Guide d'administration d'Automation Cloud

Clés gérées par le client

link

• Licences Flex : cette fonctionnalité est disponible pour les plans de plate-forme Standard et Advanced.
• Licences Unified Pricing : cette fonctionnalité est disponible uniquement pour le régime de plateforme Enterprise.
  Avertissement :

  L’activation de la clé gérée par le client a de sérieuses implications en ce qui concerne l’accès aux données. Si des problèmes clés surviennent, vous risquez de perdre l’accès à vos données.

Vue d'ensemble (Overview)​

Explication des clés gérées par le client​

• Le service de gestion des clés (KMS) - il s'agit de l'outil interne d'UiPath, développé à des fins de chiffrement des clés.
• La clé de chiffrement des données (DEK ou KMS DEK) - utilisée pour chiffrer les données en texte brut. En règle générale, la DEK est générée par le KMS ou par le coffre de clés interne d'UiPath, et n'est jamais stockée en texte clair.
• La clé de chiffrement de clé (KEK) : utilisée pour chiffrer la clé DEK. Le processus de chiffrement d'une clé est appelé encapsulation de clé. Généralement, la KEK est générée par vous, elle est stockée dans votre coffre de clés et constitue la clé réelle gérée par le client qui est contrôlée par votre service de gestion de clés.
• La clé de chiffrement des données chiffrées (EDEK) - il s'agit de la DEK qui est encapsulée par la KEK. En règle générale, cette clé est stockée par le fournisseur de services (tel qu'Orchestrator) ; par conséquent, chaque fois qu'un service doit accéder à des données chiffrées, le service appelle le service de gestion des clés du client pour obtenir la KEK nécessaire au déchiffrement de l'EDEK et pour produire la DEK qui est ensuite utilisée pour déchiffrer les données.
• La clé interne UiPath : elle est utilisée pour chiffrer les colonnes de données, y compris la clé CMK et la clé DEK KMS.

Activation de la clé gérée par le client​

• (Recommandé) Configuration automatisée : utilisez l'application Microsoft Entra ID gérée par UiPath (modèle mutualisé) pour les avantages suivants :
  • Aucune clé secrète ou de certificat à gérer.
  • Configuration rapide et fiable.
  • UiPath gère l'application Microsoft Entra ID pour vous.
• Configuration manuelle avec une inscription d'application Microsoft Entra ID personnalisée : utilisez votre propre application Microsoft Entra ID et gérez sa configuration manuellement, en tenant compte des considérations suivantes :
  • Vous devez créer et gérer les informations d’identification de l’application.
  • Les informations d’identification expirent et nécessitent des mises à jour périodiques.
  • Si les informations d'identification ne sont pas mises à jour avant leur expiration, les utilisateurs ne peuvent pas se connecter.

Configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath (recommandé)​

Si vous êtes un administrateur de Microsoft Entra ID et d'une organisation​

1. Dans l'organisation, accédez à Admin > Sécurité > Chiffrement.
2. Choisissez la clé gérée par le client et confirmez la sélection en entrant le nom de votre organisation dans la boîte de dialogue de confirmation.
3. Sélectionnez Application multi-locataires gérée par UiPath (Recommandé).
4. Sélectionnez Accorder son consentement, puis connectez-vous avec votre compte Microsoft Entra ID. Une fois que vous donnez votre consentement, UiPath crée une application Microsoft Entra ID dans Azure qui représente votre organisation.
5. Créez votre clé de chiffrement de clé et configurez Azure Key Vault.
6. Saisissez l'URI de clé Azure Key Vault de la clé de chiffrement de clé.
   • Si vous fournissez un URI de clé sans version, UiPath utilise automatiquement la dernière version de la clé (rotation des clés activée).
   • Si vous fournissez un URI de clé versionnée, UiPath chiffre toutes les données avec cette version de clé spécifique.
7. Sélectionnez Tester et enregistrer pour activer l'intégration. Si une erreur se produit, vérifiez vos identifiants et réessayez.

Si vous êtes un administrateur d'organisation uniquement​

1. Dans l'organisation, accédez à Admin > Sécurité > Chiffrement.
2. Sélectionnez Customer managed key et confirmez la sélection en saisissant le nom de votre organisation dans la boîte de dialogue de confirmation.
3. Sélectionnez Application multi-locataires gérée par UiPath (Recommandé).
4. Sélectionnez Accorder son consentement, puis connectez-vous avec votre compte Microsoft Entra ID. Étant donné que vous n'avez pas les droits d'administrateur Microsoft Entra ID, vous devriez voir l'une des invites suivantes :
   1. Demander l'approbation, comme indiqué dans la documentation de Microsoft : Demander l'approbation de l'administrateur. Une fois que votre administrateur Microsoft Entra ID a approuvé la demande, passez à l'étape suivante.
   2. A besoin de l’approbation de l’administrateur, comme indiqué dans la documentation de Microsoft : demandez à votre administrateur Microsoft Entra ID de suivre les étapes suivantes :
      1. Naviguez vers cette URL pour ouvrir l'invite de consentement de Microsoft Entra ID.
      2. Sélectionnez Consentement au nom de votre organisation, puis Accepter.
5. Une fois que vous avez reçu la confirmation que le consentement de l'administrateur a été accordé, créez votre clé de chiffrement et configurez Azure Key Vault, puis revenez à UiPath et répétez les étapes 1 à 4.
   • Une connexion réussie indique que l'intégration est configurée correctement.
   • Si la connexion échoue, demandez à votre administrateur de Microsoft Entra ID de vérifier que le consentement a été correctement accordé.
6. Saisissez l'URI de clé Azure Key Vault de la clé de chiffrement de clé.
   • Si vous fournissez un URI de clé sans version, la rotation automatique des clés est activée et Automation Cloud utilise la dernière version de clé.
   • Si vous fournissez un URI de clé avec version, Automation Cloud chiffrera toutes les données avec cette version de clé spécifique.
7. Sélectionnez Tester et enregistrer pour activer l'intégration. Si une erreur se produit, vérifiez vos identifiants et réessayez.

Configuration manuelle avec enregistrement d’application Microsoft Entra ID personnalisée​

1. Créez l’inscription d’application Microsoft Entra ID.

   1. Dans le centre d'administration Microsoft Entra, accédez à Inscription d'applications > Nouvelle inscription.
   2. Entrez un nom de votre choix.
   3. Définissez les types de comptes pris en charge sur Comptes de ce répertoire organisationnel uniquement.
   4. Terminez l’inscription.

2. Créez des informations d’identification.

   Accédez à Certificats et secrets dans l'enregistrement de votre application et choisissez l'une des méthodes suivantes :

   • Pour utiliser une clé secrète de client :
     1. Sélectionnez Nouvelle clé secrète du client.
     2. Enregistrez la valeur de la clé secrète générée. Vous en aurez besoin ultérieurement.
   • Pour utiliser un certificat :
     1. Dans un nouvel onglet du navigateur, naviguez vers Azure Key Vault.
     2. Créer un certificat :
        • Objet : CN=uipath.com
        • Type de contenu : PEM
        • Taille maximale : moins de 10 ko
     3. Téléchargez le certificat au format .pem .
     4. Ouvrir le fichier .pem dans un éditeur de texte. Il doit contenir les sections suivantes :
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
     5. Créez un nouveau fichier .pem contenant uniquement les lignes entre BEGIN CERTIFICATE et END CERTIFICATE.
     6. Dans la section Certificats et secrets de l'enregistrement de votre application, chargez ce nouveau fichier .pem.
     7. Conservez une copie du certificat. Vous en aurez besoin ultérieurement pour terminer l'intégration.
     Important :

     La plupart des types d'identifiants finissent par expirer. Pour éviter les problèmes de connexion de l'utilisateur, mettez à jour la configuration avant l'expiration des identifiants. Pour éviter cette surcharge, utilisez la configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath.

3. Collecter les détails de l'intégration.

   Rassemblez les valeurs suivantes et fournissez-les à l'administrateur de l'organisation:

   • ID d'application (client)
   • ID de répertoire (locataire)
   • Clé secrète ou certificat du client

4. Créez votre clé de chiffrement de clé et configurez Azure Key Vault.

   Préparez votre clé de chiffrement et notez l'identificateur de clé Azure Key Vault. Choisissez l’un des formats suivants :

   • URI de clé sans version : active la rotation automatique des clés. UiPath utilise toujours la dernière version de la clé.
   • URI de clé versionnée : verrouille le chiffrement vers une version de clé spécifique. UiPath chiffre toutes les données utilisant cette version.

5. Activez l'intégration dans l'organisation.

   1. Connectez-vous à UiPath en tant qu'administrateur.
   2. Accédez à Admin > Sécurité > Chiffrement.
   3. Sélectionnez la clé gérée par le client et confirmez la sélection en entrant le nom de votre organisation.
   4. Sélectionnez ID et clé secrète pour l’enregistrement de l’application personnalisée.
   5. Saisissez les détails suivants collectés précédemment :
      • ID de répertoire (locataire)
      • ID d'application (client)
      • Clé secrète ou certificat du client
      • Identifiant de clé Azure Key Vault
   6. Sélectionnez Tester et enregistrer pour activer l'intégration.

Création de la clé de chiffrement de clé et configuration d'Azure Key Vault​

• Vous pouvez créer le coffre-fort de clés dans n'importe quelle région, mais nous vous recommandons d'utiliser la même région que votre organisation Automation Cloud.
• UiPath nécessite l'accès au Key Vault utilisé pour la clé gérée par le client. Pour limiter l'étendue, nous vous recommandons de créer un coffre dédié à cet effet.
• La fonctionnalité fonctionne avec toute taille de clé prise en charge par Azure Key Vault.
• Pour effectuer des opérations cryptographiques, vous devez accorder les autorisations Wrap Key et Unwrap Key. Ces autorisations sont requises, que vous utilisiez Azure RBAC (contrôle d’accès basé sur les rôles) ou les politiques d’accès Key Vault pour gérer l’accès.

1. Dans le portail Microsoft Azure, accédez à Azure Key Vault et sélectionnez un coffre existant, ou créez-en un nouveau.

2. Créez une nouvelle clé et copiez l' URI de la clé. Vous avez besoin de l'URI pour le configurer dans Automation Cloud.

   Choisissez l'une des options suivantes pour l'URI de clé :

   • URI de clé sans version : active la rotation automatique des clés. Automation Cloud utilise toujours la dernière version de la clé.
   • URI de clé versionnée : verrouille le chiffrement vers une version de clé spécifique. Automation Cloud chiffre toutes les données utilisant cette version.

3. Accordez l'accès à l'application Microsoft Entra ID précédemment créée.

   Utilisez les stratégies d'accès Azure RBAC ou Key Vault pour accorder les autorisations requises.

4. Retournez sur Automation Cloud pour terminer la configuration.

Activation de la clé gérée par le client​

Rotation des clés​

Rotation manuelle des clés​

1. Créez une nouvelle clé dans l'Azure Key Vault que vous avez précédemment configuré.
2. Dans votre organisation, accédez à Admin > Sécurité.
3. Sous Clé gérée par le client, sélectionnez Modifier la connexion.
4. Remplacez l'identifiant de clé existant par le nouvel URI de clé.
   Remarque :

   La rotation des clés ne fonctionne que si l'ancienne et la nouvelle clé restent valides.

Rotation automatique des clés​

1. Dans Azure Key Vault, créez une politique de rotation pour votre clé.
2. Dans votre organisation, accédez à la configuration de clé gérée par le client et fournissez l'identificateur de clé sans version.Pour les étapes de configuration, reportez-vous à Activation de la clé gérée par le client.
3. Après chaque rotation de clé dans Azure Key coffre, UiPath récupère et applique automatiquement la dernière version de clé. UiPath vérifie automatiquement toutes les heures la présence de nouvelles versions clés. Lorsqu’une nouvelle version devient disponible, elle est récupérée et appliquée sans nécessiter de mises à jour manuelles.
   Important :

   • Ne désactivez pas ou ne modifiez pas les autorisations d'accès pour les anciennes versions de clé. Les versions de clé précédente et actuelle doivent rester accessibles pour maintenir un accès ininterrompu aux données chiffrées pendant le processus de rotation.
   • Vous pouvez afficher à la fois les modifications manuelles apportées à la configuration de la clé gérée par le client, telles que les mises à jour de l'identificateur de clé, et les événements de rotation automatique de clés dans la section Journaux d'audit sous Admin dans l'organisation .

Rétrogradation de la licence​

• L'option Clé gérée par le client (Customer managed key) est toujours activée pour vous, mais elle est grisée dans l'interface. En tant que tel, vous ne pouvez plus modifier ses valeurs, telles que la modification des détails du coffre de clés.
• Vous pouvez passer à la Clé gérée par UiPath (UiPath managed key) (par défaut), mais vous ne pourrez pas revenir à la Clé gérée par le client (Customer managed key) tant que votre plan ne sera pas mis à niveau vers Enterprise.

Meilleures pratiques d'utilisation des clés gérées par le client​

• Une fois que vous commencez à utiliser une nouvelle clé dans le cadre du processus de rotation des clés, l'ancienne ne peut plus être utilisée pour accéder aux données et les chiffrer. Il est donc important de conserver toutes les anciennes clés dans le coffre de clés, à savoir de les désactiver au lieu de les supprimer. Ceci est particulièrement important dans les scénarios de récupération d'urgence, où UiPath peut avoir besoin de revenir à une sauvegarde d'une ancienne version de la base de données. Si cette sauvegarde utilise l'une de vos anciennes clés, vous pouvez effectuer une rotation vers celle-ci pour récupérer l'accès aux données. Si vous choisissez de supprimer une clé, il est important que vous utilisiez la fonctionnalité suppression temporaire .

• Si vous perdez votre clé, vous ne pourrez plus vous connecter au coffre-fort. Vous devez donc toujours créer une sauvegarde de la clé sur le portail Azure ou dans un coffre de clés sécurisé distinct d'Azure, conformément aux politiques de sécurité de votre organisation.

• Si vous exploitez l'Authentification unique pour accéder aux services UiPath, vous pouvez envisager de créer un compte local qui fonctionnera comme un compte Break Glass. Étant donné que les informations du fournisseur d'identité externe sont incluses dans les données chiffrées par la clé gérée par le client, les comptes d'Authentification unique seront inaccessibles si votre coffre de clés devenait inaccessible.

• Pour des raisons de sécurité, les utilisateurs qui ne disposent pas de privilèges d'administrateur de niveau supérieur ne doivent pas avoir de droits de purge sur la clé gérée par le client.

• Si vous ne souhaitez plus qu'UiPath ait accès à vos données, vous pouvez désactiver la clé à partir d'Azure Key Vault, comme indiqué dans l'image suivante :

  

Ressources prises en charge​

• Comptes de stockage Azure
• Serveurs Azure SQL
• Disques Azure
• Snowflake
  Remarque :

  Azure Databricks et Azure Event Hubs ne prennent pas en charge les clés gérées par le client (CMK) inter-locataires. Ces services nécessitent que le Key Vault réside dans le même locataire Microsoft Entra que les ressources Azure associées, et ne peuvent donc pas être chiffrés à l'aide d'un CMK inter-locataires. Ces services sont utilisés en interne par Insights pour prendre en charge le traitement de la télémétrie et de l'analyse :

  • Azure Event Hubs : stocke la télémétrie en continu telle que les journaux du robot et les événements d'exécution, les données d'exécution des tâches, les événements d'élément de la file d'attente, la surveillance en temps réel. Les données dans Event Hubs sont transitoires et ne sont pas stockées à long terme.
  • Azure Databricks : Traite et stocke les données analytiques, y compris les données de surveillance en temps réel, les agrégations historiques et les métriques d'exécution du robot traitées. Ces services utilisent des clés gérées par Microsoft pour le chiffrement au repos et ne peuvent pas être configurés avec des clés gérées par le client.

Architecture​

1. Locataire UiPath : héberge les ressources Azure qui nécessitent un chiffrement.

2. Votre locataire : héberge Azure Key Vault et la clé gérée par le client.

3. Application multi-locataires : enregistrée par UiPath et installée dans votre locataire pour activer un accès inter-locataire sécurisé.

4. Identité gérée : affectée à l'application UiPath, utilisée pour l'authentification par rapport à votre Key Vault.

5. Identifiants fédérés : autorisez l'application UiPath à utiliser l'identité gérée sans stocker de secrets.

6. Azure Key Vault : stocke votre clé gérée par le client.

   Voici le flux de chiffrement :

7. Vous créez un ticket d’assistance pour recevoir l’ID et le nom de l’application.

8. UiPath enregistre une application multi-locataire et joint une identité gérée attribuée par l'utilisateur.

9. Vous installez l'application dans votre locataire Azure.

10. Vous créez la clé dans votre Key Vault et partagez l'URI de clé (avec la version) avec UiPath.

11. Vous attribuez les autorisations suivantes à l'application via Azure RBAC : get, wrapKey, unwrapKey.

12. UiPath configure les ressources Azure pertinentes pour utiliser la clé pour le chiffrement et le déchiffrement.

Prérequis​

• Exigences d'Azure Key Vault :
  • La protection pour la suppression temporaire et la suppression est activée.
  • Les verrous de ressources sont configurés sur Key Vault et les clés.
  • La clé doit être de type RSA 2048 bits. Ces configurations empêchent la suppression accidentelle et garantissent la récupérabilité.
• Autorisations et configuration :
  • Créez un ticket d’assistance pour demander à UiPath un ID et un nom d’enregistrement d’application multi-locataire.
  • Vous devez créer la clé dans votre locataire et autoriser l'accès à celle-ci pour l'application UiPath.
  • La rotation des clés est prise en charge si le contrôle de version de votre clé est activé.

Étapes​

1. Créez ou sélectionnez un Azure Key Vault dans votre locataire Azure.

2. Configurez le coffre-fort de clés et la clé de chiffrement selon les exigences suivantes :

   • Activer la suppression réversible et la protection contre la purge. Garantit que les clés ou les coffres supprimés peuvent être restaurés pendant 90 jours maximum.
   • Appliquez un verrouillage de ressource à la fois sur le Key Vault et sur la clé. Empêche les suppressions ou modifications accidentelles.
   • Sélectionnez RSA 2048 bits comme type de clé.
   • Assurez-vous que Key Vault se trouve dans la même région que vos ressources Azure Disk (requis pour le chiffrement Azure Disk).
   • Sous Mise en réseau, sélectionnez Autoriser les services Microsoft approuvés à contourner ce pare-feu. Pour obtenir des étapes détaillées, reportez-vous à Configurer des clés inter-locataires gérées par le client pour un nouveau compte de stockage - Azure Storage. .

3. Installez l'application multilocataire UiPath dans votre locataire Azure à l'aide des informations fournies par l'équipe d'assistance.

4. Affectez le rôle Azure RBAC utilisateur Key Vault Crypto Service Encryption à l'application UiPath afin qu'elle puisse accéder au Key Vault.

   Vous pouvez également accorder à l’application UiPath une politique d’accès à Key Vault avec les autorisations suivantes : get, wrapKey et unwrapKey.

5. Partagez l'URI de clé avec UiPath via le ticket d'assistance précédemment créé.

   Remarque :

   Vous pouvez utiliser une seule clé pour toutes les ressources prises en charge ou des clés distinctes pour chaque ressource, telle que SQL, le stockage, le disque, Snowflake. Si vous choisissez d’utiliser des clés différentes, fournissez à UiPath les URI de clé correspondants via votre ticket d’assistance.

6. À l’aide des URI de clé que vous avez fournis, UiPath configure le chiffrement sur vos ressources basées sur Azure et applique des clés gérées par le client (CMK) aux composants pris en charge, y compris les ressources de stockage, SQL, disque et Snowflake. Si vous souhaitez appliquer CMK aux ressources Snowflake, vous devez suivre ces étapes supplémentaires :

   1. Effectuez les étapes 1 à 2.5 dans ce guide de la communauté Snowflake.
   2. Fournissez le résultat de l'étape 2.5 à UiPath via votre ticket d'assistance.
   3. UiPath effectue l'auto-enregistrement sécurisé Tri-Secret Secure avec Azure Key Vault mentionné à l'étape 2.5 et à l'étape 3.1.
   4. UiPath partage le lien de consentement Azure et le nom principal Snowflake.
   5. Poursuivez la procédure Snowflake décrite ici, en commençant par l'étape 3.
   6. À l'étape 4, si vous avez besoin de contrôles d'accès publics pour Key Vault (sur des adresses IP spécifiques ou des réseaux virtuels), contactez UiPath pour obtenir des détails sur le sous-réseau.
   7. UiPath effectue l'étape 4.5.

7. Avertir lorsque le chiffrement avec CMK est actif.

Empêcher la perte de données​

• Rotation des clés :
  • Les services Azure vérifient la présence d'une nouvelle version de clé une fois par jour. La modification de la version de la clé ne provoque pas de temps d'arrêt. Pour plus d’informations, consultez Clés gérées par le client pour le chiffrement du compte - Azure Storage.
  • Après la rotation, attendez 24 heures avant de désactiver la version précédente.
  • Les anciennes sauvegardes ne sont pas chiffrées à nouveau, alors conservez les anciennes versions de clé disponibles pour les restaurations.
• Révocation temporaire :
  • Vous pouvez désactiver une clé sans la supprimer.
  • Cela bloque l'accès aux ressources chiffrées, mais n'affecte pas l'état de chiffrement.
  • L’accès est restauré lorsque la clé est réactivée.
  • Lorsqu’elle est désactivée, les opérations renvoient l’erreur 403 Forbidden.