- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Flex : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Mise à niveau et rétrogradation des licences
- Migration de licence
- Demander un essai de service
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Data Export
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Automation Cloud
Guide d'administration d'Automation Cloud
Mode de fonctionnement
Le client de relais — un binaire léger installé sur une machine à l'intérieur de votre réseau — établit un tunnel TLS persistant et sortant uniquement vers le serveur de relais dans Automation Cloud. Lorsqu'un service cloud UiPath doit atteindre l'un de vos points de terminaison locaux, la demande est déplacée du service cloud via le serveur de relais, le tunnel vers le client de relais, puis de là sur votre réseau local vers le service cible.
Étant donné que le client de relais lance toutes les connexions tunnel sortantes, votre réseau n’accepte jamais une connexion entrante depuis Internet.
Flux de connectivité
- Vous enregistrez les points de terminaison locaux sous un groupe de relais dans l'administration UiPath. La liste des points de terminaison est stockée dans le service de relais.
- Le client de relais effectue un appel de découverte authentifié vers la plateforme cloud pour récupérer la liste des points de terminaison à exposer.
- Le client de relais établit une connexion de contrôle persistante au serveur de relais spécifique à la région, par exemple
eu-relay.uipath.com. - Le serveur de relais valide la connexion via OIDC et vérifie la configuration du client par rapport au groupe de Relay enregistré, empêchant un client de récupérer des points de terminaison qui ne lui appartiennent pas.
- Lorsqu’un service UiPath doit appeler un point de terminaison local, il récupère l’URL de relais à partir de l’API de relais et obtient un jeton d’étendue de relais à partir de l’identité UiPath.
- Le service appelle l’URL de relais. L’infrastructure de Relay valide le jeton et l’autorisation du locataire avant de transmettre la requête via le tunnel.
- Le client de relais met fin à la connexion par tunnel entrant et relance une connexion HTTP ou HTTPS au point de terminaison local sur le réseau local.
Pour un meilleur débit, déployez le client de relais dans la même région géographique que votre locataire cloud. Le trafic suit le chemin UiPath Cloud → serveur de relais → nœud de Relay → service local, de sorte que les tunnels inter-régions ajoutent une latence égale au temps d'aller-retour entre les régions; pour les scénarios à charge utile importante, cette différence est importante.
Haute disponibilité (High Availability)
Pour les environnements de production, déployez au moins deux clients de relais au sein du même groupe de Relay avec un accès réseau et une configuration de magasin approuvé identiques. Les clients d’un groupe partagent la charge via une distribution par robot et échouent automatiquement si un client devient indisponible.
Lorsque plusieurs clients utilisent la reconnexion proactive, ils se coordonnent de sorte qu’un seul client se draine à la fois, ce qui maintient le groupe disponible en permanence tout au long de chaque cycle de reconnexion.
Modèle de sécurité
- Authentification. Le client de relais s’authentifie auprès de la plateforme cloud à l’aide des informations d’identification du client OAuth 2.0. Le serveur de relais valide chaque connexion de contrôle via OIDC et vérifie que le client correspond au groupe de Relay enregistré.
- Chiffrement au repos. Les informations d’identification stockées sur la machine du client de relais sont chiffrées: AES-256-GCM sous Linux, DPAPI sous Windows.
- Chiffrement en transit. Tout le trafic entre le client de relais et le serveur de relais est chiffré avec TLS.
- Étendue du jeton. Les services UiPath obtiennent un jeton à l'échelle du Relay avant d'appeler une URL du relais. L’infrastructure de Relay valide ce jeton et l’autorisation du locataire de consommation avant de transférer la requête.
TLS et confiance de certificat
Le client de relais se termine et relance les connexions HTTP ou HTTPS vers les cibles locales. Lorsque le point de terminaison local utilise HTTPS, le magasin d'approbation du système d'exploitation sur la machine du client de relais doit approuver l'autorité de certification qui a signé le certificat du point de terminaison local.
Si votre point de terminaison utilise un certificat auto-signé ou une autorité de certification d'entreprise privée, ajoutez l'autorité de certification au magasin approuvé de la machine du client de relais avant de démarrer le relais. Si cette option n'est pas respectée, le client de relais rejettera la connexion à la cible interne.