automation-cloud
latest
false
Important :
Veuillez noter que ce contenu a été localisé en partie à l’aide de la traduction automatique. La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.
UiPath logo, featuring letters U and I in white

Guide d'administration d'Automation Cloud

Dernière mise à jour 18 déc. 2025

Chiffrement ALE avec clés gérées par le client

Image « Enterprise » Selon votre régime de licence , cette fonctionnalité est disponible comme suit :
  • Licences Flex : cette fonctionnalité est disponible pour les plans de plate-forme Standard et Advanced.
  • Licences Unified Pricing : cette fonctionnalité est disponible uniquement pour le régime de plateforme Enterprise.
Avertissement :

L’activation de la clé gérée par le client a de sérieuses implications en ce qui concerne l’accès aux données. Si des problèmes clés surviennent, vous risquez de perdre l’accès à vos données.

La table suivante décrit les scénarios problématiques courants et leurs solutions.

Scénario

Solution

Vos informations d'identification pour accéder à Azure Key Vault (AKV) ont expiré ou ont été supprimées.

Si vous pouvez toujours vous connecter à l'aide de votre e-mail et de votre mot de passe (Sans authentification unique)...

... et si vous êtes un administrateur d'organisation, vous pouvez mettre à jour vos informations d'identification dans la section Chiffrement (Encryption) de la page Admin de l'organisation.

... et si vous n'êtes pas administrateur d'organisation, vous pouvez demander, via un ticket d'assistance, d'être promu au rôle d'administrateur ; vous pouvez ensuite mettre à jour vos informations d'identification dans la section Chiffrement (Encryption) de la page Admin de l'organisation.

Si vous ne pouvez plus vous connecter, fournissez votre ID d'organisation via un ticket d'assistance, et nous pourrons vous inviter et vous promouvoir en tant qu'administrateur. Vous pouvez ensuite mettre à jour vos informations d'identification dans la section Chiffrement (Encryption) de la page Admin de l'organisation.

Une fois que vous avez rétabli l'accès à la connexion, nous vous recommandons de créer une clé AKV et un ensemble d'informations d'identification, puis de configurer la clé gérée par le client à l'aide de ces nouvelles informations, garantissant ainsi que personne d'autre n'a accès à vos informations d'identification.

Votre clé AKV a expiré.

Votre clé gérée par le client fonctionne toujours, mais nous vous recommandons de passer à une nouvelle clé.

Votre clé AKV a expiré.

Vous pouvez restaurer votre clé AKV depuis le portail Azure pendant la période de rétention.

Votre clé AKV a été purgée, mais elle contenait une sauvegarde.

Vous pouvez restaurer la clé à partir de la sauvegarde du portail Azure. Par défaut, la clé restaurée a le même ID que celui d'origine, que vous ne devez pas modifier.

Votre clé AKV a été purgée, mais elle contenait une sauvegarde.
Avertissement :

Il n’y a pas de solution pour ce scénario. Dans cette situation, vos données client UiPath® sont perdues.

Vue d'ensemble (Overview)

En plus du chiffrement TDE (chiffrement transparent des données) standard au niveau du stockage, certains services utilisent également le chiffrement ALE (chiffrement implicite au niveau de l'application). Cela signifie que les données sont chiffrées au niveau de la couche d'application avant d'être stockées, offrant ainsi une couche de sécurité supplémentaire.

De plus, certains services/certaines ressources offrent un chiffrement facultatif activé par l'utilisateur connu sous le nom de chiffrement ALE en option. Cela vous donne la possibilité de décider si ces services/ressources doivent utiliser ou non le chiffrement ALE. Pour obtenir la liste des services ou ressources et les types de chiffrement correspondants, veuillez vous référer à la page sur les données chiffrées de notre documentation.

Pour les services avec chiffrement ALE, implicite ou en option, vous avez la possibilité de choisir qui gère la clé de chiffrement Elle peut être gérée soit par UiPath, soit par vous-même. Pour vous aider, Azure Key Vault prend en charge la gestion des versions des clés secrètes, permettant de générer une clé secrète à utiliser pour configurer votre clé au niveau de l’organisation.

Une fois que vous avez activé la clé gérée par le client, les données précédemment sauvegardées ne sont pas chiffrées à nouveau et toutes les sauvegardes existantes sont supprimées une fois qu'elles ont expiré. Seules les nouvelles données sont chiffrées à l'aide de cette option.

Explication des clés gérées par le client

Dans l'architecture de clé gérée par le client, les produits ou services de plate-forme UiPath (tels que UiPath Orchestrator ou UiPath Identity Service) chiffrent généralement les données client sensibles avant de les stocker. Lorsque l'accès aux données est requis, le produit ou le service appelle votre infrastructure de gestion de clés pour obtenir la clé de déchiffrement. Cela vous donne le contrôle des données chiffrées dans UiPath, car vous avez la possibilité de refuser de renvoyer la clé.

Ce processus implique les composants suivants :

  • Le service de gestion des clés (KMS) - il s'agit de l'outil interne d'UiPath, développé à des fins de chiffrement des clés.
  • La clé de chiffrement des données (DEK ou KMS DEK) - utilisée pour chiffrer les données en texte brut. En règle générale, la DEK est générée par le KMS ou par le coffre de clés interne d'UiPath, et n'est jamais stockée en texte clair.
  • La clé de chiffrement de clé (KEK) : utilisée pour chiffrer la clé DEK. Le processus de chiffrement d'une clé est appelé encapsulation de clé. Généralement, la KEK est générée par vous, elle est stockée dans votre coffre de clés et constitue la clé réelle gérée par le client qui est contrôlée par votre service de gestion de clés.
  • La clé de chiffrement des données chiffrées (EDEK) - il s'agit de la DEK qui est encapsulée par la KEK. En règle générale, cette clé est stockée par le fournisseur de services (tel qu'Orchestrator) ; par conséquent, chaque fois qu'un service doit accéder à des données chiffrées, le service appelle le service de gestion des clés du client pour obtenir la KEK nécessaire au déchiffrement de l'EDEK et pour produire la DEK qui est ensuite utilisée pour déchiffrer les données.
  • La clé interne UiPath : elle est utilisée pour chiffrer les colonnes de données, y compris la clé CMK et la clé DEK KMS.

Ce diagramme illustre comment les différents composants impliqués dans l'activation des clés gérées par le client fonctionnent ensemble :



Activation de la clé gérée par le client

Important :

L’activation des clés gérées par le client (CMK) a des conséquences importantes sur l’accessibilité des données. Si la clé devient indisponible ou mal configurée, vous risquez de perdre l'accès à vos données.

Si vous perdez votre clé, vous ne pourrez plus vous connecter au coffre-fort. Vous devez donc toujours créer une sauvegarde de la clé sur le portail Azure ou dans un coffre de clés sécurisé distinct d'Azure, conformément aux politiques de sécurité de votre organisation.

Pour activer les clés gérées par le client, vous devez configurer l'application Microsoft Entra ID représentant Automation CloudTM pour accéder à la clé de chiffrement de clé dans votre coffre Azure Key Vault.

Vous pouvez choisir l'une des méthodes suivantes pour configurer l'application Microsoft Entra ID :
  • (Recommandé) Configuration automatisée : utilisez l'application Microsoft Entra ID gérée par UiPath (modèle multilocataire) pour obtenir les avantages suivants :
    • Aucune clé secrète ou de certificat à gérer.
    • Configuration rapide et fiable.
    • UiPath gère l'application Microsoft Entra ID pour vous.
  • Configuration manuelle avec une inscription d'application Microsoft Entra ID personnalisée : utilisez votre propre application Microsoft Entra ID et gérez sa configuration manuellement, en tenant compte des considérations suivantes :
    • Vous devez créer et gérer les informations d’identification de l’application.
    • Les informations d’identification expirent et nécessitent des mises à jour périodiques.
    • Si les informations d'identification ne sont pas mises à jour avant leur expiration, les utilisateurs ne peuvent pas se connecter.

Configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath (recommandé)

Utilisez cette méthode si vous souhaitez simplifier la configuration et éviter de gérer des clés secrètes ou des certificats. UiPath recommande cette approche pour la plupart des organisations.

Si vous êtes un Microsoft Entra ID et un administrateur Automation CloudTM

Si vous êtes à la fois un administrateur Microsoft Entra ID et un administrateur Automation CloudTM , procédez comme suit pour configurer l’intégration à l’aide de l’application multilocataire gérée par UiPath :

  1. Dans Automation CloudTM, accédez à Admin > Sécurité > Chiffrement (Encryption).
  2. Choisissez Clé gérée par le client (Customer managed key) et confirmez la sélection en saisissant le nom de votre organisation dans la boîte de dialogue de confirmation.
  3. Sélectionnez Application multilocataire gérée par UiPath (recommandé) (UiPath managed multi-tenant application (Recommended)).

  4. Sélectionnez Accorder le consentement (Grant consent), puis connectez-vous avec votre compte Microsoft Entra ID.

    Après avoir accordé votre consentement, Automation CloudTM crée une application Microsoft Entra ID dans Azure qui représente votre organisation.

  5. Créez votre clé de chiffrement de clé et configurez Azure Key Vault.
  6. Saisissez l'URI de clé Azure Key Vault de la clé de chiffrement de clé.
    • Si vous fournissez un URI de clé sans version, Automation CloudTM utilisera automatiquement la dernière version de la clé (Rotation des clés activée).
    • Si vous fournissez un URI de clé avec version, Automation CloudTM chiffre toutes les données avec cette version de clé spécifique.

  7. Sélectionnez Tester et enregistrer pour activer l'intégration.

    En cas d'erreur, vérifiez vos informations d'identification et réessayez.

Si vous êtes un administrateur Automation CloudTM uniquement
Si vous ne disposez pas de privilèges d’administrateur dans Microsoft Entra ID mais que vous êtes un administrateur Automation CloudTM , procédez comme suit pour demander le consentement de l’administrateur et terminer l’intégration :
  1. Dans Automation CloudTM, accédez à Admin > Sécurité > Chiffrement (Encryption).
  2. Sélectionnez Customer managed key et confirmez la sélection en saisissant le nom de votre organisation dans la boîte de dialogue de confirmation.
  3. Sélectionnez Application multilocataire gérée par UiPath (recommandé) (UiPath managed multi-tenant application (Recommended)).

  4. Sélectionnez Accorder le consentement (Grant consent), puis connectez-vous avec votre compte Microsoft Entra ID.

    Étant donné que vous ne disposez pas des droits d'administrateur Microsoft Entra ID, l'une des invites suivantes devrait s'afficher :

    1. Demander une approbation (Request App), comme illustré dans la documentation Microsoft: Demander l'approbation de l'administrateur. Une fois que votre administrateur de Microsoft Entra ID a approuvé la demande, passez à l'étape suivante.
    2. Nécessite l'approbation d'un administrateur, comme illustré dans la documentation Microsoft: Demandez à votre administrateur de Microsoft Entra ID de prendre les mesures suivantes :
      1. Accédez à cette URL pour ouvrir l'invite de consentement de Microsoft Entra ID.
      2. Sélectionnez Consentir au nom de votre organisation, puis Accepter.
  5. Après avoir reçu la confirmation que le consentement de l’administrateur a été accordé, créez votre clé de chiffrement et configurez Azure Key Vault, puis revenez à Automation CloudTM et répétez les étapes 1 à 4.
    • Une connexion réussie indique que l'intégration est configurée correctement.
    • Si la connexion échoue, demandez à votre administrateur de Microsoft Entra ID de vérifier que le consentement a été correctement accordé.
  6. Saisissez l'URI de clé Azure Key Vault de la clé de chiffrement de clé.
    • Si vous fournissez un URI de clé sans version, la rotation automatique des clés est activée et Automation CloudTM utilise la dernière version de la clé.
    • Si vous fournissez un URI de clé avec version, Automation CloudTM chiffre toutes les données avec cette version de clé spécifique.

  7. Sélectionnez Tester et enregistrer pour activer l'intégration.

    En cas d'erreur, vérifiez vos informations d'identification et réessayez.

Configuration manuelle avec enregistrement d’application Microsoft Entra ID personnalisée

Si vous préférez configurer votre propre application Microsoft Entra ID au lieu d'utiliser l'application multi-locataires gérée par UiPath, procédez comme suit. Cette option nécessite de gérer vos propres informations d'identification et de les conserver au fil du temps.
Attention : Les informations d'identification créées via la configuration manuelle expireront périodiquement. Vous devez les renouveler avant leur expiration pour éviter toute interruption du service. Pour réduire cette surcharge opérationnelle, envisagez d'utiliser la configuration automatisée avec l'application Entra ID gérée par UiPath.
  1. Créez l’inscription d’application Microsoft Entra ID.
    1. Dans le centre d'administration Microsoft Entra, accédez à Inscription d'applications (App registrations) > Nouvelle inscription (New registration).
    2. Entrez un nom, tel que Automation Cloud, ou utilisez un nom de votre choix.
    3. Définissez les Types de comptes pris en charge sur Comptes de ce répertoire organisationnel uniquement.
    4. Terminez l’inscription.
  2. Créez des informations d’identification.
    Accédez à Certificats et clés secrètes (Certificates & Secrets) dans l’inscription de votre application et choisissez l’une des méthodes suivantes :
    • Pour utiliser une clé secrète de client :
      1. Sélectionnez Nouvelle clé secrète du client.
      2. Enregistrez la valeur de la clé secrète générée. Vous en aurez besoin ultérieurement.
    • Pour utiliser un certificat :
      1. Dans un nouvel onglet du navigateur, accédez à Azure Key Vault.
      2. Créer un certificat :
        • Objet : CN=uipath.com
        • Type de contenu : PEM
        • Taille maximale : moins de 10 ko
      3. Téléchargez le certificat au format .pem .
      4. Ouvrir le fichier .pem dans un éditeur de texte. Il doit contenir les sections suivantes :
        • -----COMMENER LA CLÉ PRIVÉE----- / -----TERMINER LA CLÉ PRIVÉE-----
        • -----BEGIN CERTIFICATE----- / -----TERMINER LE CERTIFICATE-----
      5. Créez un nouveau fichier .pem contenant uniquement les lignes entre BEGIN CERTIFICATE et END CERTIFICATE.
      6. Dans la section Certificats et clés secrètes (Certificates & secrets) de l'inscription de votre application, téléchargez ce nouveau fichier .pem .
      7. Conservez une copie du certificat. Vous en aurez besoin ultérieurement pour terminer l'intégration.
    Important :

    La plupart des types d’informations d’identification finit par expirer. Pour éviter les problèmes de connexion des utilisateurs, mettez à jour la configuration avant l'expiration des informations d'identification.

  3. Collecter les détails de l'intégration.
    Rassemblez les valeurs suivantes et fournissez-les à l’administrateur Automation CloudTM :
    • ID d'application (client)
    • ID de répertoire (locataire)
    • Clé secrète ou certificat du client
  4. Créez votre clé de chiffrement de clé et configurez Azure Key Vault.
    Préparez votre clé de chiffrement et notez l'identificateur de clé Azure Key Vault. Choisissez l’un des formats suivants :
    • URI de clé sans version : permet la rotation automatique des clés. Automation CloudTM utilise toujours la dernière version de clé.
    • URI de clé avec version : verrouille le chiffrement sur une version de clé spécifique. Automation CloudTM chiffre toutes les données utilisant cette version.
  5. Activez l'intégration dans Automation CloudTM.
    1. Connectez-vous à Automation CloudTM en tant qu’administrateur.
    2. Accédez à Admin > Sécurité > Chiffrement (Encryption).
    3. Sélectionnez Clé gérée par le client (Customer managed key) et confirmez la sélection en saisissant le nom de votre organisation.
    4. Sélectionnez ID et clé secrète d'enregistrement d'application personnalisé (Custom application registration ID and secret).
    5. Saisissez les détails suivants collectés précédemment :
      • ID de répertoire (locataire)
      • ID d'application (client)
      • Clé secrète ou certificat du client
      • Identifiant de clé Azure Key Vault

    6. Sélectionnez Tester et enregistrer pour activer l'intégration.

      Si vous recevez un message d'erreur, vérifiez vos informations d'identification et réessayez.

Création de la clé de chiffrement de clé et configuration d'Azure Key Vault

Avant de commencer, passez en revue les exigences et recommandations suivantes pour utiliser Azure Key Vault avec Automation CloudTM.
  • Vous pouvez créer le coffre-fort de clés dans n’importe quelle région, mais nous vous recommandons d’utiliser la même région que votre organisation Automation CloudTM .
  • UiPath nécessite l'accès au Key Vault utilisé pour la clé gérée par le client. Pour limiter l'étendue, nous vous recommandons de créer un coffre dédié à cet effet.
  • La fonctionnalité fonctionne avec toute taille de clé prise en charge par Azure Key Vault.
  • Pour effectuer des opérations cryptographiques, vous devez accorder les autorisations Encapsulation de la clé (Wrap Key) et Décapsulation de la clé (Unwrap Key) . Ces autorisations sont requises, que vous utilisiez des stratégies d'accès Azure RBAC (Contrôle d'accès basé sur les rôles) ou Key Vault pour gérer l'accès.
Pour créer une clé de chiffrement de clé et configurer Azure Key Vault, procédez comme suit :
  1. Dans le portail Microsoft Azure, accédez à Azure Key Vault et sélectionnez un coffre existant ou créez-en un nouveau.
  2. Créez une nouvelle clé et copiez l'URI de la clé. Vous avez besoin de l'URI pour le configurer dans Automation CloudTM.
    Choisissez l'une des options suivantes pour l'URI de clé :
    • URI de clé sans version : permet la rotation automatique des clés. Automation CloudTM utilise toujours la dernière version de la clé.
    • URI de clé avec version : verrouille le chiffrement sur une version de clé spécifique. Automation CloudTM chiffre toutes les données utilisant cette version.
  3. Accordez l'accès à l'application Microsoft Entra ID précédemment créée.
    Utilisez les stratégies d'accès Azure RBAC ou Key Vault pour accorder les autorisations requises.
  4. Revenez à Automation CloudTM pour terminer la configuration.

Activation de la clé gérée par le client

Une fois que vous avez activé cette option, vous pouvez également modifier tous les détails liés à la connexion. À cette fin, sélectionnez Modifier la connexion (Edit connection) sous l'option Clé gérée par le client (Customer managed key) et modifiez les informations si nécessaire.

Rotation des clés

Il est recommandé d’effectuer une rotation régulière de vos clés afin d’assurer la protection continue de vos données chiffrées contre toute violation potentielle.

Rotation manuelle des clés

La rotation manuelle des clés implique de modifier l'ensemble de la configuration CMK elle-même. Bien que vous puissiez modifier toute la configuration, il est recommandé de modifier uniquement l’identificateur de clé ou la version de clé afin de minimiser les modifications importantes.

Pour effectuer une rotation manuelle des clés, procédez comme suit :

  1. Créez une nouvelle clé dans l'Azure Key Vault que vous avez précédemment configuré.

  2. Dans votre organisation Automation CloudTM , accédez à Admin > Sécurité.

  3. Sous Clé gérée par le client (Customer managed key), sélectionnez Modifier la connexion (Edit connection).

  4. Remplacez l'identifiant de clé existant par le nouvel URI de clé.
Remarque : la rotation des clés ne fonctionne que si l'ancienne et la nouvelle clé restent valides.

Rotation automatique des clés

La rotation automatique des clés permet à Automation CloudTM d’utiliser automatiquement la dernière version de votre clé, en fonction de la stratégie de rotation définie dans Azure Key Vault. Cette approche réduit l'effort manuel et améliore la sécurité.

Pour activer le processus de rotation automatique des clés, procédez comme suit :

  1. Dans Azure Key Vault, créez une stratégie de rotation pour votre clé.

  2. Dans Automation Cloud, accédez à Configuration de clé gérée par le client (Customer managed key configuration) et fournissez l' identifiant de clé sans version.

    Pour connaître les étapes de configuration, reportez-vous à Activation de la clé gérée par le client.

  3. Après chaque rotation de clé dans Azure Key Vault, Automation CloudTM récupère et applique automatiquement la dernière version de la clé.

    Automation CloudTM vérifie automatiquement les nouvelles versions clés toutes les heures. Lorsqu’une nouvelle version est disponible, elle est récupérée et appliquée sans nécessiter de mises à jour manuelles.

Important :
  • Ne désactivez pas ou ne modifiez pas les autorisations d'accès pour les anciennes versions de clé. Les versions de clé précédente et actuelle doivent rester accessibles pour maintenir un accès ininterrompu aux données chiffrées pendant le processus de rotation.
  • Vous pouvez afficher à la fois les modifications manuelles apportées à la configuration de clé gérée par le client, telles que les mises à jour apportées à l'identifiant de clé, ainsi que les événements de rotation automatique de clé dans la section Journaux d'audit (Audit logs) sous Admin dans Automation CloudTM .

Rétrogradation de la licence

Si votre plan Enterprise expire, vous êtes automatiquement rétrogradé au plan Free. Voici ce à quoi vous pouvez vous attendre en termes de chiffrement des données :

  • L'option Clé gérée par le client (Customer managed key) est toujours activée pour vous, mais elle est grisée dans l'interface. En tant que tel, vous ne pouvez plus modifier ses valeurs, telles que la modification des détails du coffre de clés.
  • Vous pouvez passer à la Clé gérée par UiPath (UiPath managed key) (par défaut), mais vous ne pourrez pas revenir à la Clé gérée par le client (Customer managed key) tant que votre plan ne sera pas mis à niveau vers Enterprise.

Meilleures pratiques d'utilisation des clés gérées par le client

Il y a quelques détails importants à garder à l'esprit avant de commencer à utiliser des clés gérées par le client :

  • Une fois que vous commencez à utiliser une nouvelle clé dans le cadre du processus de rotation des clés, l'ancienne ne peut plus être utilisée pour accéder aux données et les chiffrer. Il est donc important de conserver toutes les anciennes clés dans le coffre de clés, à savoir de les désactiver au lieu de les supprimer. Ceci est particulièrement important dans les scénarios de récupération d'urgence, où UiPath peut avoir besoin de revenir à une sauvegarde d'une ancienne version de la base de données. Si cette sauvegarde utilise l'une de vos anciennes clés, vous pouvez effectuer une rotation vers celle-ci pour récupérer l'accès aux données.

    Si vous choisissez de supprimer une clé, il est important que vous utilisiez la fonctionnalité suppression temporaire (soft-delete).

  • Si vous perdez votre clé, vous ne pourrez plus vous connecter au coffre-fort. Vous devez donc toujours créer une sauvegarde de la clé sur le portail Azure ou dans un coffre de clés sécurisé distinct d'Azure, conformément aux politiques de sécurité de votre organisation.
  • Si vous exploitez l'Authentification unique pour accéder aux services UiPath, vous pouvez envisager de créer un compte local qui fonctionnera comme un compte Break Glass. Étant donné que les informations du fournisseur d'identité externe sont incluses dans les données chiffrées par la clé gérée par le client, les comptes d'Authentification unique seront inaccessibles si votre coffre de clés devenait inaccessible.
  • Pour des raisons de sécurité, les utilisateurs qui ne disposent pas de privilèges d'administrateur de niveau supérieur ne doivent pas avoir de droits de purge sur la clé gérée par le client.

  • Si vous ne souhaitez plus qu'UiPath ait accès à vos données, vous pouvez désactiver la clé à partir d'Azure Key Vault, comme indiqué dans l'image suivante :



    En savoir plus sur les actions de récupérationAzure Key Vault.

Cette page vous a-t-elle été utile ?

Support et Services
Obtenez l'aide dont vous avez besoin
UiPath Academy
Formation RPA - Cours d'automatisation
UiPath Forum
Forum de la communauté UiPath
Uipath Logo
Confiance et sécurité
Conditions d’utilisation
Politique de confidentialité
Politique de cookies
© 2005-2026 UiPath Tous droits réservés.