CyberArk Password Vault を使用したオンプレミスの初期インストール

初期インストール方法を使用すると、外部キー Vault コネクターに接続し、サービス アカウント資格情報 (Active Directory 管理者パスワード)、およびブートストラップ (データベース) 資格情報識別子を設定することができます。

前提条件

CyberArk パスワード Vault を統合する前に、キー Vault の命名規則の要件を確認してください。「外部キー Vault の命名規則」を参照してください。
注: データベースとして、Microsoft SQL Server 認証を選択する必要があります。この使用事例では、他のデータベース認証方法はサポートされていません。

初期インストールでは、Control Room ブートストラップ資格情報に関するパスワードレス インストールをサポートします。パスワードレス インストールでは、CyberArk 内の Safe ネームと Object 名でブートストラップ資格情報を識別します。

Automation 360 ユーザー インターフェースを使用して、SMTP および AD 資格情報識別子を外部キー Vault から取得するよう構成できます。

手順

  1. Automation 360 インストール ウィザードを起動したら、[デプロイ オプション] として [オンプレミス] を選択して、[次へ] をクリックします。
  2. 使用許諾契約に同意して [次へ] をクリックします。
  3. [インストールの種類の選択] として [カスタム] を選択して、[次へ] をクリックします。
  4. 保存先フォルダーのデフォルトの場所に同意し、[次へ] をクリックします。
  5. 外部キー Vault 統合に接続し構成するには、[CyberArk] を選択します。
    1. [Vault の URL] フィールドに、CyberArk AIM サーバーの CCP API URL を入力します (例: https://<hostname:port_num>/)。
    2. [アプリケーション ID] フィールドに、CCP API AppID を入力します (例: AAEControlRoom)。
    3. Control Room サーバーに発行された CyberArk AIM サーバー証明書 (.p12 を使用した .pem 形式) のパスを入力します (証明書の [件名:] フィールドには Control Room の完全修飾ドメイン名 (FQDN) が含まれています)。
      この証明書は、CyberArk から信頼され、CyberArk 内で構成されている必要があります。
    4. [仮想ディレクトリ] フィールドで、キー Vault の仮想ディレクトリのパスを指定します。パスはデフォルトで /AIMWebService/api/Accounts/ に設定されます。キー Vault の仮想ディレクトリが異なる場合は、このパスを変更できます。
    5. [証明書をアップロード] をクリックして、Automation 360 Control Room サーバーに保存します。
    6. Control Room 証明書ファイルへのアクセスに使用される証明書ファイルのパスフレーズを入力します。
    7. オプション: 認証局 (CA) 発行の CyberArk サーバー証明書がControl Room により信頼されない場合、オプションのサーバー証明書を入力します。
      これはプライベート キーのない CyberArk サーバーのサーバー証明書です (証明書の [件名:] フィールドには CyberArk AIM サーバーの FQDN が含まれています)。インストーラーは、オプションの CyberArk サーバー証明書を Control Room で使用されるトラストストアに追加します。
    8. [次へ] をクリックします。
  6. [TLS 構成] ダイアログ ボックスでデフォルトの設定を受け入れて、[次へ] をクリックします。
  7. [サービス認証情報] ダイアログ ボックスで、オプションを選択して CyberArk から [Safe 名] と [オブジェクト名] を指定します (Control Room で使用されるサービス アカウントのユーザー名とパスワードを手動で入力する必要はありません)。
  8. [サービス アカウント (外部キー Vault からの資格情報の取得)] をクリックし、[Safe 名] と [オブジェクト名] の値を入力します。任意で、CyberArk ユーザー名に設定されているプロパティを入力できます。たとえば、ユーザー名を形式 domain\username で構成するには、次のように入力します。 $domain$\$username$ (ここで、domain および username の値は CyberArk のシークレット レスポンスから取得されます)。
    インストーラーは、指定された Safe にオブジェクトが存在することを検証するために、CyberArk に資格情報を問い合わせます。
    注: Safe 名オブジェクト名を指定する [サービス アカウント] オプションが利用できない場合、これは、CyberArk Password Vault が外部キー Vault として事前に正しく構成され、接続されていないことを示しています。AAI サポート チームに問い合わせるか、確認してください。

    次のページも参照してください: 外部キー Vault のトラブルシューティング

  9. [次へ] をクリックします。
  10. [データベースサーバー] ダイアログ ボックスから [データベース サーバー] を選択し、Control Room データベースの名前を入力し、[次へ] をクリックします。
  11. [データベース認証] ダイアログ ボックスで、オプションを選択して CyberArk から [Safe 名] と [オブジェクト名] を指定します (Control Room がデータベースの認証に使用するユーザー名とパスワードを手動で入力する必要はありません)。
    1. [SQL Server 認証 (外部キー Vault からの資格情報の取得)] をクリックし、[Safe 名] と [オブジェクト名] の値を入力します。
      注: サービス アカウントの afe 名に入力したものと同じ Safe 名を入力します。
    2. [次へ] をクリックして続行し、初期インストールを完了します。

初期インストールが正常に完了すると、Automation 360 Control Room は CyberArk Password Vault 内の資格情報にアクセスして、それを取得することができます。

次のステップ