No local pós-instalação usando o CyberArk Password Vault

Você usa o utilitário de cofre interativo de chave de linha de comando durante um tempo programado de inatividade do sistema e deve parar a execução de todos os serviços Control Room. Você deve coordenar com a equipe administrativa da CyberArk quaisquer mudanças na configuração do cofre que possam impactar os parâmetros de conectividade (como ID do aplicativo, URL do cofre, números de porta e certificado) durante os tempos de inatividade.

Pré-requisitos

Nota: Se usar o utilitário do cofre de chaves para desativar a integração do CyberArk Password Vault, você deve primeiro desmapear quaisquer credenciais mapeadas que estejam sendo usadas.

Usando o método pós-instalação, realize estas ações:

  • Modifique ou configure os parâmetros de conexão do cofre de chave externa.
  • (Se não estiver configurado durante a instalação inicial) Modifique ou configure a credencial da conta de serviço (senha do administrador do Active Directory).
  • (Se não estiver configurado durante a instalação inicial) Modifique ou configure o identificador de credenciais do banco de dados (bootstrap) (recuperado ao autenticar o banco de dados).
    Nota: A recuperação das credenciais do bootstrap de um cofre de chaves externo pode causar a falha do Control Room se o cofre de chaves externo não for acessível durante a inicialização ou se o cofre de chaves externo não estiver acessível quando o Control Room atualiza as conexões de banco de dados e autentica os usuários com Active Directory.
  • Recupere o Control Room por estas razões:
    • Ao modificar os parâmetros de conexão de chaves externas, a conta de serviço, os identificadores de credenciais e objetos do banco de dados.
    • Se os parâmetros de conexão do CyberArk Password Vault mudarem, os Control Room irão experimentar problemas de conectividade.
    • Quando os identificadores de credenciais para senhas de bootstrap mudam.

      Você pode tratar de qualquer configuração inicial que não tenha sido definida corretamente e recuperar o sistema.

Você pode configurar e editar identificadores de credenciais SMTP e AD para recuperar informações do cofre de chaves externo do Automation 360 Control Room acessando Administração > Configurações > Active Directory.

Procedimento

  1. Execute o utilitário do cofre de chaves do CyberArk Password Vault
    Nota: Você deve importar o certificado do servidor CyberArk (o certificado emitido para o servidor CyberArk) para o Java truststore antes de invocar os comandos do utilitário dB. O certificado pode ser em formato .cer (PEM) e NÃO contém uma chave privada.

    Para executar o utilitário do cofre de chaves e atualizar as configurações de conexão do cofre de chaves:

    1. Como administrador Control Room, acesse o diretório de instalação Automation Anywhere Control Room que foi criado durante a instalação inicial Automation 360.
      Por exemplo: C:\Program Files\Automation Anywhere\Enterprise
    2. Baixe a última versão do utilitário do cofre de chaves. Para baixar o arquivo jar que será usado para atualizar o diretório, abra um navegador e acesse o site A-People: Página de downloads do A-People (é necessário fazer login).
      Nota: Se a autenticação DB for configurada para usar o cofre de chaves externo, o utilitário retorna a seguinte exceção: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      O utilitário solicita que o usuário confirme a ação: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Digite Y para continuar.
    4. Insira o seguinte:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Acrescente estes argumentos jvm para o comando para executar o utilitário do cofre de chaves:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Você pode atualizar qualquer uma destas ações de configuração:

      • Digite UPDATE_KEY_VAULT_CONFIGURATION para editar a configuração do cofre de chaves CyberArk.
      • Digite UPDATE_DB_AUTHENTICATION_CONFIGURATION para mudar a autenticação do banco de dados usando cofre de chaves externo.
  2. Com base na ação de configuração usada, escolha a ação apropriada:
    • Atualizar a configuração do cofre de chaves para o CyberArk: Se você digitou UPDATE_KEY_VAULT_CONFIGURATION como a ação de configuração:
      1. Depois que o utilitário carrega a configuração e as propriedades atuais do cofre de chaves, esta solicitação é exibida: Enter key vault [AWS/CYBERARK/AZURE/NONE] :, digiteCYBERARK
      2. No prompt Please enter Vault URL:, digite (por exemplo): https://services.uscentral.skytap.com:19516
      3. No prompt Please enter Application ID:, digite (por exemplo): AAEControlRoom
      4. No prompt Please enter Certificate path:, digite (por exemplo): C:\Users\Admin\Downloads\client_combined_cert_key_Adminat1234.p12
        Nota: O certificado do cliente emitido para o Control Room para autenticação do CyberArk precisa estar no formato .p12 (pkcs#12) com a chave privada.
      5. No prompt Passphrase will not be displayed on the console Passphrase:, digite sua senha.
      O utilitário do cofre de chaves é executado. Se a configuração foi bem sucedida (o utilitário foi capaz de se conectar ao cofre de chaves externo usando os parâmetros configurados), estas mensagens são exibidas no console:
      Connection configurations valid
        Key Vault configurations successfully updated
    • Atualizar autenticação do banco de dados para CyberArk: Se você digitou UPDATE_DB_AUTHENTICATION_CONFIGURATION como a ação de configuração:
      1. Após o utilitário carregar as informações de configuração do banco de dados atual, esta solicitação é exibida:
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Inserir KEY_VAULT

      2. No prompt Please enter Safe name:, digite (por exemplo): aa_vb_safe
      3. No prompt Please enter Object name:, digite (por exemplo): Database-MSSql-administrator-admin

      O utilitário do cofre de chaves é executado. Se a configuração do banco de dados foi bem sucedida (o utilitário foi capaz de se conectar ao CyberArk, recuperar a credencial designada e então usar a credencial para se conectar ao banco de dados), estas mensagens são exibidas no console:

      Database Credentials are valid
      Database authentication configurations successfully updated