- Erste Schritte
- Best Practices
- Mandant
- Aktionen
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Aktionskataloge
- Profil
- Systemadministrator
- Identity Server
- Authentication
- Konfigurieren der Active Directory-Integration
- Konfigurieren von SSO: Google
- Konfigurieren von SSO: Azure Active Directory
- SmartCard-Authentifizierung
- Einrichtung einer automatischen Anmeldung für Benutzer einer Active-Directory-Gruppe
- Konfigurieren des SMTP-Servers
- Ändern des Windows-Authentifizierungsprotokolls
- Sonstige Konfigurationen
- Erhöhung der Größenbegrenzung für Paketdateien
- Telemetrie abwählen
- Einrichten des Verschlüsselungsschlüssels pro Mandant
- GZIP-Komprimierung
- Integrationen
- Klassische Roboter
- Fehlersuche und ‑behebung
Orchestrator-Anleitung
Einrichten des Verschlüsselungsschlüssels pro Mandant
Mit Microsoft Azure Key Vault können Sie jeden Mandanten in Ihrer Orchestrator-Instanz mit seinem eigenen einzigartigen Schlüssel verschlüsseln. Der Orchestrator verwendet den Key Vault, um die Schlüssel auf sichere Weise zu speichern und zu verwalten, um eine bessere Trennung Ihrer Daten zwischen Mandanten zu gewährleisten.
Der Orchestrator kann diese Funktion zu nutzen, wenn er in Microsoft Azure oder lokal installiert ist. Letzteres erfordert jedoch, dass Sie die Orchestrator-Instanz mit dem Internet und Azure Key Vault verbinden.
Die Authentifizierung des Orchestrators ist erforderlich, um Azure Key Vault über App-Registrierungen zu verwenden. App-Registrierungen können Anwendungen eine Reihe von Berechtigungen gewähren. In unserem Fall ist der Orchestrator die Anwendung, und Azure Key Vault ist die gewünschte Berechtigung.
Sie müssen zuerst den Zugriff von App-Registrierungen auf den Azure Key Vault konfigurieren. Die Orchestrator-Authentifizierung mit App-Registrierungen ist mit dem privaten SSL-Schlüssel im Orchestrator Certificate Store und dem öffentlichen SSL-Schlüssel in App-Registrierungen möglich. Nachdem Sie die App-Registrierungen und den Key Vault konfiguriert haben, müssen Sie einige Änderungen an der Konfigurationsdatei des Orchestrators vornehmen. Sobald diese Kriterien erfüllt sind, kann der Orchestrator Azure Key Vault verwenden, um jeden Mandanten zu verschlüsseln.
- Ihr eigenes Microsoft Azure Key Vault
- Eine saubere Orchestrator-Installation
-
Ein gültiges SSL-Zertifikat für Ihre Orchestrator-Instanz:
- Private-Key Zertifikat – Es muss in App-Dienste > SSL-Einstellungen > Zertifikate mit privatem Schlüssel hochgeladen und auf den/die Maschine(n) importiert werden, auf denen der Orchestrator installiert ist. Die Domäne, wo das Zertifikat generiert und installiert wurde, muss mit der Domäne des Benutzers übereinstimmen, unter dem der Orchestrator ausgeführt wird.
- Öffentliches Schlüsselzertifikat – Es muss in App-Registrierung > Einstellungen > Schlüssel > Öffentliche Schlüssel hochgeladen werden.
-
(Optional) Ein selbstsigniertes Zertifikat
Hinweis: Verschlüsselungsschlüssel dürfen von den Benutzern nicht auf der Azure Key Vault-Seite bearbeitet werden, wie zum Beispiel Aktivieren/Deaktivieren von Geheimnissen oder Bearbeiten des Aktivierungs- und Ablaufdatums. Wenn ein Geheimnis deaktiviert wird, können die vom Orchestrator für diesen Mandanten gespeicherten Daten nicht mehr entschlüsselt werden.
Führen Sie im Bereich App-Registrierungen von des Azure Portals die folgenden Schritte aus:
- Erstellen Sie eine neue App-Registrierung.
- Kopieren Sie die Anwendungs-ID (Client) für die spätere Verwendung.
- Gehen Sie zu Verwalten > Zertifikate und Geheimschlüssel, und laden Sie den öffentlichen SSL-Zertifikatsschlüssel hoch, der in der Voraussetzung angegeben ist.
- Kopieren Sie den Fingerabdruck dieses Zertifikats für die spätere Verwendung.
Wenn Sie den Orchestrator unter einer Anwendungspoolidentität ausführen, führen Sie die folgenden Schritte aus:
- Importieren Sie das SSL-Zertifikat für private Schlüssel in den persönlichen Zertifikatspeicher der lokalen Maschine.
- Gewähren Sie der Anwendungspoolidentität Zugriff auf den privaten Schlüssel. In den folgenden Schritten wird erläutert, wie Sie dies tun.
- Öffnen Sie MMC.
- Gehen Sie zu Datei > Snap-in hinzufügen/entfernen.
- Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen > Computerkonto > Lokaler Computer.
- Klicken Sie auf OK.
- Rufen Sie Zertifikate (Lokaler Computer) > Persönliche > Zertifikate auf, klicken Sie auf Fertig stellen und dann OK.
- Klicken Sie im Hauptfenster von MMC mit der rechten Maustaste auf das gewünschte Zertifikat, und wählen Sie dann Alle Aufgaben > Privaten Schlüssel verwalten aus.
- Klicken Sie auf die Schaltfläche Hinzufügen.
- Geben Sie im Feld Objektname eingeben und auswählen iIS AppPool<AppPoolName> ein. Beispiel:
IIS AppPool\UiPath Orchestrator
. - Gewähren Sie die volle Kontrolle.
Wenn Sie den Orchestrator unter einem benutzerdefinierten Konto ausführen, führen Sie den folgenden Schritt aus:
- Importieren Sie das in den Voraussetzungen genannte SSL-Zertifikat für den privaten Schlüssel in den persönlichen Zertifikatspeicher des Benutzers, der den Orchestrator-Prozess ausführt.
Wenn es sich bei Ihrem Orchestrator um eine Azure-App-Service-Installation handelt, führen Sie den folgenden Schritt aus:
- Importieren Sie das in den Voraussetzungen genannte SSL-Zertifikat für private Schlüssel nach Orchestrator App Service > SSL-Einstellungen > Private Schlüsselzertifikate.
UiPath.Orchestrator.dll.config
-Datei des Orchestrators vor:
- Öffnen Sie die Datei
UiPath.Orchestrator.dll.config
Ihrer Orchestrator-Instanz. - Fügen Sie im Abschnitt
AppSettings
das folgende Argument hinzu:- Setzen Sie den Parameter
Database.EnableAutomaticMigrations
auftrue
. Andernfalls werden alle nachfolgenden Änderungen anUiPath.Orchestrator.dll.config
nicht wirksam. - Legen Sie
EncryptionKeyPerTenant.Enabled
auftrue
fest. - Legen Sie
EncryptionKeyPerTenant.KeyProvider
aufAzureKeyVault
fest. - Legen Sie für den Orchestrator, der die Anwendungspoolidentität verwendet,
CertificatesStoreLocation
aufLocalMachine
fest.
- Setzen Sie den Parameter
- Fügen Sie im Abschnitt
secureAppSettings
das folgende Argument hinzu:- Entfernen Sie den
EncryptionKey
Schlüssel oder kommentieren Sie ihn aus. - Kopieren Sie die Eingabeanwendungs-ID (Client) von der Seite App-Registrierungen und geben Sie sie als Wert für den Parameter
Azure.KeyVault.ClientId
an. Beispiel:<add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />
. - Kopieren Sie den Fingerabdruck von der Seite App-Registrierungen und geben Sie ihn als Wert für den Parameter
Azure.KeyVault.CertificateThumbprint
an. Beispiel:<add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" />
. - Kopieren Sie den DNS-Namen von der Seite Übersicht Key Vaults und geben Sie ihn als Wert für den Parameter
Azure.KeyVault.VaultAddress
an. Beispiel:<add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" />
.
- Entfernen Sie den
- Stellen Sie sicher, dass alle
UiPath.Orchestrator.dll.config
-Einstellungen, die Sie in den vorherigen Schritten konfiguriert haben, übereinstimmende Werte inappsettings.Production.json
undappsettings.json
von Identity Server haben. Weitere Informationen finden Sie unter Identity Server AppSettings.json.