CyberArk Password Vault を使用したオンプレミスのポストインストール

スケジュールされたシステムのダウンタイム中に、コマンドライン インタラクティブ キー Vault ユーティリティを使用できます。また、実行中のすべての Control Room サービスを停止する必要があります。ダウンタイム中に接続パラメーター (App Id、Vault の URL、ポート番号、証明書など) に影響を与える可能性のあるキー Vault の構成の変更について、CyberArk 管理チームと調整する必要があります。

前提条件

注: キー Vault ユーティリティを使用して CyberArk Password Vault の統合を無効にする場合、使用中のマッピングされた資格情報をすべてマッピング解除する必要があります。

ポストインストール方法を使用すると、次のアクションを実行することができます。

  • 外部キー Vault の接続パラメーターを修正または設定します。
  • (初期インストール時に構成されていない場合) サービス アカウントの資格情報 (Active Directory 管理者パスワード) を修正または設定します。
  • (初期インストール時に構成されていない場合) データベース (ブートストラップ) 資格情報識別子 (データベース認証時に取得) を修正または構成します。
    注: 外部キー Vault からブートストラップ資格情報を取得すると、起動時に外部キー Vault にアクセスできない場合、または Control Room がデータベース接続を更新し、Active Directory でユーザーを認証する際に、外部キー Vault がアクセスできない場合、Control Room にエラーが発生する場合があります。
  • 次のような理由により、Control Room を復元します。
    • 外部キー Vault の接続パラメーター、サービス アカウント、データベース資格情報 Safe とオブジェクト識別子を修正するため。
    • CyberArk Password Vault の接続パラメーターを変更したことにより Control Room に接続の問題が発生した場合。
    • ブーストラップ パスワードの資格情報識別子が変更された場合。

      正しく設定されていない初期構成に対処し、システムを復元できます。

    注: HTTPS ヘッダーはスペースなしで追加してください。スペースが含まれていると、CRUtil を使用して CyberArk を統合できなくなります。

    :

    • 正しい例: HTTP-Strict-Transport-Security
    • 誤った例: HTTP Strict Transport Security

[管理] > [設定] > [Active Directory] の順に移動して、Automation 360 Control Room から外部キー Vault の情報を取得するための SMTP および AD 資格情報識別子を構成して編集できます。

手順

  1. CyberArk Password Vault のキー Vault ユーティリティを実行する
    注: dB ユーティリティ コマンドを起動する前に、CyberArk サーバー証明書 (CyberArk サーバーに発行された証明書) を Java トラストストアにインポートする必要があります。証明書は .cer (PEM) 形式であり、プライベート キーを含んでいません。

    キー Vault ユーティリティを実行し、キー Vault 接続設定を更新します。

    1. Control Room 管理者として、Automation 360 の初期インストール時に作成された Automation Anywhere Control Room インストール ディレクトリにアクセスします。
      例: C:\Program Files\Automation Anywhere\Automation360
    2. キー Vault ユーティリティの最新バージョンをダウンロードします。ディレクトリの更新に使用する jar ファイルをダウンロードするには、次の手順に従います。
      1. ブラウザを開き、A-People サイトにアクセスします。A-People Downloads page (Login required)
      2. 最新の オンプレミス ビルドのリンクをクリックします。
      3. Installation Setup フォルダーをクリックします。
      4. crutils.jar ファイルをダウンロードします。
      注: DB 認証が外部キー Vault を使用するように設定されている場合、ユーティリティは次のような例外を返します: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      ユーティリティは、ユーザーに次のアクションの確認を求めます: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Y」を入力して、続行します。
    4. 以下を入力します。
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. これらの jvm 引数をコマンドに追加して、キー Vault ユーティリティを実行します。
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Automation360\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Automation360\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      これらのいずれかの構成アクションを更新することができます。

      • UPDATE_KEY_VAULT_CONFIGURATION」と入力して、CyberArk キー Vault の設定を編集します。
      • UPDATE_DB_AUTHENTICATION_CONFIGURATION」と入力して、外部キー Vault を使用したデータベース認証に変更します。
  2. 使用した構成アクションに基づいて、適切なアクションを選択します。
    • CyberArk のキー Vault 構成を更新する: UPDATE_KEY_VAULT_CONFIGURATION を設定アクションとして入力した場合:
      1. ユーティリティが現在のキー Vault 構成とプロパティをロードした後、次のプロンプトが表示されます: Enter key vault [AWS/CYBERARK/AZURE/NONE] :、「CYBERARK」を入力します。
      2. Please enter Vault URL: のプロンプトで、次のように入力します。(例): https://services.uscentral.skytap.com:19516
      3. Please enter Application ID: のプロンプトで、次のように入力します。(例): AAEControlRoom
      4. Please enter Certificate path: のプロンプトで、次のように入力します。(例): C:\Users\Admin\Downloads\client_combined_cert_key_Adminat1234.p12
        注: CyberArk への認証用に Control Room に発行されるクライアント証明書は、プライベート キーを使用した .p12 (pkcs#12) 形式である必要があります。
      5. Passphrase will not be displayed on the console Passphrase: のプロンプトで、パスフレーズを入力します。
      キー Vault ユーティリティが実行されます。構成が成功した場合 (ユーティリティが構成されたパラメーターを使用して外部キー Vault に接続できた場合)、次のメッセージがコンソールに表示されます。
      Connection configurations valid
  Key Vault configurations successfully updated
    • CyberArk のデータベース認証を更新する: UPDATE_DB_AUTHENTICATION_CONFIGURATION を設定アクションとして入力した場合:
      1. ユーティリティが現在のデータベース構成情報をロードした後、このプロンプトが表示されます。
        Database authentication configurations loaded
Currently configured database authentication [SQL]

Change database authentication. Available options:
WINDOWS: Connect to database using windows authentication
SQL: Connect to database using SQL server authentication, manually enter username and password
KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 

Enter database authentication [WINDOWS/SQL/KEY_VAULT]:

        KEY_VAULT を入力します。

      2. Please enter Safe name: のプロンプトで、次のように入力します。(例): aa_vb_safe
      3. Please enter Object name: のプロンプトで、次のように入力します。(例): Database-MSSql-administrator-admin

      キー Vault ユーティリティが実行されます。データベースの設定が成功した場合 (ユーティリティが CyberArk に接続し、指定された資格情報を取得し、その資格情報を使用してデータベースに接続した場合)、次のメッセージがコンソールに表示されます。

      Database Credentials are valid
Database authentication configurations successfully updated