connecter à HashiCorp, récupérer les informations d'identification désignées, puis les utiliser pour se connecter à la base de données), ces messages s'affichent sur la console :

      Database Credentials are valid
Database authentication configurations successfully updated