使用初始安装方法,您可以连接和配置外部密钥库连接器、服务账户凭据(Active Directory 管理员密码)和引导(数据库)凭据标识符。

先决条件

在集成 CyberArk 密码库之前,请确保您了解密钥库命名约定的要求。 请参阅 外部密钥保管库命名约定
注: 您必须选择 Microsoft SQL Server 认证作为数据库;在此场景中不支持其他数据库认证方法。

初始安装支持有关 Control Room 引导凭据的无密码安装。 无密码安装通过 CyberArk 中的安全名称和对象名称识别引导凭据。

您可以使用 Automation 360 用户界面配置 SMTP 和 AD 凭据标识符,以从外部密钥库中检索。

过程

  1. 在启动 Automation 360 安装向导后,选择本地部署作为部署选项,然后单击下一步
  2. 接受许可协议并单击下一步
  3. 选择自定义作为安装类型偏好,然后单击下一步
  4. 接受目标文件夹的默认位置,然后单击下一步
  5. 要连接和配置外部密钥库集成,请选择 CyberArk
    1. 保管库 URL 字段中,输入 CyberArk AIM 服务器的 CCP API URL(例如:https://<hostname:port_num>/)。
    2. 应用程序 ID 字段中,输入 CCP API AppID(例如: AAEControlRoom)。
    3. 输入 CyberArk AIM 服务器证书的路径(使用 .p12.pem 格式),该证书颁发给 Control Room 服务器(证书主题:字段包含 Control Room 的完全限定域名 (FQDN))。
      此证书必须在 CyberArk 中被信任并进行配置。
    4. 虚拟目录字段中,指定密钥库的虚拟目录路径。 默认情况下,路径设置为 /AIMWebService/api/Accounts/。 您可以更改此路径,如果您的密钥库的虚拟目录不同。
    5. 单击上传证书以存储到 Automation 360 Control Room 服务器上。
    6. 请输入用于访问 Control Room 证书文件的证书文件密码。
    7. 可选: 如果 CyberArk 服务器证书的颁发证书机构 (CA) 不被 Control Room 信任,请输入一个可选的服务器证书。
      这是没有私钥的 CyberArk 服务器的服务器证书(证书主题:字段包含 CyberArk AIM Server FQDN)。 安装程序将把可选的 CyberArk 服务器证书添加到 Control Room 使用的信任库中。
    8. 单击下一步
  6. 接受 TLS 配置对话框中的默认设置,然后单击下一步
  7. 服务凭据对话框中,选择一个选项以指定来自 CyberArk 的安全名称对象名称,而不是手动输入用于 Control Room服务账户的用户名和密码。
  8. 单击服务账户(从外部密钥库检索凭据),然后输入安全名称对象名称值。您可以选择输入设置为您的 CyberArk 用户名的属性。 例如,要将用户名配置为格式 domain\username,您必须输入:$domain$\$username$,其中域和用户名的值是从 CyberArk 密钥响应中获取的。
    安装程序将向 CyberArk 查询凭据,以验证对象是否存在于指定的保险库中。
    注: 如果没有可用的服务账户选项来指定安全名称对象名称,这表明 CyberArk 密码库之前未正确配置和连接为外部密钥库。 联系您的 AAI 支持团队或查看。

    另请参阅:排查外部密钥保管库故障

  9. 单击下一步
  10. 数据库服务器对话框中,选择您的数据库服务器,输入您的 Control Room 数据库的名称,然后单击下一步
  11. 数据库身份验证对话框中,选择一个选项以指定来自 CyberArk 的安全名称对象名称,而不是手动输入 Control Room 用于认证数据库的用户名和密码。
    1. 单击SQL Server 身份验证(从外部密钥库检索凭据),然后输入安全名称对象名称值。
      注: 输入您之前为服务账户安全名称输入的相同安全名称
    2. 单击下一步继续并完成初始安装。

在您成功完成初始安装后,Automation 360 Control Room 可以访问并检索 CyberArk 密码库中的凭据。

后续步骤