Azure Key Vault を使用したオンプレミスのポストインストール

スケジュールされたシステムのダウンタイム中に、コマンドライン インタラクティブ キー Vault ユーティリティを使用できます。また、実行中のすべての Control Room サービスを停止する必要があります。ダウンタイム中に接続パラメーター (AZURE_CLIENT_IDAZURE_CLIENT_SECRET、および AZURE_TENANT_ID など) に影響を与える可能性のあるキー Vault の構成の変更について、Azure 管理チームと調整する必要があります。

前提条件

注: キー Vault ユーティリティを使用して Azure キー Vault の統合を無効にする場合、使用中のマッピングされた資格情報をすべてマッピング解除する必要があります。

ポストインストール方法を使用すると、次のアクションを実行することができます。

  • 外部キー Vault の接続パラメーターを修正または設定します。
  • (初期インストール時に構成されていない場合) サービス アカウントの資格情報 (Active Directory 管理者パスワード) を修正または設定します。
  • (初期インストール時に構成されていない場合) データベース (ブートストラップ) 資格情報識別子 (データベース認証時に取得) を修正または構成します。
    注: 外部キー Vault からブートストラップ資格情報を取得すると、起動時に外部キー Vault にアクセスできない場合、または Control Room がデータベース接続を更新し、Active Directory でユーザーを認証する際に、外部キー Vault がアクセスできない場合、Control Room にエラーが発生する場合があります。
  • 次のような理由により、Control Room を復元します。
    • 外部キー Vault の接続パラメーター、サービス アカウント、データベース資格情報 Safe とオブジェクト識別子を修正するため。
    • Azure Key Vault の接続パラメーターを変更したことにより Control Room に接続の問題が発生した場合。
    • ブーストラップ パスワードの資格情報識別子が変更された場合。

      正しく設定されていない初期構成に対処し、システムを復元できます。

[管理] > [設定] > [Active Directory] の順に移動して、Automation 360 Control Room から外部キー Vault の情報を取得するための SMTP および AD 資格情報識別子を構成して編集できます。

手順

  1. Azure Key Vault のキー Vault ユーティリティを実行する: キー Vault ユーティリティを実行し、キー Vault 接続設定を更新します。
    1. Control Room 管理者として、Automation 360 の初期インストール時に作成された Automation Anywhere Control Room インストール ディレクトリにアクセスします。
      次に例を示します。 C:\Program Files\Automation Anywhere\Automation360
    2. キー Vault ユーティリティの最新バージョンをダウンロードします。ディレクトリの更新に使用する jar ファイルをダウンロードするには、次の手順に従います。
      1. ブラウザを開き、A-People サイトにアクセスします。A-People Downloads page (Login required)
      2. 最新の オンプレミス ビルドのリンクをクリックします。
      3. Installation Setup フォルダーをクリックします。
      4. crutils.jar ファイルをダウンロードします。
      注: DB 認証が外部キー Vault を使用するように設定されている場合、ユーティリティは次のような例外を返します: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      ユーティリティは、ユーザーに次のアクションの確認を求めます: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Y」を入力して、続行します。
    4. 以下を入力します。
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
      注: Web ブラウザから https://user-db-vault.vault.azure.net/ の URLを開いた後で、この証明書をエクスポートできます。証明書は .pem または .cer 形式である必要があります。
    5. これらの jvm 引数をコマンドに追加して、キー Vault ユーティリティを実行します。
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      これらのいずれかの構成アクションを更新することができます。

      • UPDATE_KEY_VAULT_CONFIGURATION」と入力して、Azure Key Vault の設定を編集します。
      • UPDATE_DB_AUTHENTICATION_CONFIGURATION」と入力して、外部キー Vault を使用したデータベース認証に変更します。
      注: データベースの資格情報をキー Vault から更新したい場合は、最初に UPDATE_KEY_VAULT_CONFIGURATION を入力し、次に UPDATE_DB_AUTHENTICATION_CONFIGURATION を入力します。
  2. 使用した構成アクションに基づいて、適切なアクションを選択します。
    • CyberArk のキー Vault 構成を更新する: UPDATE_KEY_VAULT_CONFIGURATION を設定アクションとして入力した場合:
      1. ユーティリティが現在のキー Vault 構成とプロパティをロードした後、次のプロンプトが表示されます: Enter key vault [AWS/CYBERARK/AZURE/NONE] :、「AZURE」を入力します。
      2. Please enter Vault URL: のプロンプトで、次のように入力します。(例): https://user-db-vault.vault.azure.net/
      キー Vault ユーティリティが実行されます。構成が成功した場合 (ユーティリティが構成されたパラメーターを使用して外部キー Vault に接続できた場合)、次のメッセージがコンソールに表示されます。
      Connection configurations valid
        Key Vault configurations successfully updated
    • Azure のデータベース認証を更新する: UPDATE_DB_AUTHENTICATION_CONFIGURATION を設定アクションとして入力した場合:
      1. ユーティリティが現在のデータベース構成情報をロードした後、このプロンプトが表示されます。
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        KEY_VAULT を入力します。

      2. Please enter Secret name: のプロンプトで、次のように入力します。(例): testDB

      キー Vault ユーティリティが実行されます。データベースの設定が成功した場合 (ユーティリティが Azure に接続し、指定された資格情報を取得し、その資格情報を使用してデータベースに接続した場合)、次のメッセージがコンソールに表示されます。

      Database Credentials are valid
      Database authentication configurations successfully updated
      

      クラスター セットアップ内の 3 つのノードすべてでキー Vault ユーティリティを実行します。