Passwort-Tresore

Als Administrator verwenden Sie eine externe Anwendung, um Passwörter und Anmeldeinformationen für Agenten zu verwalten.

Überblick

In CA Automic Workload Automation sind Passwörter in der Regel in der Datenbank gespeichert, aber sie können auch von einer externen Anwendung oder einem Passwort-Tresor stammen. In diesem Fall wird das Passwort direkt an den Agenten gesendet.

Um einen Passwort-Tresor mit CA Automic Workload Automation zu verwenden, müssen Sie ihn auf einem zugänglichen Host einrichten und einen kompatiblen lokalen Mandanten auf dem gleichen Host installieren, auf dem auch die Automation Engine läuft. Außerdem muss CA Automic Workload Automation als Anwendung zum Passwort-Tresor hinzugefügt und entsprechend konfiguriert werden, zumindest mit einem Namen.

Hinweis: Der lokale Mandant wird für die Integration mit der Automation Engine verwendet und enthält Bibliotheken, die über den Parameter libpath im Abschnitt JWP der Konfigurationsdatei (ucsrv.ini) angegeben werden müssen.

Nachdem die Anwendung eingerichtet und in CA Automic Workload Automation integriert wurde, müssen Sie die Variable UC_EXTERNAL_VAULTS - Aufzählung externer Passwortspeicher verwenden, um festzulegen wie der Passwort-Tresor in Ihrem System identifiziert wird. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Tresor kommunizieren.

Caching und Leistung

Der lokale Mandant verwendet einen Cache, der Benutzerdaten bereitstellen kann, auch wenn ein Netzwerkausfall vorliegt oder der Tresor nicht erreichbar ist. Die im Cache gespeicherten Informationen sind verschlüsselt und können nur nach den gleichen Authentifizierungskriterien abgerufen werden, die für den Abruf aller anderen Informationen aus dem Tresor erforderlich sind. Falls der Passwort-Abruf fehlschlägt, verwendet die Automation Engine die letzten bekannten Benutzerinformationen, die vom lokalen Mandanten im Cache zwischengespeichert wurden.

Wenn der lokale Mandant nicht verfügbar ist oder wenn die Automation Engine keine Berechtigung hat, das Passwort abzurufen, erhält der Benutzer eine Nachricht (letzte Nachricht des Jobs) mit den relevanten Informationen und der jeweilige Status des Jobs wird auf FAULT_OTHER gesetzt. Weitere Informationen finden Sie unter System-Rückgabewerte von ausführbaren Objekten.

Hinweis: Wenn der Job mit FAULT_OTHER fehlschlägt und die Fehlermeldung „U00045195 The password request failed with the error message: 'The encryption of the password failed with the error message: Illegal key size or default parameters“ angezeigt wird, müssen Sie die Dateien „Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy“ in den vom AWI verwendeten Ordner <Java_path>/jre/lib/security kopieren.

Authentifizierung

Die Anwendungsauthentifizierung kann auf vielfältige Weise erfolgen, z. B. durch:

• Name der Anwendung (obligatorisch)

• Anforderungsserver (obligatorisch) - Die Authentifizierung erfolgt bei der Installation des lokalen Mandanten

• Benutzer-ID der Ausführung

• Ausführungspfad

• Dateipfad zur Anwendung

• Anwendungs-Hash

In diesem Fall werden der Anwendungsname und der Anforderungsserver für die Authentifizierung benötigt. Alle anderen Parameter sind optional und können beliebig kombiniert werden.

Die Automation Engine fordert die Anmeldeinformationen an und der Anforderungsserver überprüft, ob die im Passwort-Tresor definierten Anwendungsdetails mit denen der Laufzeitanwendung übereinstimmen. Wenn sie übereinstimmen, erhält der Benutzer die Berechtigung für den Tresor, der Anforderungsserver ruft das Passwort ab und leitet es an die Automation Engine weiter.

CyberArk-Setup

Um den von CyberArk bereitgestellten Authentifizierungsprozess für Anwendungen mit CA Automic Workload Automation nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Installation des CyberArk Enterprise Passwort-Tresors auf einem zugänglichen Host.

• Installation des CyberArk Application Identity Managers (AIM) - Local Client (Credential Provider SDK) auf dem Host, auf dem die Automation Engine läuft.

  Credential Provider-kompatible Versionen sind alle Versionen, die die gleiche API wie 9.6 verwenden.

• Fügen Sie dem Tresor CA Automic Workload Automation als Anwendung hinzu und konfigurieren Sie ihn entsprechend.

• Geben Sie die Anmeldeinformationen an, die als Konten im Tresor benötigt werden.

Hinweis: Legen Sie die CyberArk SDK Bibliothek mit dem Parameter libpath im Abschnitt JWP der Konfigurationsdatei (ucsrv.ini) fest:

libpath=C:\Program Files (x86)\CyberArk\ApplicationPasswordSdk

Sobald CyberArk installiert und auf die Verwendung mit CA Automic Workload Automation konfiguriert wurde, müssen Sie Ihren Tresor mit der Variable UC_EX_CYBERARK - Konfiguration des Passwort-Tresors konfigurieren. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Passwort-Tresor kommunizieren.

Wichtig! Der Name dieser Variable wurde von UC_EX_CYBERAKR auf UC_VAULT_CYBERARK geändert. Es wird empfohlen, den neuen Namen zu verwenden. Wenn Sie jedoch die Variable mit dem vorherigen Namen verwenden und diese nicht ändern möchten, können Sie das Setup unverändert lassen. Das System ist in der Lage, auch mit dem vorherigen Namen zu arbeiten.

CyberArk-Konten

Ein CyberArk-Konto, das Benutzerinformationen enthält, muss eindeutig im Tresor mit den Informationen der Variable UC_EX_CYBERARK - Konfiguration des Passwort-Tresors oder im Login (LOGIN) Objekt zugeordnet werden können. Die folgenden Attribute können verwendet werden, um ein Konto im Tresor abzugleichen:

• Safe(s): kann in der Spalte Tresor / Safe des Login-Objekts angegeben werden.

• Objekt: kann als Agentenname im Login-Objekt verwendet werden

• AppID: konfiguriert in UC_EX_CYBERARK - Konfiguration des Passwort-Tresors

• Benutzername: angegeben im Login-Objekt

Hinweis: Agentennamen sind in CA Automic Workload Automation eindeutig. Wenn der Parameter USEOBJECT in UC_EX_CYBERARK auf Ja gesetzt ist, können Sie die Agentennamen als Objekt-IDs oder Namen für das Tresorkonto verwenden. Die automatische Generierung von Namen sollte deaktiviert werden.

In der Regel enthält jedes CyberArk-Konto die Anmeldeinformationen von genau einem CA Automic Workload Automation-Agenten. Ausgenommen sind JMX-Agenten, die Besonderheiten aufweisen und drei Konten für denselben Agenten benötigen. In diesem Fall müssen die Anmeldeinformationen im folgenden Format eingestellt werden:

• Konto 1: JMX_<username>_USERPASS

• Konto 2: JMX_<username>_KEYSTOREPASS

• Konto 3: JMX_<username>_TRUSTSTOREPASS

CyberArk Caching und Leistung

Caching ist auch bei Verwendung von CyberArk möglich. Falls der Passwort-Abruf fehlschlägt, verwendet die Automation Engine die letzten bekannten Benutzerinformationen, die vom lokalen Mandanten im Cache zwischengespeichert wurden.

Standardmäßig wird der Cache aktualisiert und alle 180 Sekunden mit dem Tresor synchronisiert. Sie können dieses Intervall ändern, indem Sie den Parameter CacheRefreshInterval im CyberArk-Dienstprogramm appprvmgr für den lokalen Mandanten ändern. Sie können auch das Caching deaktivieren, in diesem Fall wird direkt auf den Tresor zugegriffen, um alle Anmeldeinformationen abzurufen.

Wenn der lokale Mandant nicht verfügbar ist, die Automation Engine keine Berechtigung hat das Passwort abzurufen, oder das Passwort im Tresor den Status Passwortänderung in Bearbeitung hat, schlagen alle Passwortanfragen für dieses spezielle Passwort fehl. Der Benutzer erhält eine Nachricht (letzte Nachricht des Jobs) mit den relevanten Informationen und der jeweilige Status des Jobs wird auf FAULT_OTHER gesetzt. Weitere Informationen finden Sie unter System-Rückgabewerte von ausführbaren Objekten.

CyberArk-Authentifizierung

Die Automation Engine verwendet ihre eindeutige Anwendungs-ID, wie sie im Tresor definiert ist, um die Anmeldeinformationen abzufragen. Der lokale Mandant überprüft, ob die im Tresor definierten Anwendungsdetails (Pfad, Hash, Betriebssystem) mit denen der Laufzeitanwendung übereinstimmen. Wenn sie übereinstimmen, erhält der Benutzer die Berechtigung für den Tresor, der lokale Mandant ruft das Passwort ab und gibt es an die Automation Engine weiter.

Siehe auch:

Login (LOGIN)