Passworttresore

Als Administrator verwenden Sie eine externe Anwendung, um die Zugangsdaten für Agenten zu verwalten. Dies gilt für alle ausführbaren Objekte, die Login-Objekte verwenden können.

Übersicht

In Automic Automation sind Passwörter in der Regel in der Datenbank gespeichert, aber sie können auch von einer externen Anwendung oder einem Passworttresor stammen. In diesem Fall wird das Passwort direkt an den Agenten gesendet. Automic Automation unterstützt die Passworttresore CA PAM und CyberArk.

Um einen CA PAM- oder CyberArk-Passworttresor mit Automic Automation zu verwenden, müssen Sie ihn auf einem zugänglichen Host einrichten und einen kompatiblen lokalen Mandanten auf dem gleichen Host installieren, auf dem auch die Automation Engine läuft. Außerdem muss Automic Automation als Anwendung zum Passworttresor hinzugefügt und entsprechend konfiguriert werden, zumindest mit einem Namen.

Hinweis: Der lokale Mandant wird für die Integration mit der Automation Engine verwendet und enthält Bibliotheken, die über den Parameter libpath im Abschnitt JWP der Konfigurationsdatei (ucsrv.ini) angegeben werden müssen. Sie müssen alle Java-Serverprozesse neu starten, nachdem Sie den Parameter libpath in der Konfigurationsdatei (ucsrv.ini) festgelegt oder geändert haben.

CyberArk ermöglicht es Ihnen auch, einen REST-Endpunkt zum Abrufen der Kennwörter aus dem Tresor zu verwenden, anstatt einen lokalen Mandanten zu verwenden.

Nachdem die Anwendung eingerichtet und in Automic Automation integriert wurde, müssen Sie die Variable UC_EXTERNAL_VAULTS verwenden, um festzulegen wie der Passworttresor in Ihrem System identifiziert wird. Sobald die Einrichtung abgeschlossen ist, kann die Automation Engine mit dem Tresor kommunizieren.

Mehr Informationen:

• Automation Engine
• UC_EXTERNAL_VAULTS – Auflisten externer Kennwortspeicher

CA PAM-Passworttresor

Als Administrator richten Sie Ihren CA PAM-Passworttresor für die Verwendung mit Ihrem Automic Automation-System ein und konfigurieren Sie ihn.

Einrichtung von CA PAM

Um den von CA Privileged Access Manager (CA PAM) bereitgestellten Prozess für die Anwendungsauthentifizierung mit Automic Automation nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Installieren Sie CA PAM auf einem erreichbaren Host.

• Installieren Sie den A2A-Client für CA PAM auf dem Host, auf dem die Automation Engine ausgeführt wird.

• Fügen Sie Automic Automation als Anwendung zu CA Credential Manager hinzu und konfigurieren Sie die Anwendung entsprechend.

• Richten Sie die benötigten Zugangsdaten als Konten in CA Credential Manager ein.

  Weitere Informationen zur Installation und Konfiguration finden Sie in der offiziellen Dokumentation zu CA PAM.

Der A2A-Client erstellt die Umgebungsvariable CLASSPATH. Sie müssen diese Variable (für Windows %CLASSPATH%) der Variablen Path in den Systemvariablen hinzufügen:

Hinweis: Legen Sie das Verzeichnis der CA PAM SDK-Bibliothek (cspmclient. jar) unter Verwendung des Parameters libpath im Abschnitt JWP der Konfigurationsdatei (ucsrv. ini) fest:

libpath=C:\capam\cloakware\cspmclient\lib

Wenn Sie mehr als einen libpath konfigurieren möchten, trennen Sie die Parameter durch Semikolons.

Sie müssen alle Java-Serverprozesse neu starten, nachdem Sie den Parameter libpath in der Konfigurationsdatei (ucsrv.ini) festgelegt oder geändert haben.

Nachdem CA PAM installiert und für die Verwendung mit Automic Automation konfiguriert wurde, müssen Sie den Tresor mithilfe der Variablen UC_VAULT_CAPAM konfigurieren. Weitere Informationen finden Sie unter UC_VAULT_CAPAM – Passworttresor-Konfiguration. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Passworttresor kommunizieren.

CA PAM-Konten

Sie können Anmeldeinformationen als Zielkonten in CA Credential Manager hinzufügen. Der Kontoname muss in der Zielanwendung eindeutig sein und muss mit dem Benutzernamen im Zielsystem übereinstimmen. Dies ist auch der Benutzername im Login-Objekt, das verwendet wird, um eine Verbindung zum Agenten herzustellen. Der Zielalias muss innerhalb von CA Credential Manager eindeutig sein.

Ein CA PAM-Konto mit Anmeldeinformationen muss eine eindeutige Übereinstimmung in CA Credential Manager haben, ermittelt über die Informationen in der Variablen UC_VAULT_CAPAM oder im Login-Objekt. Ein Konto kann nur mit dem Zielalias des Kontos in CA Credential Manager abgeglichen werden.

Wenn Sie die Anmeldeinformationen eines Agenten abrufen möchten, müssen Sie einen Zielalias im CA Credential Manager konfigurieren und ihn in der Spalte Passworttresor anpassen.

In der Regel enthält jedes CA PAM-Konto die Anmeldeinformationen von genau einem Automic Automation-Agenten. Ausgenommen sind JMX-Agenten, die Besonderheiten aufweisen und jeweils drei Konten für ein und denselben Agenten benötigen. In diesem Fall müssen die Anmeldeinformationen im folgenden Format eingestellt werden:

• Konto 1: JMX_<alias>_USERPASS

• Konto 2: JMX_<alias>_KEYSTOREPASS

• Konto 3: JMX_<alias>_TRUSTSTOREPASS

Beispiel

Wenn die drei Konten für einen JMX-Agenten "JMX_agent1_USERPASS", "JMX_agent1_KEYSTOREPASS" und "JMX_agent1_TRUSTSTOREPASS" sind, dann muss der Alias, der in der Spalte Value 1 der Variablen UC_VAULT_CAPAM konfiguriert ist, "agent1" für den Schlüssel VLT_ALIAS1 sein.

Mehr Informationen:

• Login (LOGIN)
• UC_VAULT_CAPAM – Passworttresor-Konfiguration

CA PAM: Caching und Leistung

Der lokale Mandant verwendet einen Cache, der Anmeldeinformationen bereitstellen kann, auch wenn ein Netzwerkausfall vorliegt oder der Tresor nicht erreichbar ist. Die im Cache gespeicherten Informationen sind verschlüsselt und können nur nach den gleichen Authentifizierungskriterien abgerufen werden, die für den Abruf aller anderen Informationen aus dem Tresor erforderlich sind. Falls der Kennwort-Abruf fehlschlägt, verwendet die Automation Engine die letzten bekannten Benutzerinformationen, die vom lokalen Mandanten im Cache zwischengespeichert wurden.

Wenn der lokale Mandant nicht verfügbar ist oder wenn die Automation Engine keine Berechtigung hat, das Kennwort abzurufen, erhält der Benutzer eine Nachricht (letzte Nachricht des Jobs) mit den relevanten Informationen und der jeweilige Status des Jobs wird auf FAULT_OTHER gesetzt. Weitere Informationen finden Sie unter System-Rückgabewerte von ausführbaren Objekten.

Hinweis: Wenn ein Job mit FAULT_OTHER fehlschlägt und die Fehlermeldung "U00045195 The password request failed with the error message: 'The encryption of the password failed with the error message: Illegal key size or default parameters'." angezeigt wird, müssen Sie die "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files" in den von AWI verwendeten Ordner <Java_Pfad>/jre/lib/security kopieren.

CA PAM: Authentifizierung

Die Anwendungsauthentifizierung kann auf vielfältige Weise erfolgen, z. B.:

• Name der Anwendung (obligatorisch)

• Anforderungsserver (obligatorisch) (Die Authentifizierung erfolgt bei der Installation des lokalen Mandanten.)

• Benutzer-ID der Ausführung

• Ausführungspfad

• Dateipfad zur Anwendung

• Anwendungs-Hash

In diesem Fall werden der Anwendungsname und der Anforderungsserver für die Authentifizierung benötigt. Alle anderen Parameter sind optional und können beliebig kombiniert werden.

Die Automation Engine fordert die Anmeldeinformationen an und der Anforderungsserver überprüft, ob die im Passworttresor definierten Anwendungsdetails mit denen der Laufzeitanwendung übereinstimmen. Wenn sie übereinstimmen, erhält der Benutzer die Berechtigung für den Tresor, der Anforderungsserver ruft das Kennwort ab und leitet es an die Automation Engine weiter.

Passworttresor CyberArk

Als Administrator richten Sie Ihren CyberArk-Passworttresor für die Verwendung mit Ihrem Automic Automation-System ein und konfigurieren Sie ihn.

Einrichtung von CyberArk

Sie können CyberArk so einrichten, dass entweder ein lokaler Mandant oder ein REST-Endpunkt zum Abrufen der Kennwörter aus dem Tresor verwendet wird.

Einen lokalen Mandanten verwenden

Um den von CyberArk bereitgestellten Prozess für die Anwendungsauthentifizierung mit Automic Automation nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Installation des CyberArk Enterprise Passworttresors auf einem zugänglichen Host.

• Installation von CyberArk Application Identity Manager (AIM) als lokaler Mandant (Credential Provider SDK) auf dem Host, auf dem die Automation Engine läuft. Stellen Sie sicher, dass die Datei "JavaPasswordSDK.jar" in der Installation enthalten ist.

  Credential Provider-kompatible Versionen sind alle Versionen, die die gleiche API wie 9.6 verwenden.

• Verwenden Sie das CLIPasswordSDK, das von AIM bereitgestellt wird, um zu testen, ob der lokale Mandant Kennwörter aus dem Tresor abrufen kann. Wenn der lokale Mandant keine Kennwörter aus dem Tresor abrufen kann, überprüfen Sie die Installation von CyberArk Application Identity Manager (AIM).

  • Windows

    CLIPasswordSDK.exe GetPassword /p AppDescs.AppID=AutomationEngine /p Query="Safe=AECredentials3;Folder=Root;Username=NB000829\oab" /o Password

  • UNIX

    clipasswordsdk GetPassword -p AppDescs.AppID=AutomationEngine -p Query="Safe=AECredentials3;Folder=Root;Username=NB000829\oab" -o Password

• Wenn Ihr lokaler Mandant Kennwörter aus dem Tresor abrufen kann, fügen Sie Automic Automation dem Tresor als Anwendung hinzu, und konfigurieren Sie ihn entsprechend.

• Richten Sie die benötigten Anmeldeinformationen als Konten im Tresor ein.

Wichtig! Legen Sie das CyberArk SDK-Bibliotheksverzeichnis mit dem Parameter libpathim Abschnitt JWP der Konfigurationsdatei (ucsrv.ini) fest, sonst können Sie die CyberArk-Integration nicht verwenden. Stellen Sie außerdem sicher, dass der Pfad auf den Speicherort der Datei JavaPasswordSDK. jar verweist:

libpath=C:\Program Files (x86)\CyberArk\ApplicationPasswordSdk

Sie müssen alle Java-Serverprozesse neu starten, nachdem Sie den Parameter libpath in der Konfigurationsdatei (ucsrv.ini) festgelegt oder geändert haben. Nachdem Sie eine Umgebungsvariable festgelegt oder geändert haben, müssen Sie alle Serverprozesse sowie den ServiceManager und die Automation Engine neu starten.

Sobald CyberArk installiert und für die Verwendung mit Automic Automation konfiguriert wurde, müssen Sie Ihren Tresor mit der Variablen UC_VAULT_CYBERARK konfigurieren, siehe UC_VAULT_CYBERARK – Passworttresor-Konfiguration. Sobald das Setup abgeschlossen ist, kann die Automation Engine mit dem Passworttresor kommunizieren.

Einen REST-Endpunkt verwenden

CyberArk ermöglicht es Ihnen auch, einen REST-Endpunkt zum Abrufen der Kennwörter aus dem Tresor zu verwenden. Optional können Sie TLS/SSL verwenden, um die Verbindung zum REST-Endpunkt abzusichern, oder Mandantenzertifikate verwenden, um den Mandanten bei CyberArk zu authentifizieren (in diesem Fall die Automation Engine). Sie können den REST-Endpunkt, den Sie erreichen möchten, mithilfe des Parameters REST der Variablen UC_VAULT_CYBERARK definieren. Weitere Informationen finden Sie unter UC_VAULT_CYBERARK – Passworttresor-Konfiguration.

Wichtig!

• Die CN-Definition (Common Name) im Zertifikat muss mit dem Host übereinstimmen, der im REST-Parameter der Variablen UC_VAULT_CYBERARK definiert wurde. Andernfalls schlägt die Authentifizierung fehl.

• Die meisten Unternehmen haben eine Zertifikatsrichtlinie, die angibt, welche Zertifikatstypen verwendet werden und wer im Unternehmen für die Installation, Verteilung und Verwaltung der Zertifikate verantwortlich ist. Als Administrator von Automic Automation müssen Sie diese Rolle nicht übernehmen. Sie müssen nur sicherstellen, dass alle Anforderungen erfüllt werden und Sie die Ressourcen Ihres Unternehmens verwenden, um Zertifikate zu verwenden.

Wenn Sie von einer internen oder öffentlichen Zertifizierungsstelle (CA) signierte Zertifikate verwenden, achten Sie darauf, dass Sie die für Ihr Unternehmen festgelegten Richtlinien befolgen.

Wenn Sie selbstsignierte Zertifikate verwenden, können Sie diese Zertifikate in der Datenbank der Automation Engine im Speicherobjekt UC_TRUSTEDCERTS speichern. Dieses Objekt wird mit Mandant 0 bereitgestellt und ermöglicht Ihnen das Hochladen der relevanten Zertifikatsdateien. Weitere Informationen finden Sie unter UC_TRUSTEDCERTS - Speicherobjekt.

Hinweis: Selbstsignierte Zertifikate müssen das Format .pem verwenden.

Die Automation Engine kann sich bei CyberArk mit Zertifikaten über gegenseitiges TLS/SSL authentifizieren. In einer lokalen Installation richten Sie gegenseitiges TLS/SSL ein, indem Sie die folgenden Parameter im Abschnitt [TLS] der INI-Datei der AE (ucsrv.ini) definieren:

• mutualAuthenticationKeystore= Pfad und Datei, unter dem bzw. in der der Keystore für die gegenseitige TLS/SSL-Authentifizierung gespeichert ist

  Standardwert: ./mutualTlsKeystore.p12

  Wenn dieser Parameter nicht festgelegt ist, verwendet das System die Definition des Parameters keystore.

• mutualAuthenticationKeystorePassword= Passwort für die Keystore-Datei

  Standardwert: changeit

  Wenn dieser Parameter nicht festgelegt ist, verwendet das System die Definition des Parameters keystorePassword.

• mutualAuthenticationKeyPassword= Passwort für den Schlüssel

  Standardwert: changeit

  Wenn dieser Parameter nicht festgelegt ist, verwendet das System die Definition des Parameters keyPassword.

• mutualAuthenticationKeyAlias= Alias, der für den Schlüssel für die gegenseitige Authentifizierung verwendet wird

  Wenn dieser Wert nicht definiert ist oder leer gelassen wird, versucht das System nicht, eine gegenseitige Authentifizierung durchzuführen.

Zum Einrichten von CyberArk für eine Umgebung mit Automic Automation Kubernetes Edition müssen Sie vor der Installation den geheimen Schlüssel mutual-tls-cert Kubernetes erstellen. Der geheime Schlüssel enthält das Paar aus privatem Schlüssel und Zertifikat, das die Automation Engine gegenüber CyberArk identifiziert. Weitere Informationen finden Sie unter Einrichten von CyberArk für AAKE.

CyberArk-Konten

Ein CyberArk-Konto mit Anmeldeinformationen muss eindeutig im Tresor zugeordnet werden können, unter Verwendung der Informationen in der Variablen UC_VAULT_CYBERARK oder im Login-Objekt. Die folgenden Attribute können verwendet werden, um ein Konto im Tresor abzugleichen:

• Safe(s): kann in der Spalte Kennwortwert des Login-Objekts angegeben werden.

• Object: Kann als Agentenname im Login-Objekt verwendet werden.

• AppID: Wird in der Variablen UC_VAULT_CYBERARK konfiguriert.

• UserName: Wird im Login-Objekt angegeben.

Hinweis: Agentennamen sind in Automic Automation eindeutig. Wenn der Parameter USEOBJECT in der Variablen UC_VAULT_CYBERARK auf Yes gesetzt ist, können Sie die Agentennamen als Objekt-IDs oder Namen für das Tresorkonto verwenden. Die automatische Generierung von Namen sollte deaktiviert werden.

In der Regel enthält jedes CyberArk-Konto die Anmeldeinformationen von genau einem Automic Automation-Agenten. Ausgenommen sind JMX-Agenten, die Besonderheiten aufweisen und jeweils drei Konten für ein und denselben Agenten benötigen. In diesem Fall müssen die Anmeldeinformationen im folgenden Format eingestellt werden:

• Konto 1: JMX_<username>_USERPASS

• Konto 2: JMX_<username>_KEYSTOREPASS

• Konto 3: JMX_<username>_TRUSTSTOREPASS

Mehr Informationen:

• Login (LOGIN)
• UC_VAULT_CYBERARK – Passworttresor-Konfiguration

CyberArk: Caching und Leistung

Caching ist auch bei Verwendung von CyberArk möglich. Falls der Kennwort-Abruf fehlschlägt, verwendet die Automation Engine die letzten bekannten Benutzerinformationen, die vom lokalen Mandanten im Cache zwischengespeichert wurden.

Standardmäßig wird der Cache alle 180 Sekunden aktualisiert und mit dem Tresor synchronisiert. Sie können dieses Intervall ändern, indem Sie den Parameter CacheRefreshInterval im CyberArk-Dienstprogramm appprvmgr für den lokalen Mandanten ändern. Sie können das Caching auch deaktivieren. In diesem Fall wird direkt auf den Tresor zugegriffen, um alle Anmeldeinformationen abzurufen.

Wenn der lokale Mandant nicht verfügbar ist, die Automation Engine keine Berechtigung hat das Kennwort abzurufen, oder das Kennwort im Tresor den Status Kennwortänderung in Bearbeitung hat, schlagen alle Kennwortanfragen für dieses spezielle Kennwort fehl. Der Benutzer erhält eine Meldung (letzte Meldung des Jobs) mit den relevanten Informationen und der jeweilige Status des Jobs wird auf FAULT_OTHER gesetzt. Weitere Informationen finden Sie unter System-Rückgabewerte von ausführbaren Objekten.

CyberArk: Authentifizierung

Die Automation Engine verwendet ihre eindeutige Anwendungs-ID, wie sie im Tresor definiert ist, um die Anmeldeinformationen anzufordern. Der lokale Mandant überprüft, ob die im Tresor definierten Anwendungsdetails (Pfad, Hash, Betriebssystem) mit denen der Laufzeitanwendung übereinstimmen. Wenn sie übereinstimmen, erhält der Benutzer die Berechtigung für den Tresor, der lokale Mandant ruft das Kennwort ab und gibt es an die Automation Engine weiter.