Pós-instalação de No local usando Cofre da HashiCorp

Você usa o utilitário de cofre interativo de chave de linha de comando durante um tempo programado de inatividade do sistema onde deve parar a execução de todos os serviços da Control Room. Você deve coordenar com a equipe administrativa de HashiCorp quaisquer mudanças na configuração do cofre que possam impactar os parâmetros de conectividade (como ID do aplicativo, URL do cofre, números de porta e certificado) durante os períodos de inatividade.

Pré-requisitos

Nota: Se você usar o utilitário do cofre de chaves para desativar a integração do Cofre da HashiCorp, você deve primeiro desmapear quaisquer credenciais mapeadas que estejam sendo usadas.

Usando o método pós-instalação, realize estas ações:

  • Modifique ou configure os parâmetros de conexão do cofre de chave externa.
  • (Se não estiver configurado durante a instalação inicial) Modifique ou configure a credencial da conta de serviço (senha do administrador do Active Directory).
  • (Se não estiver configurado durante a instalação inicial) Modifique ou configure o identificador de credenciais do banco de dados (bootstrap) (recuperado ao autenticar o banco de dados).
    Nota: A recuperação das credenciais do bootstrap de um cofre de chaves externo pode causar a falha da Control Room se o cofre de chaves externo não for acessível durante a inicialização ou se o cofre de chaves externo não estiver acessível quando a Control Room atualiza as conexões de banco de dados e autentica os usuários com Active Directory.
  • Recupere o Control Room por estas razões:
    • Se os parâmetros de conexão de chaves externas, a conta de serviço, os identificadores de credenciais e objetos do banco de dados foram modificados.
    • Se as alterações nos parâmetros de conexão do Cofre da HashiCorp mudarem, a Control Room irá experimentar problemas de conectividade.
    • Se os identificadores de credenciais para senhas de bootstrap mudaram.

      Você pode atualizar qualquer configuração inicial que não tenha sido definida corretamente e recuperar o sistema.

    Nota:

    Você pode configurar e editar identificadores de credenciais SMTP e AD para recuperar informações do cofre de chaves externo da Automation 360 Control Room acessando Administração > Configurações > E-mail e Administração > Configurações > Active Directory.

Procedimento

  1. Execute o utilitário do cofre de chaves do Cofre da HashiCorp.
    Nota: Você deve importar o certificado do servidor HashiCorp (o certificado emitido para o servidor HashiCorp) para o Java truststore antes de invocar os comandos do utilitário dB. O certificado pode ser em formato .cer (PEM) e NÃO contém uma chave privada.

    Para executar o utilitário do cofre de chaves e atualizar as configurações de conexão do cofre de chaves:

    1. Como administrador Control Room, acesse o diretório de instalação Automation Anywhere Control Room que foi criado durante a instalação inicial Automation 360.
      Por exemplo: C:\Program Files\Automation Anywhere\Enterprise
    2. Baixe a última versão do utilitário do cofre de chaves. Para fazer o download do arquivo jar usado para atualizar o diretório, use as instruções a seguir:
      1. Abra um navegador e acesse o site da A-People: A-People Downloads page (Login required).
      2. Clique no link para o build do No local mais recente.
      3. Clique na pasta Configuração da instalação.
      4. Baixe o arquivo crutils.jar.
      Nota: Se a autenticação DB for configurada para usar o cofre de chaves externo, o utilitário retorna a seguinte exceção: Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      O utilitário solicita que o usuário confirme a ação: Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Digite Y para continuar.
    4. Insira o seguinte:
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Acrescente estes argumentos jvm para o comando para executar o utilitário do cofre de chaves:
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Você pode atualizar qualquer uma destas ações de configuração:

      • Digite UPDATE_KEY_VAULT_CONFIGURATION para editar a configuração do cofre de chaves de HashiCorp.
      • Digite UPDATE_DB_AUTHENTICATION_CONFIGURATION para mudar a autenticação do banco de dados usando cofre de chaves externo.
  2. Com base na ação de configuração que você usou, selecione a ação apropriada:
    • Atualizar a configuração do cofre de chaves para o HashiCorp: Se você digitou UPDATE_KEY_VAULT_CONFIGURATION como a ação de configuração:
      1. Depois que o utilitário carrega a configuração e as propriedades atuais do cofre de chaves, esta solicitação é exibida: Enter key vault [AWS/CYBERARK/AZURE/HASHICORP/NONE] :. Inserir HASHICORP
      2. No prompt Please enter Vault URL:, digite (por exemplo): https://services.uscentral.skytap.com:19516
      3. No prompt Please enter Role Name:, digite (por exemplo): jenkins
      4. No prompt Please enter Role ID:, digite (por exemplo): 675a50e7-cfe0-be76-e35f-49ec009731ea
      5. No prompt Please enter Secret ID:, digite (por exemplo): ed0a642f-2acf-c2da-232f-1b21300d5f29
      6. No prompt Please enter Namespace:, digite (por exemplo): tenant1
      O utilitário do cofre de chaves é executado. Se a configuração foi bem sucedida (o utilitário foi capaz de se conectar ao cofre de chaves externo usando os parâmetros configurados), estas mensagens são exibidas no console:
      Connection configurations valid
        Key Vault configurations successfully updated
    • Atualizar autenticação do banco de dados para HashiCorp: Se você digitou UPDATE_DB_AUTHENTICATION_CONFIGURATION como a ação de configuração:
      1. Após o utilitário carregar as informações de configuração do banco de dados atual, esta solicitação é exibida:
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Inserir KEY_VAULT

      2. No prompt Please enter Secret name:, digite (por exemplo): aadbuser

      O utilitário do cofre de chaves é executado. Se a configuração do banco de dados foi bem sucedida (o utilitário foi capaz de se conectar ao HashiCorp, recuperar a credencial designada e então usar a credencial para se conectar ao banco de dados), estas mensagens são exibidas no console:

      Database Credentials are valid
      Database authentication configurations successfully updated