automation-cloud-public-sector

latest

false

Wichtig :

Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Automation Cloud – Öffentlicher Sektor – Administratorhandbuch

Letzte Aktualisierung 25. Sep. 2025

ALE mit kundenseitig verwalteten Schlüsseln

Warnung:

Die Aktivierung dieser Funktion hat schwerwiegende Auswirkungen auf den Datenzugriff. Sollten Probleme mit dem Schlüssel auftreten, besteht die Gefahr, dass Sie den Zugriff auf Ihre Daten verlieren.

In der folgenden Tabelle werden häufige problematische Szenarien und deren Lösungen beschrieben.

Szenario	Lösung
Ihre Anmeldeinformationen für den Zugriff auf Azure Key Vault (AKV) sind abgelaufen oder wurden gelöscht.	Wenn Sie sich immer noch mit Ihrer E-Mail-Adresse und Ihrem Kennwort anmelden können (kein SSO) … … und wenn Sie ein Organisationsadministrator sind , können Sie Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Admin der Organisation aktualisieren. … und wenn Sie kein Organisationsadministrator sind, können Sie über ein Support-Ticket darum bitten, in eine Administratorrolle befördert zu werden; können Sie dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Administrator der Organisation aktualisieren . Wenn Sie sich nicht mehr anmelden können, geben Sie Ihre Organisations-ID über ein Supportticket an. Wir können Sie dann als Administrator einladen und befördern. Sie können dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Seite Administrator der Organisation aktualisieren . Sobald Sie wieder Zugang zu den Anmeldeinformationen haben, empfehlen wir Ihnen, einen neuen AKV-Schlüssel und Anmeldedatensatz zu erstellen. Anschließend konfigurieren Sie den kundenseitig verwalteten Schlüssel mit diesen neuen Informationen, um sicherzustellen, dass niemand sonst Zugriff auf Ihre Anmeldeinformationen hat.
Ihr AKV-Schlüssel ist abgelaufen.	Ihr kundenseitig verwalteter Schlüssel funktioniert weiterhin, aber wir empfehlen Ihnen, zu einem neuen Schlüssel zu wechseln.
Ihr AKV-Schlüssel wurde gelöscht.	Sie können Ihren AKV-Schlüssel während des Aufbewahrungszeitraums über das Azure-Portal wiederherstellen.
Ihr AKV-Schlüssel wurde entfernt, aber eine Sicherung war vorhanden.	Sie können den Schlüssel aus der Azure-Portalsicherung wiederherstellen. Standardmäßig hat der wiederhergestellte Schlüssel dieselbe ID wie der ursprüngliche Schlüssel, die Sie nicht ändern sollten.
Ihr AKV-Schlüssel wurde entfernt und es war keine Sicherung vorhanden.	Warnung: Für dieses Szenario gibt es keine Lösung. In dieser Situation gehen Ihre UiPath®-Kundendaten verloren.

Überblick

Zusätzlich zur Standard-TDE auf Speicherebene verwenden bestimmte Dienste auch Implicit Application-Level Encryption (ALE). Die Daten werden also bereits auf der Anwendungsebene verschlüsselt, bevor sie gespeichert werden, was eine zusätzliche Sicherheitsebene darstellt.

Darüber hinaus bieten einige Dienste/Ressourcen eine optionale, benutzergesteuerte Verschlüsselung an, die als „Optional (Opt in) ALE“ bezeichnet wird. Dies gibt Ihnen die Möglichkeit, zu entscheiden, ob diese Dienste/Ressourcen ALE verwenden sollen oder nicht. Die Liste der Dienste oder Ressourcen und der für sie relevanten Verschlüsselungstypen finden Sie auf der Seite Verschlüsselte Daten in unserer Dokumentation.

Bei Diensten mit ALE, entweder implizit oder optional, haben Sie die Möglichkeit, auszuwählen, wer den Verschlüsselungsschlüssel verwaltet. Dies kann entweder von UiPath oder von Ihnen selbst verwaltet werden. Dazu unterstützt Azure Key Vault die Versionierung von Geheimnissen, so dass Sie ein Geheimnis generieren können, das Sie bei der Konfiguration Ihres Schlüssels auf Organisationsebene verwenden können.

Nachdem Sie den kundenseitig verwalteten Schlüssel aktiviert haben, werden zuvor gesicherte Daten nicht erneut verschlüsselt und alle vorhandenen Sicherungen werden nach ihrem Ablauf entfernt. Mit dieser Option werden nur neue Daten verschlüsselt.

Erläuterungen zu kundenverwalteten Schlüsseln

In der kundenseitig verwalteten Schlüsselarchitektur verschlüsseln UiPath-Produkte oder Plattformdienste (z. B. der UiPath Orchestrator oder UiPath Identity Service) im Allgemeinen sensible Kundendaten, bevor sie gespeichert werden. Wenn Datenzugriff erforderlich ist, ruft das Produkt oder der Dienst Ihre Schlüsselverwaltungsinfrastruktur auf, um den Entschlüsselungsschlüssel zu erhalten. Dadurch haben Sie die Kontrolle über die verschlüsselten Daten in UiPath, da Sie die Rückgabe des Schlüssels ablehnen können.

Dieser Prozess umfasst die folgenden Komponenten:

Der Schlüsselverwaltungsdienst (Key Management Service, KMS) – dies ist das interne Tool von UiPath, das für die Verschlüsselung von Schlüsseln entwickelt wurde.
Der Datenverschlüsselungsschlüssel (DEK oder KMS DEK) – wird zum Verschlüsseln von Klartextdaten verwendet. Im Allgemeinen wird der DEK vom KMS oder vom internen Schlüsseltresor von UiPath generiert und nirgendwo im Klartext gespeichert.
Der Schlüsselverschlüsselungsschlüssel (KEK) – wird zum Verschlüsseln des DEK verwendet. Das Verschlüsseln eines Schlüssels wird als Schlüsselverpackung bezeichnet. Im Allgemeinen wird der KEK von Ihnen generiert, in Ihrem Schlüsseltresor gespeichert und stellt den tatsächlichen kundenseitig verwalteten Schlüssel dar, der von Ihrem Schlüsselverwaltungsdienst gesteuert wird.
Der verschlüsselte Datenverschlüsselungsschlüssel (EDEK) – dies ist der DEK, der vom KEK verpackt wird. In der Regel wird dieser Schlüssel vom Dienstanbieter (z. B. dem Orchestrator) gespeichert; folglich ruft der Dienst immer dann, wenn er auf verschlüsselte Daten zugreifen muss, den Schlüsselverwaltungsdienst des Kunden auf, um den KEK zu erhalten, der zum Entschlüsseln des EDEK benötigt wird, und um den DEK zu erzeugen, der dann zum Entschlüsseln der Daten verwendet wird.
Der interne Schlüssel von UiPath – wird zum Verschlüsseln von Datenspalten verwendet, einschließlich des CMK und des KMS DEK.

Dieses Diagramm veranschaulicht, wie die verschiedenen Komponenten, die an der Aktivierung von kundenseitig verwalteten Schlüsseln beteiligt sind, zusammenarbeiten:

Aktivieren des kundenverwalteten Schlüssels

Wichtig:

Die Aktivierung von kundenseitig verwalteten Schlüsseln (CMK) hat erhebliche Auswirkungen auf den Datenzugriff. Wenn der Schlüssel nicht mehr verfügbar oder falsch konfiguriert ist, verlieren Sie möglicherweise den Zugriff auf Ihre Daten.

Wenn Sie Ihren Schlüssel verlieren, können Sie keine Verbindung mehr zum Tresor herstellen. Sie sollten daher gemäß den Sicherheitsrichtlinien Ihrer Organisation immer eine Sicherung des Schlüssels im Azure-Portal oder in einem von Azure getrennten sicheren Schlüsseltresor erstellen.

Der Azure Key Vault muss in der Microsoft Azure Government-Cloud gehostet werden, um die Anforderungen der Cloudgrenzen zu erfüllen.

Um kundenseitig verwaltete Schlüssel zu aktivieren, müssen Sie die Microsoft Entra ID-Anwendung, die Automation Cloud^{TM –} Öffentlicher Sektor darstellt, für den Zugriff auf den Schlüsselverschlüsselungsschlüssel in Ihrem Azure Key Vault konfigurieren.

Sie können eine der folgenden Methoden auswählen, um die Microsoft Entra ID-Anwendung zu konfigurieren:

(Empfohlen) Automatisierte Einrichtung: Verwenden Sie die von UiPath verwaltete Microsoft Entra-ID-Anwendung (Modell mit mehreren Mandanten) für die folgenden Vorteile:
- Keine geheimen Schlüssel oder Zertifikate zu verwalten.
- Schnelle und zuverlässige Einrichtung.
- UiPath verwaltet die Microsoft Entra ID-Anwendung für Sie.
Manuelle Einrichtung mit einer benutzerdefinierten Microsoft Entra ID-Anwendungsregistrierung: Verwenden Sie Ihre eigene Microsoft Entra ID-Anwendung und verwalten Sie deren Konfiguration manuell, mit den folgenden Überlegungen:
- Sie müssen Anwendungsanmeldeinformationen erstellen und verwalten.
- Anmeldeinformationen laufen ab und müssen regelmäßig aktualisiert werden.
- Wenn die Anmeldeinformationen nicht vor ihrem Ablauf aktualisiert werden, wird die Anmeldung für Benutzer blockiert.

Automatisierte Einrichtung mit von UiPath verwalteter Microsoft Entra ID-Anwendung (empfohlen)

Verwenden Sie diese Methode, wenn Sie die Konfiguration vereinfachen und die Verwaltung von Geheimnissen oder Zertifikaten vermeiden möchten. UiPath empfiehlt diesen Ansatz für die meisten Organisationen.

Wenn Sie ein Microsoft Entra-ID und ein Administrator der Automation Cloud^{TM –} Öffentlicher Sektor sind, dann

Wenn Sie sowohl ein Microsoft Entra ID-Administrator als auch ein Automation Cloud^{TM –} Öffentlicher Sektor- Administrator sind, führen Sie die folgenden Schritte aus, um die Integration mithilfe der von UiPath verwalteten Anwendung mit mehreren Mandanten zu konfigurieren:

Wechseln Sie in Automation Cloud^{TM –} Öffentlicher Sektor zu Administrator > Sicherheit > Verschlüsselung.
Wählen Sie Kundenseitig verwalteter Schlüssel aus und bestätigen Sie die Auswahl, indem Sie Ihren Organisationsnamen in das Bestätigungsdialogfeld eingeben.
Wählen Sie Von UiPath verwaltete Anwendung mit mehreren Mandanten (empfohlen) aus.
Wählen Sie Zustimmung gewähren aus und melden Sie sich dann mit Ihrem Microsoft Entra ID-Konto an.

Nachdem Sie Ihre Zustimmung erteilt haben, erstellt Automation Cloud^{TM –} Öffentlicher Sektor eine Microsoft Entra ID-Anwendung in Azure, die Ihre Organisation darstellt.
Erstellen Sie Ihren Schlüsselverschlüsselungsschlüssel und richten Sie Azure Key Vault ein.
Geben Sie den Azure Key Vault-Schlüssel-URI des Schlüsselverschlüsselungsschlüssels ein.
- Wenn Sie einen versionlosen Schlüssel-URI angeben, verwendet Automation Cloud^{TM –} Öffentlicher Sektor automatisch die neueste Schlüsselversion (Schlüsselrotation aktiviert).
- Wenn Sie einen Schlüssel-URI mit Versionsangabe angeben, verschlüsselt Automation Cloud^{TM –} Öffentlicher Sektor alle Daten mit dieser spezifischen Schlüsselversion.
Wählen Sie Testen und speichern aus, um die Integration zu aktivieren.

Wenn ein Fehler auftritt, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.

Nur wenn Sie ein Administrator der Automation Cloud^{TM –} Öffentlicher Sektor sind

Wenn Sie keine Administratorrechte in Microsoft Entra ID haben, aber ein Automation Cloud^{TM –} Öffentlicher Sektor- Administrator sind, führen Sie die folgenden Schritte aus, um die Zustimmung des Administrators anzufordern und die Integration abzuschließen:

Wechseln Sie in Automation Cloud^{TM –} Öffentlicher Sektor zu Administrator > Sicherheit > Verschlüsselung.
Wählen Sie Customer managed key aus und bestätigen Sie die Auswahl, indem Sie Ihren Organisationsnamen in das Bestätigungsdialogfeld eingeben.
Wählen Sie Von UiPath verwaltete Anwendung mit mehreren Mandanten (empfohlen) aus.
Wählen Sie Zustimmung gewähren aus und melden Sie sich dann mit Ihrem Microsoft Entra ID-Konto an.

Da Sie keine Microsoft Entra ID-Administratorrechte haben, sollte eine der folgenden Eingabeaufforderungen angezeigt werden:
1. Genehmigung anfordern, wie in der Microsoft-Dokumentation dargestellt: Genehmigung des Administrators anfordern. Nachdem Ihr Microsoft Entra ID-Administrator die Anforderung genehmigt hat, fahren Sie mit dem nächsten Schritt fort.
2. Erfordert die Genehmigung des Administrators, wie in der Microsoft-Dokumentation dargestellt: Bitten Sie Ihren Microsoft Entra ID-Administrator, die folgenden Schritte auszuführen:
  1. Navigieren Sie zu dieser URL , um die Zustimmungsaufforderung für Microsoft Entra ID zu öffnen.
  2. Wählen Sie Zustimmung im Namen Ihrer Organisation aus und dann Akzeptieren.
Nachdem Sie die Bestätigung erhalten haben, dass die Administratorzustimmung erteilt wurde, erstellen Sie Ihren Verschlüsselungsschlüssel und richten Sie Azure Key Vault ein. Kehren Sie dann zu Automation Cloud^{TM –} Öffentlicher Sektor zurück und wiederholen Sie die Schritte 1 bis 4.
- Eine erfolgreiche Anmeldung zeigt an, dass die Integration korrekt konfiguriert ist.
- Wenn die Anmeldung fehlschlägt, bitten Sie Ihren Microsoft Entra ID-Administrator, zu überprüfen, ob die Zustimmung ordnungsgemäß erteilt wurde.
Geben Sie den Azure Key Vault-Schlüssel-URI des Schlüsselverschlüsselungsschlüssels ein.
- Wenn Sie einen versionierbaren Schlüssel-URI angeben, ist die automatische Schlüsselrotation aktiviert und Automation Cloud^{TM –} Öffentlicher Sektor verwendet die neueste Schlüsselversion.
- Wenn Sie einen Schlüssel-URI mit Versionsangabe angeben, verschlüsselt Automation Cloud^{TM –} Öffentlicher Sektor alle Daten mit dieser spezifischen Schlüsselversion.
Wählen Sie Testen und speichern aus, um die Integration zu aktivieren.

Wenn ein Fehler auftritt, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.

Manuelles Setup mit benutzerdefinierter Microsoft Entra ID-Anwendungsregistrierung

Wenn Sie es vorziehen, Ihre eigene Microsoft Entra ID-Anwendung zu konfigurieren, anstatt die von UiPath verwaltete Mehrfach-Mandantenanwendung zu verwenden, führen Sie die folgenden Schritte aus. Diese Option erfordert die Verwaltung Ihrer eigenen Anmeldeinformationen und deren Pflege im Laufe der Zeit.

Wichtig: Anmeldeinformationen, die bei der manuellen Einrichtung erstellt wurden, laufen regelmäßig ab. Sie müssen sie vor Ablauf erneuern, um Dienstunterbrechungen zu vermeiden. Um diesen betrieblichen Mehraufwand zu reduzieren, sollten Sie das automatisierte Setup mit der von UiPath verwalteten Entra ID-Anwendung verwenden.

Erstellen Sie die Microsoft Entra ID-App-Registrierung.
1. Wechseln Sie im Microsoft Entra Admin Center zu App-Registrierungen > Neue Registrierung.
2. Geben Sie einen Namen ein, z. B. Automation Cloud – Öffentlicher Sektor, oder verwenden Sie einen Namen Ihrer Wahl.
3. Legen Sie Unterstützte Kontotypen auf Nur Konten in diesem Organisationsverzeichnis fest.
4. Schließen Sie die Registrierung ab.
Anmeldeinformationen erstellen.
Wechseln Sie in Ihrer App-Registrierung zu Zertifikate und Geheimschlüssel und wählen Sie eine der folgenden Methoden aus:
- So verwenden Sie einen geheimen Clientschlüssel:
  1. Wählen Sie Neuer geheimer Clientschlüssel aus.
  2. Speichern Sie den generierten geheimen Wert. Sie werden sie später benötigen.
- So verwenden Sie ein Zertifikat:
  1. Navigieren Sie in einer neuen Browserregisterkarte zu Azure Key Vault.
  2. Erstellen eines Zertifikats:
    - Betreff: CN=uipath.com
    - Inhaltstyp: PEM
    - Maximale Größe: weniger als 10 KB
  3. Laden Sie das Zertifikat im Format .pem herunter.
  4. Öffnen Sie die Datei .pem in einem Texteditor. Es sollte die folgenden Abschnitte enthalten:
    - -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
    - -----ZERTIFIKAT BEGIN -----/----ENDE-ZERTIFIKAT-----
  5. Erstellen Sie eine neue .pem -Datei, die nur die Zeilen zwischen BEGIN CERTIFICATE und END CERTIFICATE enthält.
  6. Laden Sie im Abschnitt Zertifikate und Geheimschlüssel Ihrer App-Registrierung diese neue .pem -Datei hoch.
  7. Behalten Sie eine Kopie des Zertifikats bei. Sie benötigen sie später, um die Integration abzuschließen.
Wichtig:
Die meisten Anmeldeinformationstypen laufen mit der Zeit ab. Um Probleme bei der Benutzeranmeldung zu vermeiden, aktualisieren Sie die Konfiguration, bevor die Anmeldeinformationen ablaufen.

Um diesen Mehraufwand zu vermeiden, verwenden Sie das automatisierte Setup mit der von UiPath verwalteten Microsoft Entra ID-Anwendung.
Sammeln Sie Integrationsdetails.
Sammeln Sie die folgenden Werte und stellen Sie sie dem Administrator der Automation Cloud^{TM –} Öffentlicher Sektor zur Verfügung:
- Anwendungs-ID (Client).
- Verzeichnis-ID (Mandant)
- Clientgeheimnis oder -zertifikat
Erstellen Sie Ihren Schlüsselverschlüsselungsschlüssel und richten Sie Azure Key Vault ein.
Bereiten Sie Ihren Verschlüsselungsschlüssel vor und notieren Sie sich den Azure Key Vault-Schlüsselbezeichner. Wählen Sie eines der folgenden Formate aus:
- Versionsloser Schlüssel-URI: Aktiviert die automatische Schlüsselrotation. Automation Cloud^{TM –} Öffentlicher Sektor verwendet immer die neueste Schlüsselversion.
- Versionierter Schlüssel-URI: Sperrt die Verschlüsselung auf eine bestimmte Schlüsselversion. Automation Cloud^{TM –} Öffentlicher Sektor verschlüsselt alle Daten mit dieser Version.
Aktivieren Sie die Integration in Automation Cloud^{TM –} Öffentlicher Sektor.
1. Melden Sie sich als Administrator bei Automation Cloud^{TM –} Öffentlichen Sektor an.
2. Gehen Sie zu Administrator > Sicherheit > Verschlüsselung.
3. Wählen Sie Kundenseitig verwalteter Schlüssel aus und bestätigen Sie die Auswahl, indem Sie Ihren Organisationsnamen eingeben.
4. Wählen Sie Benutzerdefinierte Anwendungsregistrierungs-ID und den geheimen Schlüssel aus.
5. Geben Sie die folgenden Details ein, die zuvor gesammelt wurden:
  - Verzeichnis-ID (Mandant)
  - Anwendungs-ID (Client).
  - Clientgeheimnis oder -zertifikat
  - Azure Key Vault-Schlüsselbezeichner
6. Wählen Sie Testen und speichern aus, um die Integration zu aktivieren.
  
  Wenn Sie eine Fehlermeldung erhalten, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.

Erstellen des Schlüsselverschlüsselungsschlüssels und Einrichten von Azure Key Vault

Bevor Sie beginnen, überprüfen Sie die folgenden Anforderungen und Empfehlungen für die Verwendung von Azure Key Vault mit Automation Cloud^{TM –} Öffentlicher Sektor.

Sie können den Key Vault in jeder Region erstellen, aber wir empfehlen, dieselbe Region wie Ihre Automation Cloud^{TM –} Öffentlicher Sektor -Organisation zu verwenden.
UiPath erfordert Zugriff auf den Key Vault, der für den kundenseitig verwalteten Schlüssel verwendet wird. Um den Scope zu begrenzen, empfehlen wir, einen eigenen Tresor für diesen Zweck zu erstellen.
Die Funktion funktioniert mit jeder Schlüsselgröße, die von Azure Key Vault unterstützt wird.
Um kryptografische Vorgänge auszuführen, müssen Sie die Berechtigungen Schlüssel verpacken und Schlüssel entpacken erteilen. Diese Berechtigungen sind unabhängig davon erforderlich, ob Sie Azure RBAC (Role-Based Access Control) oder Key Vault-Zugriffsrichtlinien zur Verwaltung des Zugriffs verwenden.

Führen Sie die folgenden Schritte aus, um einen Schlüsselverschlüsselungsschlüssel zu erstellen und Azure Key Vault zu konfigurieren:

Wechseln Sie im Microsoft Azure-Portal zu Azure Key Vault und wählen Sie entweder einen vorhandenen Tresor aus oder erstellen Sie einen neuen.
Erstellen Sie einen neuen Schlüssel und kopieren Sie die Schlüssel-URI. Sie benötigen den URI, um ihn in Automation Cloud^{TM –} Öffentlicher Sektor zu konfigurieren.
Wählen Sie eine der folgenden Optionen für den Schlüssel-URI:
- Versionsloser Schlüssel-URI: Aktiviert die automatische Schlüsselrotation. Automation Cloud^{TM –} Öffentlicher Sektor verwendet immer die neueste Version des Schlüssels.
- Versionierter Schlüssel-URI: Sperrt die Verschlüsselung auf eine bestimmte Schlüsselversion. Automation Cloud^{TM –} Öffentlicher Sektor verschlüsselt alle Daten mit dieser Version.
Gewähren Sie Zugriff auf die zuvor erstellte Microsoft Entra ID-Anwendung.
Verwenden Sie entweder Azure RBAC- oder Key Vault-Zugriffsrichtlinien, um die erforderlichen Berechtigungen zu gewähren.
Kehren Sie zu Automation Cloud^{TM –} Öffentlicher Sektor zurück, um die Konfiguration abzuschließen.

Bearbeiten des kundenverwalteten Schlüssels

Sobald Sie diese Option aktivieren, können Sie auch alle Details im Zusammenhang mit der Verbindung bearbeiten. Wählen Sie dazu unter der Option Kundenseitig verwalteter Schlüssel die Option Verbindung bearbeiten aus und ändern Sie alle Informationen nach Bedarf.

Schlüsselrotation

Es empfiehlt sich, Ihre Schlüssel routinemäßig zu rotieren, um den kontinuierlichen Schutz Ihrer verschlüsselten Daten vor möglichen Sicherheitsverletzungen zu gewährleisten.

Manuelle Schlüsselrotation

Bei der manuellen Schlüsselrotation muss die gesamte CMK-Konfiguration geändert werden. Sie können die gesamte Konfiguration ändern, es wird jedoch empfohlen, nur den Schlüsselbezeichner oder die Schlüsselversion zu ändern, um grundlegende Änderungen zu minimieren.

Führen Sie die folgenden Schritte aus, um die manuelle Schlüsselrotation durchzuführen:

Erstellen Sie einen neuen Schlüssel in Azure Key Vault, den Sie zuvor konfiguriert haben.
Wechseln Sie in Ihrer Automation Cloud^{TM –} Öffentlicher Sektor zu Administrator > Sicherheit.
Wählen Sie unter Kundenseitig verwalteter Schlüssel die Option Verbindung bearbeiten aus.
Ersetzen Sie den vorhandenen Schlüsselbezeichner durch den neuen Schlüssel-URI.

Hinweis: Die Schlüsselrotation funktioniert nur, wenn sowohl der alte Schlüssel als auch der neue Schlüssel gültig bleiben.

Automatische Schlüsselrotation

Die automatische Schlüsselrotation ermöglicht es Automation Cloud^{TM –} Öffentlicher Sektor, die neueste Version Ihres Schlüssels automatisch basierend auf der in Azure Key Vault definierten Rotationsrichtlinie zu verwenden. Dieser Ansatz reduziert den manuellen Aufwand und verbessert die Sicherheit.

Führen Sie die folgenden Schritte aus, um die automatische Schlüsselrotation zu aktivieren:

Erstellen Sie in Azure Key Vault eine Rotationsrichtlinie für Ihren Schlüssel.
Wechseln Sie in der Automation Cloud zur Konfiguration des kundenseitig verwalteten Schlüssels und geben Sie den Bezeichner des versionierten Schlüssels an.

Konfigurationsschritte finden Sie unter Aktivieren des kundenseitig verwalteten Schlüssels.
Nach jeder Schlüsselrotation im Azure Key Vault ruft Automation Cloud^{TM –} Öffentlicher Sektor automatisch die neueste Schlüsselversion ab und wendet sie an.
Automation Cloud^{TM –} Öffentlicher Sektor sucht automatisch jede Stunde auf neue Schlüsselversionen. Wenn eine neue Version verfügbar wird, wird sie abgerufen und angewendet, ohne dass manuelle Aktualisierungen erforderlich sind.

Wichtig:

Deaktivieren oder ändern Sie keine Zugriffsberechtigungen für ältere Schlüsselversionen. Sowohl die vorherige als auch die aktuelle Schlüsselversion müssen zugänglich bleiben, um während des Rotationsprozesses einen ununterbrochenen Zugriff auf die verschlüsselten Daten aufrechtzuerhalten.
Sie können sowohl manuelle Änderungen an der kundenseitig verwalteten Schlüsselkonfiguration anzeigen, z. B. Aktualisierungen des Schlüsselbezeichners, als auch automatische Schlüsselrotationsereignisse im Abschnitt Prüfungsprotokolle unter Administrator in Automation Cloud^{TM –} Öffentlicher Sektor .

Lizenz-Downgrade

Wenn Ihr Enterprise- Plan abläuft, werden Sie automatisch auf einen Status herabgestuft, in dem Sie nur noch anzeigen können. Folgendes können Sie in Bezug auf die Datenverschlüsselung erwarten:

Die Option Kundenseitig verwalteter Schlüssel ist immer noch für Sie aktiviert, aber in der Benutzeroberfläche ausgegraut. Daher können Sie die Werte nicht mehr bearbeiten, z. B. die Details des Schlüsseltresors ändern.
Sie können zum verwalteten UiPath-Schlüssel (Standard) wechseln, aber Sie können erst dann zum kundenseitig verwalteten Schlüssel zurückkehren, wenn Ihr Plan auf Enterprise aktualisiert wurde.

Best Practices für die Verwendung von kundenseitig verwalteten Schlüsseln

Bevor Sie mit der Verwendung von kundenseitig verwalteten Schlüsseln beginnen, müssen Sie einige wichtige Details beachten:

Sobald Sie im Rahmen der Schlüsselrotation einen neuen Schlüssel verwenden, kann der alte nicht mehr für den Zugriff und die Verschlüsselung von Daten verwendet werden. Daher ist es wichtig, alte Schlüssel im Schlüsseltresor aufzubewahren, d. h. sie zu deaktivieren, anstatt sie zu löschen. Dies ist besonders wichtig in Notfallwiederherstellungsszenarien, in denen UiPath möglicherweise zu einer Sicherung einer älteren Version der Datenbank zurückkehren muss. Wenn diese Sicherung einen Ihrer alten Schlüssel verwendet, können Sie zu diesem wechseln, um den Datenzugriff wiederherzustellen.

Wenn Sie einen Schlüssel entfernen möchten, ist es wichtig, dass Sie die Funktion zum vorläufigen Löschen verwenden.
Wenn Sie Ihren Schlüssel verlieren, können Sie keine Verbindung mehr zum Tresor herstellen. Sie sollten daher gemäß den Sicherheitsrichtlinien Ihrer Organisation immer eine Sicherung des Schlüssels im Azure-Portal oder in einem von Azure getrennten sicheren Schlüsseltresor erstellen.
Wenn Sie Single Sign-On für den Zugriff auf UiPath-Dienste nutzen, können Sie erwägen, ein lokales Konto zu erstellen, das als Break-Glass-Konto fungiert. Da die Informationen des externen Identitätsanbieters in den Daten enthalten sind, die durch den kundenseitig verwalteten Schlüssel verschlüsselt werden, ist kein Zugriff auf SSO-Konten möglich, sollte Ihr Schlüsseltresor nicht mehr erreichbar sein.
Aus Sicherheitsgründen sollten Benutzer, die nicht über Administratorrechte auf oberster Ebene verfügen, keine Bereinigungsrechte für den kundenseitig verwalteten Schlüssel haben.
Wenn Sie nicht mehr möchten, dass UiPath auf Ihre Daten zugreifen kann, können Sie den Schlüssel aus dem Azure Key Vault deaktivieren, wie in der folgenden Abbildung gezeigt:

Erfahren Sie mehr über Azure Key Vault-Wiederherstellungsaktionen.

Auf dieser Seite

Überblick
Erläuterungen zu kundenverwalteten Schlüsseln
Aktivieren des kundenverwalteten Schlüssels
Automatisierte Einrichtung mit von UiPath verwalteter Microsoft Entra ID-Anwendung (empfohlen)
Manuelles Setup mit benutzerdefinierter Microsoft Entra ID-Anwendungsregistrierung
Erstellen des Schlüsselverschlüsselungsschlüssels und Einrichten von Azure Key Vault
Bearbeiten des kundenverwalteten Schlüssels
Schlüsselrotation
Manuelle Schlüsselrotation
Automatische Schlüsselrotation
Lizenz-Downgrade
Best Practices für die Verwendung von kundenseitig verwalteten Schlüsseln

War diese Seite hilfreich?

Vorherige (previous)Sitzungsrichtlinie

WeiterWechsel von kundenverwalteten zu UiPath-verwalteten Schlüsseln

Support und Services

Hilfe erhalten

UiPath Academy

RPA lernen – Automatisierungskurse

UiPath-Forum

UiPath Community-Forum

Vertrauen und Sicherheit

Nutzungsbedingungen

Datenschutzerklärung

Cookie-Richtlinie