Passworttresore

Als Administrator verwenden Sie eine externe Anwendung, um Passwörter und Anmeldeinformationen für Agenten zu verwalten.

Übersicht

In Automic Automation sind Passwörter in der Regel in der Datenbank gespeichert, aber sie können auch von einer externen Anwendung oder einem Passworttresor stammen. In diesem Fall wird das Passwort direkt an den Agenten gesendet. Automic Automation unterstützt die Passworttresore CA PAM und CyberArk.

Um einen CA PAM- oder CyberArk-Passworttresor mit Automic Automation zu verwenden, müssen Sie ihn auf einem zugänglichen Host einrichten und einen kompatiblen lokalen Mandanten auf dem gleichen Host installieren, auf dem auch die Automation Engine läuft. Außerdem muss Automic Automation als Anwendung zum Passworttresor hinzugefügt und entsprechend konfiguriert werden, zumindest mit einem Namen.

Hinweis: Der lokale Mandant wird für die Integration mit der Automation Engine verwendet und enthält Bibliotheken, die über den Parameter libpath im Abschnitt JWP der Konfigurationsdatei (ucsrv.ini) angegeben werden müssen. Sie müssen alle Java-Server-Prozesse neu starten, nachdem Sie den libpath-Parameter in der Konfigurationsdatei (ucsrv.ini) eingestellt oder geändert haben.

Nachdem die Anwendung eingerichtet und in Automic Automation integriert wurde, müssen Sie die Variable UC_EXTERNAL_VAULTS verwenden, um festzulegen wie der Passworttresor in Ihrem System identifiziert wird. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Tresor kommunizieren.

Mehr Informationen:

• Automation Engine
• UC_EXTERNAL_VAULTS - Externe Passworttresore auflisten

CA PAM-Passworttresor

Als Administrator richten Sie Ihren CA PAM-Passworttresor für die Verwendung mit Ihrem Automic Automation-System ein und konfigurieren Sie ihn.

CA PAM-Einrichtung

Um den von CA Privileged Access Manager (CA PAM) bereitgestellten Authentifizierungsprozess für Anwendungen mit Automic Automation nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Installieren Sie CA PAM auf einem zugreifbaren Host.

• Installieren Sie den CA PAM A2A-Mandanten auf dem Host, auf dem die Automation Engine ausgeführt wird.

• Fügen Sie Automic Automation als Anwendung zum CA Credential Manager hinzu, und konfigurieren Sie sie entsprechend.

• Geben Sie die Anmeldeinformationen an, die als Konten im CA Credential Manager benötigt werden.

  Weitere Informationen zur Installation und Konfiguration finden Sie in der offiziellen CA PAM-Dokumentation.

Der A2A-Mandant erstellt die Umgebungsvariable CLASSPATH. Sie müssen diese Variable (für Windows%CLASSPATH%) der Variablen Path in den Systemvariablen hinzufügen:

Hinweis: Legen Sie das Verzeichnis der CA PAM SDK-Bibliothek (cspmclient. jar) unter Verwendung des Parameters libpath im Abschnitt JWP der Konfigurationsdatei (ucsrv. ini) fest:

libpath=C:\capam\cloakware\cspmclient\lib

Wenn Sie mehr als einen libpathkonfigurieren möchten, trennen Sie diese durch Semikolons.

Sie müssen alle Java-Server-Prozesse neu starten, nachdem Sie den libpath-Parameter in der Konfigurationsdatei (ucsrv.ini) eingestellt oder geändert haben.

Nachdem CA PAM installiert und für die Verwendung mit Automic Automation konfiguriert wurde, müssen Sie den Tresor mit Hilfe der Variablen UC_VAULT_CAPAM konfigurieren. Weitere Informationen finden Sie unter UC_VAULT_CAPAM - Passworttresor-Konfiguration. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Passworttresor kommunizieren.

CA PAM-Konten

Sie können Anmeldeinformationen als Zielkonten im CA Credential Manager hinzufügen. Der Kontoname muss in der Zielanwendung eindeutig sein und muss mit dem Benutzernamen im Zielsystem übereinstimmen. Dies ist auch der Benutzername im Anmeldeobjekt, das verwendet wird, um eine Verbindung zum Agenten herzustellen. Der Zielalias muss innerhalb des CA Credential Manager eindeutig sein.

Ein CA PAM-Konto, das die Anmeldeinformationen enthält, muss mit den Informationen, die in der Variablen UC_VAULT_CAPAM oder im Login-Objekt angegeben sind, im CA Credential Manager eindeutig übereinstimmen. Ein Konto kann nur mit dem Ziel-Alias des Kontos im CA Credential Manager abgeglichen werden.

Wenn Sie die Anmeldeinformationen eines Agenten abrufen möchten, müssen Sie einen Zielalias im CA Credential Manager konfigurieren und ihn in der Spalte Passworttresor anpassen.

In der Regel enthält jedes CA PAM-Konto die Anmeldeinformationen von genau einem Automic Automation-Agenten. Ausgenommen sind JMX-Agenten, die Besonderheiten aufweisen und drei Konten für denselben Agenten benötigen. In diesem Fall müssen die Anmeldeinformationen im folgenden Format eingestellt werden:

• Konto 1: JMX_<Alias>_USERPASS

• Konto 2: JMX_<Alias>_KEYSTOREPASS

• Konto 3: JMX_<Alias>_TRUSTSTOREPASS

Beispiel

Wenn die drei Konten für einen JMX-Agenten JMX_agent1_USERPASS, JMX_agent1_KEYSTOREPASS, JMX_agent1_TRUSTSTOREPASS sind, dann muss der Alias, der in der Spalte Wert 1 der Variablen UC_VAULT_CAPAM konfiguriert ist, agent1 für den Schlüssel VLT_ALIAS1 sein.

Mehr Informationen:

• Login (LOGIN)
• UC_VAULT_CAPAM - Passworttresor-Konfiguration

CA PAM - Caching und Leistung

Der lokale Mandant verwendet einen Cache, der Benutzerdaten bereitstellen kann, auch wenn ein Netzwerkausfall vorliegt oder der Tresor nicht erreichbar ist. Die im Cache gespeicherten Informationen sind verschlüsselt und können nur nach den gleichen Authentifizierungskriterien abgerufen werden, die für den Abruf aller anderen Informationen aus dem Tresor erforderlich sind. Falls der Passwort-Abruf fehlschlägt, verwendet die Automation Engine die letzten bekannten Benutzerinformationen, die vom lokalen Mandanten im Cache zwischengespeichert wurden.

Wenn der lokale Mandant nicht verfügbar ist oder wenn die Automation Engine keine Berechtigung hat, das Passwort abzurufen, erhält der Benutzer eine Nachricht (letzte Nachricht des Jobs) mit den relevanten Informationen und der jeweilige Status des Jobs wird auf FAULT_OTHER gesetzt. Weitere Informationen finden Sie unter System-Rückgabewerte von ausführbaren Objekten.

Hinweis: Wenn der Job mit FAULT_OTHER fehlschlägt und die Fehlermeldung "U00045195 The password request failed with the error message: 'The encryption of the password failed with the error message: Illegal key size or default parameters'." angezeigt wird, müssen Sie die Dateien "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy" in den vom AWI verwendeten Ordner <Java_path>/jre/lib/security kopieren.

CA PAM - Authentifizierung

Die Anwendungsauthentifizierung kann auf vielfältige Weise erfolgen, z. B. durch:

• Name der Anwendung (obligatorisch)

• Anforderungsserver (obligatorisch) - Die Authentifizierung erfolgt bei der Installation des lokalen Mandanten

• Benutzer-ID der Ausführung

• Ausführungspfad

• Dateipfad zur Anwendung

• Anwendungs-Hash

In diesem Fall werden der Anwendungsname und der Anforderungsserver für die Authentifizierung benötigt. Alle anderen Parameter sind optional und können beliebig kombiniert werden.

Die Automation Engine fordert die Anmeldeinformationen an und der Anforderungsserver überprüft, ob die im Passworttresor definierten Anwendungsdetails mit denen der Laufzeitanwendung übereinstimmen. Wenn sie übereinstimmen, erhält der Benutzer die Berechtigung für den Tresor, der Anforderungsserver ruft das Passwort ab und leitet es an die Automation Engine weiter.

Passworttresor CyberArk

Als Administrator richten Sie Ihren CyberArk-Passworttresor für die Verwendung mit Ihrem Automic Automation-System ein und konfigurieren Sie ihn.

CyberArk - Einrichtung

Um den von CyberArk bereitgestellten Authentifizierungsprozess für Anwendungen mit Automic Automation nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Installation des CyberArk Enterprise Passworttresors auf einem zugänglichen Host.

• Installation des CyberArk Application Identity Managers (AIM) - Local Client (Credential Provider SDK) auf dem Host, auf dem die Automation Engine läuft. Stellen Sie sicher, dass die Datei JavaPasswordSDK. jar in der Installation enthalten ist.

  Credential Provider-kompatible Versionen sind alle Versionen, die die gleiche API wie 9.6 verwenden.

• Verwenden Sie das CLIPasswordSDK, das von AIM bereitgestellt wird, um zu testen, ob der lokale Mandant Passwörter aus dem Tresor abrufen kann. Wenn der lokale Mandant keine Passwörter aus dem Tresor abrufen kann, überprüfen Sie die Installation von CyberArk Application Identity Manager (AIM).

  • Windows

    CLIPasswordSDK.exe GetPassword /p AppDescs.AppID=AutomationEngine /p Query="Safe=AECredentials3;Folder=Root;Username=NB000829\oab" /o Password

  • UNIX

    clipasswordsdk GetPassword -p AppDescs.AppID=AutomationEngine -p Query="Safe=AECredentials3;Folder=Root;Username=NB000829\oab" -o Password

• Wenn Ihr lokaler Mandant Passwörter aus dem Tresor abrufen kann, fügen Sie Automic Automation dem Tresor als Anwendung hinzu, und konfigurieren Sie ihn entsprechend.

• Geben Sie die Anmeldeinformationen an, die als Konten im Tresor benötigt werden.

Wichtig! Legen Sie das CyberArk SDK-Bibliotheksverzeichnis mit dem Parameter libpathim Abschnitt JWP der Konfigurationsdatei (ucsrv.ini) fest, sonst können Sie die CyberArk-Integration nicht verwenden. Stellen Sie außerdem sicher, dass der Pfad auf den Speicherort der Datei JavaPasswordSDK. jar verweist:

libpath=C:\Program Files (x86)\CyberArk\ApplicationPasswordSdk

Sie müssen alle Java-Server-Prozesse neu starten, nachdem Sie den libpath-Parameter in der Konfigurationsdatei (ucsrv.ini) eingestellt oder geändert haben. Nachdem Sie eine Umgebungsvariable festgelegt oder geändert haben, müssen Sie alle Serverprozesse sowie den ServiceManager und die Automation Engineneu starten.

Sobald CyberArk installiert und auf die Verwendung mit Automic Automation konfiguriert wurde, müssen Sie Ihren Tresor mit der Variablen UC_VAULT_CYBERARK konfigurieren, siehe UC_VAULT_CYBERARK - Passworttresor-Konfiguration. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Passworttresor kommunizieren.

Wichtig! Der Name dieser Variablen wurde von UC_EX_CYBERARK in UC_VAULT_CYBERARK geändert. Es wird empfohlen, den neuen Namen zu verwenden. Wenn Sie jedoch die Variable mit dem vorherigen Namen verwenden und diese nicht ändern möchten, können Sie das Setup unverändert lassen. Das System ist in der Lage, auch mit dem vorherigen Namen zu arbeiten.

CyberArk-Konten

Ein CyberArk-Konto, das Benutzerinformationen enthält, muss eindeutig im Tresor mit den Informationen der Variablen UC_VAULT_CYBERARK oder im Login-Objekt zugeordnet werden können. Die folgenden Attribute können verwendet werden, um ein Konto im Tresor abzugleichen:

• Safe(s): kann in der Spalte Passwortwert des Login-Objekts angegeben werden.

• Objekt: kann als Agentenname im Login-Objekt verwendet werden

• AppID: in der Variablen UC_VAULT_CYBERARK

• Benutzername: angegeben im Login-Objekt

Hinweis: Agentennamen sind in Automic Automation eindeutig. Wenn der Parameter USEOBJECT in der Variablen UC_VAULT_CYBERARK auf Yes gesetzt ist, können Sie die Agentennamen als Objekt-IDs oder Namen für das Tresorkonto verwenden. Die automatische Generierung von Namen sollte deaktiviert werden.

In der Regel enthält jedes CyberArk-Konto die Anmeldeinformationen von genau einem Automic Automation-Agenten. Ausgenommen sind JMX-Agenten, die Besonderheiten aufweisen und drei Konten für denselben Agenten benötigen. In diesem Fall müssen die Anmeldeinformationen im folgenden Format eingestellt werden:

• Konto 1: JMX_ <Benutzername> _USERPASS

• Konto 2: JMX_ <Benutzername> _KEYSTOREPASS

• Konto 3: JMX_ <Benutzername> _TRUSTSTOREPASS

Mehr Informationen:

• Login (LOGIN)
• UC_VAULT_CYBERARK - Passworttresor-Konfiguration

CyberArk Caching und Leistung

Caching ist auch bei Verwendung von CyberArk möglich. Falls der Passwort-Abruf fehlschlägt, verwendet die Automation Engine die letzten bekannten Benutzerinformationen, die vom lokalen Mandanten im Cache zwischengespeichert wurden.

Standardmäßig wird der Cache aktualisiert und alle 180 Sekunden mit dem Tresor synchronisiert. Sie können dieses Intervall ändern, indem Sie den Parameter CacheRefreshInterval im CyberArk-Dienstprogramm appprvmgr für den lokalen Mandanten ändern. Sie können auch das Caching deaktivieren, in diesem Fall wird direkt auf den Tresor zugegriffen, um alle Anmeldeinformationen abzurufen.

Wenn der lokale Mandant nicht verfügbar ist, die Automation Engine keine Berechtigung hat das Passwort abzurufen, oder das Passwort im Tresor den Status Passwortänderung in Bearbeitung hat, schlagen alle Passwortanfragen für dieses spezielle Passwort fehl. Der Benutzer erhält eine Nachricht (letzte Nachricht des Jobs) mit den relevanten Informationen und der jeweilige Status des Jobs wird auf FAULT_OTHER gesetzt. Weitere Informationen finden Sie unter System-Rückgabewerte von ausführbaren Objekten.

CyberArk-Authentifizierung

Die Automation Engine verwendet ihre eindeutige Anwendungs-ID, wie sie im Tresor definiert ist, um die Anmeldeinformationen abzufragen. Der lokale Mandant überprüft, ob die im Tresor definierten Anwendungsdetails (Pfad, Hash, Betriebssystem) mit denen der Laufzeitanwendung übereinstimmen. Wenn sie übereinstimmen, erhält der Benutzer die Berechtigung für den Tresor, der lokale Mandant ruft das Passwort ab und gibt es an die Automation Engine weiter.