automation-suite
2023.10
true
Automation Suite-Administratorhandbuch
Last updated 14. Aug. 2024

Einrichten des Verschlüsselungsschlüssels pro Mandant

Mit Microsoft Azure Key Vault können Sie jeden Mandanten in Ihrer Orchestrator-Instanz mit seinem eigenen einzigartigen Schlüssel verschlüsseln. Der Orchestrator verwendet den Key Vault, um die Schlüssel auf sichere Weise zu speichern und zu verwalten, um eine bessere Trennung Ihrer Daten zwischen Mandanten zu gewährleisten.

Orchestrator, die in der Automation Suite installiert sind, können diese Funktion nutzen, aber Sie müssen die Orchestrator-App mit dem Internet und Azure Key Vault verbinden.

Überblick

Die Authentifizierung des Orchestrators ist erforderlich, um Azure Key Vault über App-Registrierungen zu verwenden. App-Registrierungen können Anwendungen eine Reihe von Berechtigungen gewähren. In unserem Fall ist der Orchestrator die Anwendung, und Azure Key Vault ist die gewünschte Berechtigung.

Sie müssen zuerst den Zugriff von App-Registrierungen auf den Azure Key Vault konfigurieren. Die Orchestrator-Authentifizierung mit App-Registrierungen ist mit dem privaten SSL-Schlüssel eines Zertifikats mit dem öffentlichen SSL-Schlüssel möglich, der in App-Registrierungen hochgeladen wurde. Nach dem Konfigurieren der App-Registrierungen und des Key Vault müssen Sie einige Änderungen an orchestrator-customconfig configmap vornehmen, die im Automation Suite-Cluster verwendet wird, und die relevanten ArgoCD-Parameter für die Orchestrator-App in der ArgoCD-Benutzeroberfläche ändern. Sobald diese Kriterien erfüllt sind, kann der Orchestrator mit Azure Key Vault die einzelnen Mandanten verschlüsseln.

Voraussetzungen

  • Ihr eigenes Microsoft Azure Key Vault
  • Eine Neuinstallation des Orchestrator in der Automation Suite
  • Ein gültiges SSL-Zertifikat:

    • Zertifikat mit privatem Schlüssel – Es muss unter App-Dienste > SSL-Einstellungen > Zertifikate mit privatem Schlüssel hochgeladen werden.
    • Zertifikat mit öffentlichem Schlüssel – Es muss in App-Registrierung > Einstellungen > Schlüssel > Öffentliche Schlüssel hochgeladen werden.
  • (Optional) Ein selbstsigniertes Zertifikat

So konvertieren Sie die .pfx-Datei Certificate-Datei in base64, führen Sie den folgenden Befehl aus:

  • PowerShell: [convert]::ToBase64String((Get-Content -path "path_to_certificate" -Encoding byte))
  • Shell: base64 [_path_to_certificate_]
Hinweis: Verschlüsselungsschlüssel dürfen von den Benutzern nicht auf der Azure Key Vault-Seite bearbeitet werden, wie zum Beispiel Aktivieren/Deaktivieren von Geheimnissen oder Bearbeiten des Aktivierungs- und Ablaufdatums. Wenn ein Geheimnis deaktiviert wird, können die vom Orchestrator für diesen Mandanten gespeicherten Daten nicht mehr entschlüsselt werden.

Schritte bei der App-Registrierung

Führen Sie im Bereich App-Registrierungen von des Azure Portals die folgenden Schritte aus:

  1. Erstellen Sie eine neue App-Registrierung.
  2. Kopieren Sie die Anwendungs-ID (Client) für die spätere Verwendung.
  3. Gehen Sie zu Verwalten > Zertifikate und Geheimschlüssel, und laden Sie den öffentlichen SSL-Zertifikatsschlüssel hoch, der in der Voraussetzung angegeben ist.

Schritte in Verbindung mit dem Azure Key Vault

Gehen Sie im Azure Key Vault wie folgt vor:

  1. Rufen Sie die Seite Übersicht Key Vaults auf, und kopieren Sie den DNS-Namen zur späteren Verwendung.
  2. Rufen Sie die Seite Key Vaults auf, und wählen Sie Einstellungen > Zugriffsrichtlinien aus.
  3. Klicken Sie auf Zugriffsrichtlinie hinzufügen.
  4. Wählen Sie im Dropdown-Menü Aus Vorlage konfigurieren (optional) die Option Schlüssel, Geheimschlüssel- und Zertifikatsverwaltung aus.
  5. Klicken Sie im Abschnitt Autorisierte Anwendung auf Keine ausgewählt, um das Feld Prinzipal auswählen zu aktivieren.
  6. Geben Sie den App-Registrierungsnamen ein, bestätigen Sie, dass die Anwendungs-ID korrekt ist, und wählen Sie diesen Prinzipal aus.
  7. Klicken Sie auf Hinzufügen.


Notwendige Konfigurationen im Orchestrator

Nehmen Sie die folgenden Änderungen an der Konfiguration des Orchestrators vor:

  1. Konfigurieren Sie Azure Key Vault für die Orchestrator-Instanz über ArgoCD-UI-Parameter:
    1. Kopieren Sie das Base64-Formular des Zertifikats und geben Sie es als Wert für den Parameter encryptionKeyPerTenant.certificateBase64 an.
    2. Kopieren Sie ggf. das Zertifikatkennwort und geben Sie es als Wert für den Parameter encryptionKeyPerTenant.certificatePassword an.
    3. Kopieren Sie die Eingabeanwendungs-ID (Client) von der Seite App-Registrierungen und geben Sie sie als Wert für den Parameter encryptionKeyPerTenant.clientId an.
    4. Kopieren Sie die Verzeichnis-ID (Mandant) Ihrer Organisation von der Seite App-Registrierungen und geben Sie sie als Wert für den Parameter encryptionKeyPerTenant.directoryId an.
    5. Kopieren Sie den DNS-Namen von der Seite Übersicht Key Vaults und geben Sie ihn als Wert für den Parameter encryptionKeyPerTenant.vaultAddress an.


  2. Passen Sie den Abschnitt AppSettings der orchestrator-customconfig configmap wie folgt, um die Verwendung eines eigenen Verschlüsselungsschlüssels pro Mandant zu aktivieren:
    1. Legen Sie EncryptionKeyPerTenant.Enabled auf true fest.
    2. Legen Sie EncryptionKeyPerTenant.KeyProvider auf AzureKeyVault fest.
      Dies kann über den oder durch Aktualisieren der configmap mit Lens erfolgen.
  3. Starten Sie die Orchestrator Automation Suite-Bereitstellung aus dem Cluster neu, damit die Änderungen wirksam werden.
Hinweis: Wenn Sie von einem eigenständigen Orchestrator zur Automation Suite migrieren, werden SMTP-Einstellungen in Identity Server nicht mit dem Schlüssel pro Mandant verschlüsselt. Sobald die Migration abgeschlossen ist, stellen Sie sicher, dass Sie das SMTP-Kennwort erneut in das Automation Suite-Portal eingeben.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten