HashiCorp Vault を使用するオンプレミスのポストインストール

実行中のすべての Control Room サービスを停止する必要があるスケジュールされたシステムのダウンタイム中に、コマンドライン インタラクティブ キー Vault ユーティリティを使用できます。ダウンタイム中に接続パラメーター (App Id、Vault の URL、ポート番号、証明書など) に影響を与える可能性のあるキー Vault の構成の変更について、HashiCorp 管理チームと調整する必要があります。

前提条件

注: キー Vault ユーティリティを使用して HashiCorp Vault の統合を無効にする場合、使用中のマッピングされた資格情報をすべてマッピング解除する必要があります。

ポストインストール方法を使用すると、次のアクションを実行することができます。

  • 外部キー Vault の接続パラメーターを修正または設定します。
  • (初期インストール時に構成されていない場合) サービス アカウントの資格情報 (Active Directory 管理者パスワード) を修正または設定します。
  • (初期インストール時に構成されていない場合) データベース (ブートストラップ) 資格情報識別子 (データベース認証時に取得) を修正または構成します。
    注: 外部キー Vault からブートストラップ資格情報を取得すると、起動時に外部キー Vault にアクセスできない場合、または Control Room がデータベース接続を更新し、Active Directory でユーザーを認証する際に、外部キー Vault がアクセスできない場合、Control Room にエラーが発生する場合があります。
  • 次のような理由により、Control Room を復元します。
    • 外部キー Vault の接続パラメーター、サービス アカウント、データベース資格情報 Safe とオブジェクト識別子が修正された場合。
    • HashiCorp Vault の接続パラメーターを変更したことにより Control Room に接続の問題が発生した場合。
    • ブーストラップ パスワードの資格情報識別子が変更された場合。

      正しく設定されていない初期構成を更新し、システムを復元できます。

    注:

    [管理] > [設定] > [E メール] および [管理] > [設定] > [Active Directory] の順に移動して、Automation 360 Control Room から外部キー Vault の情報を取得するための SMTP および AD 資格情報識別子を構成して編集できます。

手順

  1. HashiCorp Vault のキー Vault ユーティリティを実行します。
    注: dB ユーティリティ コマンドを起動する前に、HashiCorp サーバー証明書 (HashiCorp サーバーに発行された証明書) を Java トラストストアにインポートする必要があります。証明書は .cer (PEM) 形式であり、プライベート キーを含んでいません。

    キー Vault ユーティリティを実行し、キー Vault 接続設定を更新します。

    1. Control Room 管理者として、Automation 360 の初期インストール時に作成された Automation Anywhere Control Room インストール ディレクトリにアクセスします。
      次に例を示します。C:\Program Files\Automation Anywhere\Enterprise
    2. キー Vault ユーティリティの最新バージョンをダウンロードします。ディレクトリの更新に使用する jar ファイルをダウンロードするには、次の手順に従います。
      1. ブラウザを開き、A-People サイトにアクセスします。A-People Downloads page (Login required)
      2. 最新の オンプレミス ビルドのリンクをクリックします。
      3. Installation Setup フォルダーをクリックします。
      4. crutils.jar ファイルをダウンロードします。
      注: DB 認証が外部キー Vault を使用するように設定されている場合、ユーティリティは次のような例外を返します: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      ユーティリティは、ユーザーに次のアクションの確認を求めます: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Y」を入力して、続行します。
    4. 以下を入力します。
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. これらの jvm 引数をコマンドに追加して、キー Vault ユーティリティを実行します。
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      これらのいずれかの構成アクションを更新することができます。

      • UPDATE_KEY_VAULT_CONFIGURATION」と入力して、HashiCorp キー Vault の構成を編集します。
      • UPDATE_DB_AUTHENTICATION_CONFIGURATION」と入力して、外部キー Vault を使用したデータベース認証に変更します。
  2. 使用した構成アクションに基づいて、適切なアクションを選択します。
    • HashiCorp のキー Vault 構成を更新する: UPDATE_KEY_VAULT_CONFIGURATION を設定アクションとして入力した場合:
      1. ユーティリティが現在のキー Vault 構成とプロパティをロードした後、次のプロンプトが表示されます: Enter key vault [AWS/CYBERARK/AZURE/HASHICORP/NONE] :HASHICORP を入力します。
      2. Please enter Vault URL: のプロンプトで、次のように入力します。(例): https://services.uscentral.skytap.com:19516
      3. Please enter Role Name: のプロンプトで、次のように入力します。(例): jenkins
      4. Please enter Role ID: のプロンプトで、次のように入力します。(例): 675a50e7-cfe0-be76-e35f-49ec009731ea
      5. Please enter Secret ID: のプロンプトで、次のように入力します。(例): ed0a642f-2acf-c2da-232f-1b21300d5f29
      6. Please enter Namespace: のプロンプトで、次のように入力します。(例): tenant1
      キー Vault ユーティリティが実行されます。構成が成功した場合 (ユーティリティが構成されたパラメーターを使用して外部キー Vault に接続できた場合)、次のメッセージがコンソールに表示されます。
      Connection configurations valid
        Key Vault configurations successfully updated
    • HashiCorp のデータベース認証を更新する: UPDATE_DB_AUTHENTICATION_CONFIGURATION を設定アクションとして入力した場合:
      1. ユーティリティが現在のデータベース構成情報をロードした後、このプロンプトが表示されます。
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        KEY_VAULT を入力します。

      2. Please enter Secret name: のプロンプトで、次のように入力します。(例): aadbuser

      キー Vault ユーティリティが実行されます。データベースの構成が正常に完了した場合 (ユーティリティが HashiCorp に接続し、指定された資格情報を取得し、その資格情報を使用してデータベースに接続した場合)、次のメッセージがコンソールに表示されます。

      Database Credentials are valid
      Database authentication configurations successfully updated