Coffres-forts de mots de passe

En tant qu'administrateur, vous utilisez une application externe pour gérer les mots de passe et les informations d'identification pour la connexion des agents.

Cette rubrique contient les sujets suivants :

Présentation

Dans CA Automic Workload Automation, les mots de passe sont généralement enregistrés dans la base de données, mais ils peuvent également provenir d'une application externe ou d'un coffre-fort de mots de passe. Dans ce cas, le mot de passe est directement envoyé à l'agent.

Pour utiliser un coffre-fort de mots de passe avec CA Automic Workload Automation, vous devez le configurer sur un hôte accessible et installer un client local compatible sur le même hôte dans lequel Automation Engine est exécuté. Il faut également ajouter CA Automic Workload Automation en tant qu'application du coffre-fort de mots de passe et la configurer en conséquence avec au moins un nom.

Remarque : Le client local, utilisé pour l'intégration avec Automation Engine, contient des bibliothèques qui doivent être spécifiées via le paramètre libpath dans la section JWP du fichier de configuration (ucsrv.ini).

Une fois l'application configurée et intégrée à CA Automic Workload Automation, vous devez utiliser la variable UC_EXTERNAL_VAULTS - Liste des stockages des mots de passe externes pour définir le mode d'identification du coffre-fort de mots de passe dans votre système. Une fois la configuration terminée, Automation Engine peut communiquer avec le coffre-fort.

Mise en cache et performances

Le client local utilise un cache capable de fournir les informations d'identification, même en présence d'une panne de réseau ou d'impossibilité d'accès au coffre-fort. Les informations enregistrées dans le cache sont chiffrées et ne sont accessibles que via les mêmes critères d'authentification requis pour récupérer n'importe quelle autre information du coffre-fort. En cas d'échec de récupération du mot de passe, Automation Engine utilise les dernières informations d'identification connues mises en cache par le client local.

Si le client local n'est pas disponible ou si Automation Engine n'a pas la permission de récupérer le mot de passe, l'utilisateur reçoit un message (dernier message du job) contenant les informations correspondantes, et le statut du job devient FAULT_OTHER. Pour plus d'informations, voir Codes retour système des objets exécutables.

Remarque : Si un job échoue avec FAULT_OTHER et que le message d'erreur est "U00045195 Échec requête mot de passe avec message d'erreur : 'Échec chiffrement mot de passe avec message d'erreur : Taille de clé ou paramètres par défaut non valides'." s'affiche, vous devez copier les fichiers JCE (Java Cryptography Extension) à niveau illimité dans le dossier <Java_path>/jre/lib/security utilisé par AWI.

Authentification

L'application peut être authentifiée de plusieurs manières différentes, telles que :

Dans ce cas, le nom de l'application et le serveur de requêtes sont requis pour l'authentification. Tous les autres paramètres sont optionnels et peuvent être utilisés dans n'importe quelle combinaison.

Automation Engine demande les informations d'identification et le serveur de requêtes vérifie que les informations de l'application définies dans le coffre-fort de mots de passe correspondent à celles de l'application d'exécution. Si elles correspondent, l'utilisateur se voit accorder l'accès au coffre-fort, le serveur de requêtes récupère le mot de passe et le transmet à Automation Engine.

Configuration de CyberArk

Pour utiliser le processus d'authentification d'application fourni par CyberArk avec CA Automic Workload Automation, vous devez remplir les conditions suivantes :

Remarque : Spécifiez le répertoire de la bibliothèque CyberArk SDK via le paramètre libpath dans la section JWP du fichier de configuration (ucsrv.ini) :

libpath=C:\Program Files (x86)\CyberArk\ApplicationPasswordSdk

Après avoir installé CyberArk et l'avoir configuré pour qu'il puisse être utilisé avec CA Automic Workload Automation, vous devez configurer votre coffre-fort via la variable UC_EX_CYBERARK - Configuration du coffre-fort de mots de passe. Une fois la configuration terminée, Automation Engine peut communiquer avec le coffre-fort de mots de passe.

Important ! Le nom UC_EX_CYBERAKR de cette variable a été remplacé par UC_VAULT_CYBERARK. Il est recommandé d'utiliser le nouveau nom. Cependant, si vous utilisez la variable avec le nom précédent et que vous ne souhaitez pas le modifier, vous pouvez laisser la configuration telle quelle. Le système est tout autant capable de fonctionner avec le nom précédent.

Comptes CyberArk

Un compte CyberArk contenant les informations d'identification doit uniquement correspondre dans le coffre-fort, via les informations fournies dans la variable UC_EX_CYBERARK - Configuration du coffre-fort de mots de passe ou dans l'objet Login (LOGIN). Pour faire correspondre un compte dans le coffre-fort, il est possible d'utiliser les attributs suivants :

Remarque : Les noms d'agents sont uniques dans CA Automic Workload Automation. Si le paramètre USEOBJECT dans UC_EX_CYBERARK est Oui, vous pouvez utiliser les noms d'agents comme noms ou ID d'objets pour le compte de coffre-fort. La génération automatique des noms doit être désactivée.

La règle est que chaque compte CyberArk contient les informations d'identification d'un agent CA Automic Workload Automation exactement. Les exceptions sont les agents JMX qui possèdent des fonctionnalités spéciales et requièrent trois comptes pour le même agent. Dans ce cas, les informations d'identification doivent être définies au format suivant :

Mise en cache et performances CyberArk

CyberArk propose également la mise en cache. En cas d'échec de récupération du mot de passe, Automation Engine utilise les dernières informations d'identification connues mises en cache par le client local.

Par défaut, le cache est actualisé et synchronisé avec le coffre-fort toutes les 180 secondes. Vous pour modifier cet intervalle via le paramètre CacheRefreshInterval dans l'utilitaire CyberArkappprvmgr pour le client local. Vous pouvez également désactiver la mise en cache, auquel cas le coffre-fort est directement accessible pour récupérer les informations d'identification.

Si le client local n'est pas disponible, si Automation Engine n'a pas la permission de récupérer le mot de passe ou si le statut du mot de passe dans le coffre-fort est Modification du mot de passe en cours, toutes les requêtes relatives à ce mot de passe échouent. L'utilisateur reçoit un message (dernier message du job) contenant les informations correspondantes, et le statut du job devient FAULT_OTHER. Pour plus d'informations, voir Codes retour système des objets exécutables.

Authentification CyberArk

Automation Engine utilise son ID d'application unique, tel que défini dans le coffre-fort, pour demander les informations d'identification. Le client local vérifie que les informations de l'application (chemin, hachage, système d'exploitation) définies dans le coffre-fort de mots de passe correspondent à celles de l'application d'exécution. Si elles correspondent, l'utilisateur se voit accorder l'accès au coffre-fort, le client local récupère le mot de passe et le transmet à Automation Engine.

Voir aussi :

Login (LOGIN)