Configuration de la clé de chiffrement par locataire

Il est possible d'utiliser Microsoft Azure Key Vault pour chiffrer chaque locataire dans votre instance d'Orchestrator avec sa propre clé unique. Orchestrator utilise Key Vault pour stocker et gérer les clés en toute sécurité, ainsi que pour les gérer, garantissant une meilleure répartition de vos données entre les locataires.

Orchestrator installé dans Automation Suite peut tirer parti de cette fonctionnalité, mais vous devez connecter l'application Orchestrator à Internet et à Azure Key Vault.

Vue d'ensemble (Overview)

L’authentification Orchestrator est nécessaire pour utiliser Azure Key Vault via les inscriptions d’applications. Les inscriptions d'applications peuvent accorder une série de privilèges aux applications. Dans notre cas, Orchestrator est l’application, et Azure Key Vault est le privilège ciblé.

Vous devez d'abord configurer l'accès des Inscriptions d'application à Azure Key Vault. L'authentification Orchestrator avec les Inscriptions d'applications peut être effectuée à l'aide de la clé privée SSL d'un certificat et de la clé publique SSL importée dans les Inscriptions d'applications. Après avoir configuré les Inscriptions d'application et Key Vault, vous devez apporter quelques modifications au configmap orchestrator-customconfig utilisé dans le cluster Automation Suite et modifier les paramètres ArgoCD correspondants pour l'application Orchestrator à partir de l'interface utilisateur ArgoCD. Une fois ces critères remplis, Orchestrator peut utiliser Azure Key Vault pour chiffrer chaque locataire.

Prérequis

Votre propre instance de Microsoft Azure Key Vault
Une installation propre d'Orchestrator dans Automation Suite
Un certificat SSL valide :
- Certificat de clé privée (Private Key Certificate) — Il doit être téléchargé dans App Services > Paramètres SSL (SSL Settings) > Certificats de clé privée (Private Key Certificates)
- Certificat de clé publique (Public Key Certificate) — Vous devez le télécharger dans Inscriptions de l'application (App registration) > Paramètres (Settings) > Clés (Keys) > Clés publiques (Public Keys)
(Facultatif) Un certificat autosigné

Pour convertir le fichier .pfx certificate en base64, exécutez la commande suivante :

PowerShell : [convert]::ToBase64String((Get-Content -path "path_to_certificate" -Encoding byte))
Shell : base64 [_path_to_certificate_]

Remarque : Les utilisateurs ne doivent pas modifier les clés de chiffrement côté Azure Key Vault, par exemple en activant/désactivant des secrets ou en modifiant la date d’activation et la date d’expiration. Si une clé secrète est désactivée, les données stockées par Orchestrator pour ce locataire ne sont plus déchiffrées.

Étapes d’Inscription d'applications

Dans le volet Inscriptions d’applications (App Registrations) d’Azure Portal, suivez les étapes suivantes :

Créez une nouvelle inscription d’application.
Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
Allez dans Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) et téléchargez la clé de certificat SSL public mentionné dans les prérequis.

Étapes Azure Key Vault

Dans Azure Key Vault, procédez comme il suit :

Accédez à la page Aperçu des coffres de clés (Key Vaults Overview) et copiez le nom DNS pour une utilisation ultérieure.
Accédez à la page Coffres de clés (Key Vaults) et sélectionnez Paramètres (Settings) > Stratégies d’accès (Access policies).
Cliquez sur Ajouter la stratégie d’accès (Add access policy).
À partir du menu déroulant Configurer depuis le modèle (facultatif) (Configure from template (optional)), sélectionnez Clé, Clé secrète et Gestion des certificats (Key, Secret, & Certificate Management).
Cliquez sur Aucun sélectionné (None selected) dans la section Application autorisée (Authorized application) pour activer le champ Sélectionner principal (Select principal).
Entrez le nom d’inscription de l'application, confirmez que l’ID d’application est correct et sélectionnez ce principal.
Cliquez sur Ajouter (Add).

Étapes de configuration personnalisée d'Orchestrator

Apportez les modifications de configuration suivantes à Orchestrator :

Configurez Azure Key Vault pour l'instance Orchestrator à partir des paramètres de l'interface utilisateur ArgoCD :
1. Copiez le formulaire base64 du certificat et indiquez-le comme valeur pour le paramètre encryptionKeyPerTenant.certificateBase64.
2. Copiez le mot de passe du certificat, le cas échéant, et indiquez-le comme valeur pour le paramètre encryptionKeyPerTenant.certificatePassword.
3. Copiez l’ID de l’application (client) d’entrée (Input Application (Client) ID) à partir de la page Inscriptions d’applications (App Registrations) et indiquez-la comme valeur du paramètre encryptionKeyPerTenant.clientId.
4. Copiez l'ID d'annuaire (locataire) (Directory (tenant) ID) de votre organisation à partir de la page Inscriptions d'application (App Registrations) et indiquez-le comme valeur pour le paramètre encryptionKeyPerTenant.directoryId.
5. Copiez le nom DNS (DNS Name) à partir de la page Vue d'ensemble de Key Vaults (Key Vaults Overview) et indiquez-le comme valeur pour le paramètre encryptionKeyPerTenant.vaultAddress.
Mettez à jour la section AppSettings du configmap orchestrator-customconfig comme suit pour activer la clé de chiffrement par fonctionnalité de locataire :
1. Définissez EncryptionKeyPerTenant.Enabled sur true.
2. Définissez EncryptionKeyPerTenant.KeyProvider sur AzureKeyVault.
  Cela peut être fait via le ou en mettant à jour le configmap à l'aide de Lens.
Redémarrez le déploiement d'Orchestrator Automation Suite à partir du cluster pour que les modifications prennent effet.

Remarque : Si vous migrez d'une version autonome d'Orchestrator vers Automation Suite, les paramètres SMTP dans Identity Server ne sont pas chiffrés avec la clé par locataire. Une fois la migration terminée, assurez-vous de saisir à nouveau le mot de passe SMTP dans le portail Automation Suite.

À cette page