ロボット エージェントのサービスアカウントを変更する

ロボット エージェントサービスを実行する Windows ドメインアカウントを変更すると、組織のロボットインスタンスの設定に影響を与える可能性があります。RSA キー(暗号化キー)を現在のサービスアカウントから新しいサービスアカウントにコピーすることで、影響を最小限に抑えることができます。

RSA キーは、ロボット エージェントの登録に使用する登録キーファイル(registration.key)とは別物です。2 つの鍵は、登録と接続の異なる段階で使用される別のオブジェクトです。

メモ

このトピックの情報は、オンプレミスのロボットエージェントを使用して、ACL ロボットで ACLスクリプトを実行する組織にのみ適用されます。

ACL Robotics Professional Edition を有する個人および組織にはオンプレミスロボット エージェントがありません。HighBond ロボットとワークフロー ロボットの Python/HCL スクリプトはロボット エージェントを使用しません。

代替方法

ロボット エージェントのサービスアカウントを変更する場合、新しいサービスアカウントでロボット エージェントを再登録する方法もあります。しかし、この方法には欠点があります。既存のロボットのタスクに保存されているパスワードがすべて削除されます。また、マルチエージェントのインストールでは、すべてのエージェントを再登録する必要があり、手間がかかります。ロボット エージェントの再登録は、Windows サーバー上の RSA キーが何らかの理由で利用できなくなった場合にのみ実行してください。詳細については、オンプレミスのロボット エージェントを手動で登録するを参照してください。

作業を開始する前に

アカウントのアクセス許可

新しいロボット エージェントのサービスアカウントに必要なアカウント権限があることを確認します。詳細については、オンプレミス ロボット エージェントのセキュリティを参照してください。

Windows サービスアカウントの推奨セキュリティ設定は、ローカルでのログオン機能を拒否することです。この後の手順では、既存のサービスアカウントと新しいサービスアカウントを使用してロボット エージェントサーバーにログオンすることも可能です。この方法を利用する場合は、一時的にローカルにログオンする権利をアカウントに与え、終了後にその権利を失効させることができます。

パスワード

既存のロボット エージェントのサービスアカウントと新しいアカウントのパスワードが必要です。

ロボット エージェントの RSA キーを新しいサービスアカウントにコピーします。

ロボット エージェントサーバー上の 2 つの Windows アカウント間で RSA キーをコピーするには、それぞれのアカウントに管理者としてログオンする必要があります。また、IT 担当者が管理者としてサーバーにログオンし、ロボット エージェントのサービスアカウントになりすますことも可能です。

ロボット アプリから RSA キーの名前を取得

  1. Diligent One(www.highbond.com)にサインインします。
  2. Launchpad ホームページの[監査とアナリティクス]の下で、ロボット アプリをクリックします。
  3. ダッシュボードの右上隅で[設定]をクリックします。
  4. 左側のペインで、[エージェント管理]が選択されていることを確認します。
  5. その他のエージェントを追加する方法]をクリックします。
  6. ]をクリックすると、RSA キーの名前がクリップボードにコピーされます。
  7. RSA キーの名前を一時的なストレージのテキストファイルに貼り付けます。

ロボット エージェントサービスを停止する

  1. ロボット エージェントがある Windows サーバーにログオンします。

    IT アカウント、または現在ロボット エージェントサービスを実行している Windows アカウントでログオンします。

  2. Windows サービスマネージャーを開き、ロボット エージェント サービスを停止します。

RSA キーをファイルにバンドルする

EncryptionKeyCLI.exeユーティリティを使用して、ファイルでロボット エージェントの RSA キーをバンドルします。

  1. Windows のコマンドプロンプトを管理者として開きます。
  2. IT アカウントを使用している場合は、次の操作を行います。
    1. 次のコマンドを実行して、現在のロボット エージェントのサービスアカウントになりすまします。
      runas /user:<domain><service_account> cmd

    2. 現在のサービスアカウントのパスワードを入力します。

      現在のロボット エージェントのサービスアカウントで実行される 2 番目のコマンドプロンプトウィンドウが開きます。この手順の残りのステップを、2 番目のコマンドプロンプトで実行します。

  3. 次のコマンドを実行して、ロボット エージェントのインストール ディレクトリに移動します。
    cd C:\Program Files (x86)\ACL Software\Robots Agent\agent

    デフォルトのディレクトリにロボット エージェントがインストールされていない場合は、適切なパスを指定してください。

  4. 次のコマンドを実行して、zip ファイルにロボット エージェント RSA キーをバンドルします。
    EncryptionKeyCLI.exe export RSAKeyfile ACL_XXXXXXXX

    ACL_XXXXXXXX には、ロボットの[エージェント管理]画面からコピーした実際の RSA キーの名前に置き換えます。

    RSAKeyfile は、指定したいファイル名にします (スペースは入れません)。任意で、サーバー上の既存のフォルダーへのファイル パスを指定できます。パスにスペースが含まれている場合は、パス全体とファイル名を二重引用符で囲みます。

  5. 必要に応じて、Y と入力して既存のファイルを上書きします。

    結果 RSA キーは、zip ファイルにバンドルされ、デフォルトの場所(C:\ProgramData\robots\RSAKeyfile.zip)または指定した場所に保存されます。

    メモ

    ProgramData フォルダーが表示されない場合は、非表示になっていることがあります。フォルダーを表示するには、Windows ファイル エクスプローラーで C:\ ルート ディレクトリの[非表示の項目]を選択します([表示]タブ > [非表示の項目])。

RSA キーを新しいサービスアカウントにコピーする

EncryptionKeyCLI.exe ユーティリティを使用し、zip ファイルからロボット エージェント RSA キーを抽出し、これを新しいサービスアカウント用に Microsoft キーストアにインポートします。

  1. IT アカウントでサーバーにログオンした場合は、次の操作を行います。
    1. IT アカウントのWindows コマンドプロンプトで、次のコマンドを実行して新しいロボット エージェントのサービスアカウントになりすまします。
      runas /user:<domain>\<service_account> cmd

    2. 新しいサービスアカウントのパスワードを入力します。

      新しいロボット エージェントのサービスアカウントで実行する、3 番目のコマンドプロンプトウィンドウが開きます。この手順の残りのステップを、3 番目のコマンドプロンプトで実行します。

  2. 現在のロボット エージェントサービスアカウントでサーバーにログオンした場合は、次の操作を行います。

    1. サーバーからログオフします。

    2. 新しいロボット エージェントのサービスアカウントでログオンします。

  3. RSAKeyfile.zip を保存先からロボット エージェントのインストール先ディレクトリに手動でコピーします。

    保存した zip ファイルのデフォルトの場所は、次のとおりです。C:\ProgramData\robots\RSAKeyfile.zip

    ロボット エージェントのデフォルトのインストールディレクトリは、次のとおりです。C:\Program Files (x86)\ACL Software\Robots Agent\agent

  4. 次のコマンドを実行して、ロボット エージェントのインストール ディレクトリに移動します。
    cd C:\Program Files (x86)\ACL Software\Robots Agent\agent

    デフォルトのディレクトリにロボット エージェントがインストールされていない場合は、適切なパスを指定してください。

  5. 次のコマンドを実行し、zip ファイルからロボットエージェント RSA キーを抽出し、これを Microsoft キーストアにインポートします。
    EncryptionKeyCLI.exe import RSAKeyfile

    zip ファイル名を RSAKeyfile にしなかった場合は、使用する名前で置き換えます。

ロボット エージェントサービスを新しいサービスアカウントに変更する

  1. Windows サービスマネージャーでロボット エージェント サービスを右クリックし、[プロパティ]を選択します。
  2. ログオン]タブで、[参照]をクリックします。
  3. ユーザーを選択]ダイアログボックスの [選択するオブジェクト名を入力してください]フィールドに、新しいサービスアカウントの名前を入力し、[名前を確認]をクリックします。

    フィールドに新しいサービスアカウントが事前入力されているはずです。

  4. OK]をクリックします。
  5. ログオン]タブで、新しいサービスアカウントのパスワードを入力および確認し、[OK]をクリックします。
  6. Windows サービスマネージャーで、ロボット エージェント サービスを再起動 (または起動) します。

新しいサービスアカウントでロボット エージェントが正常に実行していることを確認します。

新しいサービスアカウントでロボット エージェントが正常に実行していることを確認するため、2 つの確認を行います。

アプリケーションログを確認する

アプリケーション ログ ファイルを確認し、ロボット エージェントがロボット アプリに正常に接続されていることを確認します。ログファイルの末尾に、開始日時がロボット エージェントサービスの再起動と一致する INFO|Connected エントリがあるかどうかを確認します。

ログファイルのデフォルトの場所は、次のとおりです。C:\acl\robots\logs\application.log

ロボット アプリのエージェント管理画面を確認する

ロボットアプリで[エージェント管理]画面に進み、[F5]を押してページを再読み込みします。ロボット エージェントがオンライン状態で表示されていれば、新しいサービスアカウントで正常に実行しています。

一時的なアカウントの権利の取り消し

Windows サービスアカウントに一時的にローカルにログオンする権利を与えた場合、その権利を取り消したことを確認します。