UiPath Documentation
test-cloud
latest
false
Wichtig :
Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Test Cloud-Administratorhandbuch

Architektur und Sicherheit

Wie es funktioniert

The Relay client — a lightweight binary installed on a machine inside your network — establishes a persistent, outbound-only connection on port 443 to UiPath relay infrastructure. For Relay client 26.4.2 or later, new configurations connect through cloud.uipath.com using WSS (WebSocket over TLS).

Relay client versions earlier than 26.4.2 connect through a regional relay hostname over TLS.

When a UiPath cloud service needs to reach one of your on-premises endpoints, the request travels from the cloud service through UiPath relay infrastructure, down the outbound connection to the Relay client, and from there across your local network to the target service.

Da der Relay-Client alle Tunnelverbindungen ausgehend initiiert, akzeptiert Ihr Netzwerk nie eine eingehende Verbindung aus dem Internet.

Konnektivitätsflow

  1. Sie registrieren lokale Endpunkte unter einer Relay-Gruppe in der UiPath-Verwaltung. Die Endpunktliste wird im Relay-Dienst gespeichert.
  2. Der Relay-Client führt einen authentifizierten Erkennungsaufruf bei der Test Cloud durch, um die Liste der zu veröffentlichenden Endpunkte abzurufen.
  3. Der Relay-Client stellt eine persistente ausgehende Steuerelementverbindung her. Der Relay-Client 26.4.2 oder höher verbindet sich über cloud.uipath.com:443 mit WSS (WebSocket über TLS). Relay-Client-Versionen vor 26.4.2 stellen eine Verbindung mit dem regionsspezifischen Relay-Hostnamen – z. B. eu-relay.uipath.com – über TLS auf Port 443 her.
  4. Die UiPath Relay-Infrastruktur validiert die Verbindung über OIDC und überprüft die Client-Konfiguration anhand der registrierten Relay-Gruppe, sodass ein Client Endpunkte beanspruchen kann, die er nicht besitzt.
  5. Wenn ein UiPath-Dienst einen lokalen Endpunkt aufrufen muss, ruft er die Relay-URL von der Relay-API ab und erhält ein Relay-Scope-Token von UiPath Identity.
  6. Der Dienst ruft die Relay-URL auf. Die Relay-Infrastruktur validiert das Token und die Autorisierung des verbrauchenden Mandanten, bevor die Anforderung durch den Tunnel weitergeleitet wird.
  7. Der Relay-Client erhält die weitergeleitete Anforderung über seine ausgehende Verbindung und öffnet eine HTTP- oder HTTPS-Verbindung zum lokalen Endpunkt über das lokale Netzwerk.
Hinweis:

Für besten Durchsatz stellen Sie den Relay-Client in der gleichen geografischen Region wie Ihr Cloud-Mandant bereit. Der Datenverkehr folgt dem Pfad UiPath Cloud → Relay-Infrastruktur → Relay-Knoten → lokaler Dienst, sodass regionsübergreifende Tunnels eine Latenz hinzufügen, die korrekt zur Round Trip Time zwischen den Regionen verfügbar ist – für Szenarien mit großen Nutzlasten ist dieser Unterschied signifikant.

Hohe Verfügbarkeit (High Availability)

Stellen Sie für Produktionsumgebungen mindestens zwei Relay-Clients innerhalb derselben Relay-Gruppe mit identischem Netzwerkzugriff und Vertrauensspeicherkonfiguration bereit. Clients in einer Gruppe teilen sich die Last über eine Round-Robin-Verteilung und ein automatisches Failover erfolgt, wenn ein Client nicht verfügbar ist.

Wenn mehrere Clients eine proaktive Wiederverbindung verwenden, koordinieren sie sich so, dass nur ein Client gleichzeitig entleert wird und die Gruppe während jedes Wiederverbindungszyklus kontinuierlich verfügbar bleibt.

Sicherheitsmodell

  • Authentifizierung. Der Relay-Client authentifiziert sich mit OAuth 2.0 Client-Anmeldeinformationen bei der Cloud-Plattform. Die UiPath Relay-Infrastruktur validiert jede Steuerelementverbindung über OIDC und überprüft, ob der Client mit der registrierten Relay-Gruppe übereinstimmt.
  • Verschlüsselung im Ruhezustand. Anmeldeinformationen, die auf der Relay-Clientmaschine gespeichert sind, sind verschlüsselt: AES-256-GCM unter Linux, DMAPI unter Windows.
  • Verschlüsselung bei der Übertragung. Der gesamte Datenverkehr zwischen dem Relay-Client und der UiPath Relay-Infrastruktur wird bei der Übertragung auf Port 443 verschlüsselt. Relay-Verbindungen verwenden TLS 1.2 oder TLS 1.3. Verschlüsselungssammlungen werden vom Go TLS-Stapel mithilfe sicherer Standardeinstellungen ausgewählt; Der Relay-Client macht keine benutzerdefinierte Cipher-Suite-Konfiguration verfügbar.
  • Token-Scoping. UiPath-Dienste erhalten ein Relay-Scope-Token, bevor sie eine Relay-URL aufrufen. Die Relay-Infrastruktur validiert dieses Token und die Autorisierung des verbrauchenden Mandanten, bevor die Anforderung weitergeleitet wird.

TLS und Zertifikatsvertrauenswürdig

Der Relay-Client beendet und initiiert HTTP- oder HTTPS-Verbindungen mit lokalen Zielen erneut. Wenn der lokale Endpunkt HTTPS verwendet, muss der Vertrauensspeicher des Betriebssystems auf der Relay-Clientmaschine der Zertifizierungsstelle vertrauen, die das Zertifikat des lokalen Endpunkts signiert hat.

Wenn Ihr Endpunkt ein selbstsigniertes Zertifikat oder eine private Unternehmens-ZS verwenden, fügen Sie die ausstellende Zertifizierungsstelle zum Vertrauensspeicher der Relay-Clientmaschine hinzu, bevor Sie den Relay-Dienst starten. Andernfalls weist der Relay-Client die Verbindung zum internen Ziel zurück.

  • Wie es funktioniert
  • Konnektivitätsflow
  • Hohe Verfügbarkeit (High Availability)
  • Sicherheitsmodell
  • TLS und Zertifikatsvertrauenswürdig

War diese Seite hilfreich?

Verbinden

Benötigen Sie Hilfe? Support

Möchten Sie lernen? UiPath Academy

Haben Sie Fragen? UiPath-Forum

Auf dem neuesten Stand bleiben