orchestrator

latest

false

Démarrage
- Introduction
- Disponibilité des fonctionnalités d'Orchestrator
- Licences
- Robots
  - États du Robot
  - Paramètres du Robot
- Mise à jour automatique des composants clients
- Périodes de mise en production
- Plages d'IP sortantes Orchestrator
- Chat d’Autopilot dans Orchestrator
- Notifications
Meilleures pratiques
- Modélisation de l'organisation dans Orchestrator
- Meilleures pratiques d'automatisation
- Optimisation de l'infrastructure Unattended à l'aide de modèles de machine
- Automatisation non assistée
- Organisation des ressources avec des balises
- Exportation des grilles dans l'arrière-plan
  - Le rapport exporté
- Appliquer la gouvernance de la connexion Integration Service au niveau de l'utilisateur
Locataire
- À propos du contexte du locataire
- Recherche de ressources dans un locataire
- Robots
- Dossiers
- Surveillance
- Contrôle d'accès
- Configurer les capacités d’automatisation
- Machines
- Solutions
- Paquets
- Audit
- Magasins d'identifiants
  - Intégration des magasins d'identifiants
  - Gestion des magasins d'identifiants
  - L'Orchestrator Credentials Proxy
  - Débogage d'Orchestrator Credentials Proxy
  - Managing credential proxies
- Webhooks
  - Types d'événements
  - Gestion des Webhooks
- Licences
  - Gestion de vos licences
- Paramètres
Registre
- About the Registry context
- Déploiements de solutions
- Processus (Processes)
- Ressources
Cloud Robots
- Cloud robots overview
- Licences à tarification unifiée
- Licences Flex
- Elastic Robot Orchestration
- Robots Automation Cloud™ - Machines virtuelles
- Robots Automation Cloud™ - Sans serveur
- Configuration du VPN pour les robots du cloud
- Configurer une connexion ExpressRoute
- Diffusion en direct et contrôle à distance
- Mes notifications
Robots Automation Suite
- À propos Robots Automation Suite
- Exécuter des automatisations non assistées (unattended) avec des robots Automation Suite
- Régénération des clés secrètes du client
- Questions fréquemment posées
Contexte des dossiers
- À propos du contexte des dossiers
- Accueil
Processus (Processes)
- À propos des processus
- Gestion des processus
- Gestion des exigences de package
- Enregistrement
- Diffusion en direct et contrôle à distance
  - Flux en direct et contrôle à distance via RealVNC
    - Scénarios d'erreur
  - Flux en direct et contrôle à distance via TightVNC
    - Scénarios d'erreur
Tâches (Jobs)
- À propos des tâches
- Gestion des tâches
- États d'une tâche
- Travailler avec des workflows de longue durée
- Exécuter des automatisations à distance personnelles
- Stratégie de conservation des données des processus
Apps
- À propos des Apps
- Publier une application pour un locataire
- Gestion des applications
- Exécuter une application déployée à partir d'un dossier
Déclencheurs (Triggers)
- À propos des déclencheurs
- Gestion des déclencheurs
- Gestion des jours non ouvrables
- Utilisation d'expressions cron
  - Déclenchement des tâches le dernier jour du mois
Journaux (Logs)
- À propos des journaux
- Gestion des journaux dans Orchestrator
- Niveaux de journalisation
Surveillance
- À propos de la surveillance
- Machines
- Agents
- Processus (Processes)
- Files d'attente (Queues)
- Index
- SLA de files dʹattente
Index
- À propos des index
- Gérer les index
Files d'attente (Queues)
- À propos des files d'attente et des transactions
- Téléchargement d'éléments en bloc à l'aide d'un fichier CSV
- Gestion des files d'attente dans Orchestrator
- Gestion des files d'attente dans Studio
- Gestion des transactions
  - Modification des transactions
  - Description des champs du fichier .csv des transactions
- Demandes de révision
Actifs
- À propos des actifs
- Gestion des actifs dans Orchestrator
- Gestion des actifs dans Studio
- Stockage des ressources dans Azure Key Vault (lecture seule)
- Stockage des ressources dans HashiCorp Vault (lecture seule)
- Stockage des ressources dans AWS Secrets Manager (lecture seule)
- Stocker des ressources dans Google Secret Manager (lecture seule)
Connexions
- About Connections
- Gérer les connexions
Règles métier
- À propos des règles métier
  - Autorisations des règles métier
- Gérer les règles métier
  - Créer une règle métier
Compartiments de stockage
- À propos des compartiments de stockage
  - Configuration CORS/CSP
- Gestion des compartiments de stockage
Serveurs MCP
- À propos des serveurs MCP
- Gestion des serveurs MCP
- Directives de conformité MCP
Tests d'Orchestrator
- FAQ - Obsolescence du module de test
  - FAQ – Migrer des artéfacts de test vers Test Manager
  - FAQ - Parité des fonctionnalités - Test Manager vs Orchestrator
- Automatisation de test
- Cas de test
  - Description des champs de la page Cas de test (Test Cases)
- Ensembles de tests
  - Description des champs de la page Ensembles de test (Test Sets)
- Exécutions de test
  - Description des champs de la page Exécutions de test (Test Executions)
- Planifications de test
  - Description des champs de la page Planifications de test (Test Schedules)
- Files d'attente de données de test
- Test de la stratégie de conservation des données
Service de catalogue de ressources
- À propos du service de catalogue de ressources
Intégrations
- À propos des arguments d'entrée et de sortie
  - Exemple d'utilisation des arguments d'entrée et de sortie
Résolution des problèmes
- À propos de la résolution des problèmes
- Résoudre les problèmes d’alertes
- Résolution des problèmes d'ordre général
- Erreurs d'Orchestrator fréquemment rencontrées

Important :

La localisation du contenu nouvellement publié peut prendre 1 à 2 semaines avant d’être disponible.

Guide de l'utilisateur d'Orchestrator

PRODUIT :

Dernière mise à jour 22 avr. 2026

L'Orchestrator Credentials Proxy

Vous pouvez ajouter vos propres magasins d'informations d'identification à Orchestrator, afin de contrôler indépendamment la sécurité de vos données de connexion.

To do that, you can load your desired credential store plugins, in the form of.dll files, to the Orchestrator Credentials Proxy web service. The installation kit contains all plugins supported by UiPath, but you can also develop your own plugin.dll files to load. This service then makes your plugins available to Orchestrator via a proxy, which is created in Orchestrator based on the the public URL and the secret key generated by the proxy.

Problème connu

Cela s’applique uniquement aux scénarios où le port de Orchestrator Credentials Proxy est défini sur une valeur différente de la valeur par défaut 443.

Lorsque vous effectuez une mise à niveau à partir de n’importe quelle version comprise entre les versions 1.0.0 et 2.0.1 et que vous avez utilisé un port personnalisé, le port local de la règle entrante UiPathOrchestratorCredentialsProxy est automatiquement remplacé par le port 443, soit le port par défaut. Cela empêche que la connexion au proxy soit établie.

Pour contourner ce problème, vous devez modifier manuellement le port local dans la règle entrante lors de la mise à niveau.

Installation

The Orchestrator Credentials Proxy can be installed either through an.msi installer or through a Docker image provided by UiPath.

Via le fichier programme d'installation .msi

Prérequis

Prérequis matériels

Voici la configuration minimale requise pour exécuter le proxy sur un serveur Windows avec IIS. Les besoins réels en ressources varieront en fonction de l’utilisation individuelle.

Cœurs de processeur (CPU Cores)	RAM
2	4 Go

Prérequis logiciels

Les versions de Windows Server suivantes sont requises pour installer le proxy :

2012 R2
2016
2019
2022
2025

Les éléments suivants sont requis pour pouvoir utiliser le proxy :

ASP.NET Core versions 3.1 or later
IIS version 8.0 ou supérieure
Les rôles de serveur suivants doivent être installés sur votre machine :
- IIS-DefaultDocument
- IIS-HttpErrors
- IIS-StaticContent
- IIS-RequestFiltering
- IIS-URLAuthorization
- IIS-Authentification Windows
- IIS-ASPNET45
- IIS-ISAPIExtensions
- IIS-ISAPIFilter
- IIS-WebSockets
- IIS-ApplicationInit
- IIS-ManagementConsole

Remarque :

Pour les machines Windows Server, installez les rôles à l’aide du Gestionnaire de serveur.
For Windows 10 or Windows 11 machines, install the roles using the Turn Windows features on or off utility under Control Panel > Programs.

Étapes d'installation

Suivez ces étapes pour effectuer l'installation :

Download the UiPath Orchestrator Credential Proxy installer from the Customer Portal.
Installez le proxy.

Proxy connecté

Public URL - the Orchestrator Credentials Proxy's URL that is publicly exposed
SSL Certificate - the Subject or Thumbprint of the SSL certificate used to secure connections with the Orchestrator Credentials Proxy. This is the SSL certificate installed on the computer or web server hosting the proxy.

Note that it must be issued by a public certificate provider, and it needs to be valid for the Public URL.

Port - the port corresponding to the Public URL
Secret Key - (automatically generated) the key needed for configuring a custom proxy in the Orchestrator interface; make sure to copy it to your clipboard for future use.

Vous pouvez modifier cet élément manuellement, sachant qu'il est également compatible avec la rotation des clés.

Proxy déconnecté

This feature is only available if you are on the Enterprise - Advanced licensing plan for Flex Pricing Plan, or Enterprise or Application Test Enterprise for Unified Pricing Plan.

SSL Certificate - the Subject or Thumbprint of the SSL certificate used to secure connections with the Orchestrator Credentials Proxy. This is the SSL certificate installed on the computer or web server hosting the proxy.
Port - the port corresponding to the URL
Secret Key - (automatically generated) the key needed for configuring a custom proxy in the Orchestrator interface; make sure to copy it to your clipboard for future use.

Vous pouvez modifier cet élément manuellement, sachant qu'il est également compatible avec la rotation des clés.

Lors de l'installation, le paramètre AppSettings.CredentialsProxyType dans appsettings.Production.json est défini sur Déconnecté (Disconnected). C'est ainsi que le proxy détecte le type au démarrage.

Remarque :

The Anonymous Authentication option must be set to Enabled in IIS for the proxy to work.

Chiffrement du paramètre Jwt:Keys

To add an extra layer of security, you can encrypt the Jwt:Keys and SecureStoreConfigurations:Context parameters in your appsettings.json file.

Remarque :

This requires UiPath.ConfigProtector.exe version 1.0.9 or higher.

Via l'image Docker

Informations préliminaires

Tous les paramètres de l'Orchestrator Credentials Proxy qui peuvent être modifiés sont disponibles dans son fichier appsettings.json. Les paramètres suivants sont importants dans la configuration initiale :

Jwt:Keys : (initialement vide) ce tableau de chaînes est utilisé pour configurer l'authentification du proxy. Il s'agit de la clé secrète que vous utiliserez lors du processus de création du proxy et qui permet à Orchestrator de récupérer avec succès les données du proxy. Toutes les valeurs non valides sont ignorées. Si aucune valeur valide n'est trouvée, le proxy ne se lancera pas.

Les clés secrètes doivent être au format base64 et peuvent être générées à l'aide de l'un des scripts PowerShell ci-dessous.

$bytes = [System.Security.Cryptography.RandomNumberGenerator]::GetBytes(64)
$jwtSigningKey = [Convert]::ToBase64String($bytes);
Write-Host $jwtSigningKey
$bytes = [System.Security.Cryptography.RandomNumberGenerator]::GetBytes(64)
$jwtSigningKey = [Convert]::ToBase64String($bytes);
Write-Host $jwtSigningKey

Le script ci-dessus génère 64 octets aléatoires (en utilisant SeccureRandom) et les convertit en chaîne base64.

[Byte[]] $bytes = 1..64
$rng = New-Object System.Security.Cryptography.RNGCryptoServiceProvider
$rng.GetBytes($bytes)
$jwtSigningKey = [Convert]::ToBase64String($bytes);
Write-Host $jwtSigningKey
[Byte[]] $bytes = 1..64
$rng = New-Object System.Security.Cryptography.RNGCryptoServiceProvider
$rng.GetBytes($bytes)
$jwtSigningKey = [Convert]::ToBase64String($bytes);
Write-Host $jwtSigningKey

appSettings:Plugins.SecureStores : (initialement défini sur les magasins d'informations d'identification par défaut disponibles dans Orchestrator) il s'agit d'une chaîne CSV utilisée pour spécifier les assemblys .dll à charger depuis le disque (à partir de path/plugins) afin de permettre l'utilisation des magasins sécurisés par le proxy. L'ajout d'assemblys non valides à la liste n'interrompra pas le démarrage, mais vous recevrez des erreurs de journal lors du déploiement.
appSettings:SigningCredentialSettings:FileLocation:SigningCredential:FilePath et appSettings:SigningCredentialSettings:FileLocation:SigningCredential:Password : (initialement masqués) à utiliser pour chiffrer les paramètres Jwt:Keys et SecureStoreConfigurations:Context. Il s’agit du chemin d’accès au fichier de votre certificat de signature.
appSettings:SigningCredentialSettings:StoreLocation:Name, appSettings:SigningCredentialSettings:StoreLocation:Location, appSettings:SigningCredentialSettings:StoreLocation:NameType : (initialement masqués) à utiliser pour chiffrer les paramètres Jwt:Keys et SecureStoreConfigurations:Context.

Configuration et exécution de l'image Docker

Pour exécuter un Orchestrator Credentials Proxy à l'aide de Docker, effectuez les étapes suivantes.

Télécharger l'image Docker

You can download the image from http://registry.uipath.com/.

Remarque :

Make sure to include the required version of the Orchestrator Credentials Proxy in the URL. For example, to download the image for version 2.1.4, use:

http://registry.uipath.com/orchestrator-credentialsproxy:2.1.4
http://registry.uipath.com/orchestrator-credentialsproxy:2.1.4

Cette URL pointe vers une image Docker et doit être accessible via la CLI Docker, et non via un navigateur Web.

Notez que la version 1.0.0 ne prend en charge que le proxy connecté, tandis que les versions 2.0.0 et ultérieures prennent également en charge le proxy déconnecté.

Utilisez cette commande pour obtenir l'image :

$bytes = [System.Security.Cryptography.RandomNumberGenerator]::GetBytes(64);
$jwtSigningKey = [Convert]::ToBase64String($bytes);
docker run -e LICENSE_AGREEMENT=accept -e Jwt__Keys__0=$jwtSigningKey -p 8000:8080 registry.uipath.com/orchestrator-credentialsproxy:1.0.0
$bytes = [System.Security.Cryptography.RandomNumberGenerator]::GetBytes(64);
$jwtSigningKey = [Convert]::ToBase64String($bytes);
docker run -e LICENSE_AGREEMENT=accept -e Jwt__Keys__0=$jwtSigningKey -p 8000:8080 registry.uipath.com/orchestrator-credentialsproxy:1.0.0

Il s'agit de l'image UiPath par défaut, qui contient les magasins d'informations d'identification déjà disponibles dans votre compte cloud. Vous pouvez déployer l'image dans l'environnement cloud de votre choix.

La commande ci-dessus génère également la clé secrète.

Créer votre propre image Docker personnalisée

Vous pouvez créer votre propre image Docker, avec des assemblys supplémentaires, sur la base de l'image fournie par UiPath et téléchargée à l'étape 1. Pour ce faire :

Créez un fichier Dockerfile (à des fins d'illustration, nous le nommerons CustomDockerfile) et ajoutez-y les éléments suivants :
```
FROM {docker-image-path}
RUN rm -rf ./plugins 
COPY --chown=1001:0 {path of your custom assemblies} ./plugins 
ENTRYPOINT ["dotnet", "UiPath.OrchestratorCredentialsProxy.dll"]
FROM {docker-image-path}
RUN rm -rf ./plugins 
COPY --chown=1001:0 {path of your custom assemblies} ./plugins 
ENTRYPOINT ["dotnet", "UiPath.OrchestratorCredentialsProxy.dll"]
```
- Remplacez {docker-image-path} par le chemin d'accès à l'image Docker initiale, fournie par UiPath.
- Replace {path of your custom assemblies} with the path to your own credential store .dll files.Find out how Visual Studio uses this Dockerfile to build your images for faster debugging.
Générez l'image Docker à l'aide de cette commande, qui inclut le nom du fichier Docker nouvellement créé :
```
docker build -f CustomDockerfile . -t customproxy
docker build -f CustomDockerfile . -t customproxy
```

Exécutez l'image Docker :

docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0=$jwtSigningKey -e appSettings__Plugins.SecureStores="{your-list-of-assemblies}" customproxy
docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0=$jwtSigningKey -e appSettings__Plugins.SecureStores="{your-list-of-assemblies}" customproxy

Remplacez {your-list-of-assemblies} par les fichiers .dll des magasins d'informations d'identification personnalisés que vous souhaitez ajouter à Orchestrator.

Pour exécuter l'image avec un paramètre Jwt:Keys :

  ```
  docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0=$jwtSigningKey {docker-image-name}
  ```
  ```
  docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0=$jwtSigningKey {docker-image-name}
  ```

Pour exécuter l'image avec plusieurs paramètres Jwt:Keys :

  ```
  docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0==$jwtSigningKey" -e Jwt__Keys__1==$jwtSigningKey" -e Jwt__Keys__2==$jwtSigningKey ... {docker-image-name}
  ```
  * Replace `{docker-image-name}` with the name you set for your custom Docker image.
  ```
  docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0==$jwtSigningKey" -e Jwt__Keys__1==$jwtSigningKey" -e Jwt__Keys__2==$jwtSigningKey ... {docker-image-name}
  ```
  * Replace `{docker-image-name}` with the name you set for your custom Docker image.

Pour exécuter l'image avec une valeur personnalisée pour le paramètre appSettings:Plugins.SecureStores (c'est-à-dire avec le magasin d'informations d'identification souhaité), remplacez le contenu de ce paramètre par vos propres fichiers .dll : du magasin d'informations d'identification :

  ```
  docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0=$jwtSigningKey -e appSettings__Plugins.SecureStores="UiPath.Orchestrator.CyberArk.dll;UiPath.Orchestrator.AzureKeyVault.SecureStore.dll" {docker-image-name}
  ```
  ```
  docker run --publish 8000:8080 -e LICENSE_AGREEMENT="accept" -e Jwt__Keys__0=$jwtSigningKey -e appSettings__Plugins.SecureStores="UiPath.Orchestrator.CyberArk.dll;UiPath.Orchestrator.AzureKeyVault.SecureStore.dll" {docker-image-name}
  ```

4. (Optional) Test the new Docker image

Pour tester votre image, accédez à son interface Swagger sur http://localhost:8000/swagger/index.html et vérifiez si le point de terminaison /Health non authentifié dédié fonctionne. Une requête réussie renvoie une réponse vide avec un code de statut HTTP 200 OK.

Configuration

Proxy connecté et déconnecté

La première étape de configuration de votre proxy consiste à ajouter les fichiers .dll que vous souhaitez utiliser dans le dossier C:\Program Files\UiPath\CredentialsProxy\plugins.

Certains magasins d’informations d’identification peuvent vous obliger à configurer les paramètres au niveau de l’application, de l’hôte ou du proxy. Les paramètres sont équivalents à leurs homologues Orchestrator. Vous devez spécifier ces paramètres dans le fichier appsettings.Production.json du proxy.

CyberArk

Vous devez ajouter tous les paramètres au niveau de l’hôte tels que CLIPasswordSDKExePath, UsePowerShellCLI et AdditionalAllowedCharacters sous le paramètre Appsettings dans le fichier appsettings.Production.json :

{
// ...
  "AppSettings": {
    "Plugins.SecureStores.CyberArk.CLIPasswordSDKExePath": "D:\\PathName\\CLIPasswordSDK.exe",
    // ...
  }
  // ...
}
{
// ...
  "AppSettings": {
    "Plugins.SecureStores.CyberArk.CLIPasswordSDKExePath": "D:\\PathName\\CLIPasswordSDK.exe",
    // ...
  }
  // ...
}

CyberArk CCP

Si vous ne pouvez pas récupérer CyberArkCCP via le proxy, ajoutez le paramètre suivant au fichier appsettings.Production.json :

{
// ...
  "AppSettings": {
    "Plugins.SecureStores.CyberArkCCP.KeyStorageFlags": "MachineKeySet",
    // ...
  }
  // ...
}
{
// ...
  "AppSettings": {
    "Plugins.SecureStores.CyberArkCCP.KeyStorageFlags": "MachineKeySet",
    // ...
  }
  // ...
}

HashiCorp Vault

Pour activer le protocole d’authentification Kerberos et activer le transfert de noeud pour HashiCorp Vault, ajoutez les paramètres suivants au fichier appsettings.Production.json :

// ...
  "AppSettings": {
    "Plugins.SecureStores.HashiCorp Vault.KerberosEnabled": "true", // Optional, for Kerberos enablement
    "Plugins.SecureStores.HashiCorp Vault.ForwardToActiveNode": "true", // Optional, for forwarding to active node
    // ...
  }
  // ...
}
// ...
  "AppSettings": {
    "Plugins.SecureStores.HashiCorp Vault.KerberosEnabled": "true", // Optional, for Kerberos enablement
    "Plugins.SecureStores.HashiCorp Vault.ForwardToActiveNode": "true", // Optional, for forwarding to active node
    // ...
  }
  // ...
}

HashiCorp Vault (lecture seule)

Pour activer le protocole d’authentification Kerberos pour HashiCorp Vault (lecture seule), ajoutez les paramètres suivant au fichier appsettings.Production.json :

// ...
  "AppSettings": {
    "Plugins.SecureStores.HashiCorp Vault (read only).KerberosEnabled": "true", // Optional, for Kerberos enablement
    "Plugins.SecureStores.HashiCorp Vault (read only).ForwardToActiveNode": "true", // Optional, for forwarding to active node
    // ...
  }
  // ...
}
// ...
  "AppSettings": {
    "Plugins.SecureStores.HashiCorp Vault (read only).KerberosEnabled": "true", // Optional, for Kerberos enablement
    "Plugins.SecureStores.HashiCorp Vault (read only).ForwardToActiveNode": "true", // Optional, for forwarding to active node
    // ...
  }
  // ...
}

Proxy déconnecté uniquement

Ce type de proxy est complètement séparé d’Orchestrator, de sorte que vous devez fournir les informations relatives aux coffres d’informations d’identification localement, dans le fichier de configuration appsettings.Production.json. Vous pouvez trouver ce fichier à l’emplacement suivant : C:\Program Files\UiPath\OrchestratorCredentialsProxy\appsettings.Production.json.

Vous devez modifier les champs suivants dans ce fichier, dans la section AppSettings - SecureStoreConfigurations :

Key : la clé d'identification de la configuration
Type : le type de coffre d'informations d'identification, tel qu'identifié dans les fichiers .dll configurés via le paramètre Plugins.SecureStores trouvé dans appsettings.json (voir les exemples ci-dessous)
Context : les informations de connectivité liées à l'implémentation du magasin sécurisé
Important :
Une fois que vous avez modifié le fichier de configuration, vous devez redémarrer le service à partir d'IIS.

Exemples de configuration

Vous devez ajouter les exemples suivants au fichier de configuration appsettings.Production.json afin de démarrer le proxy déconnecté. Sinon, le service ne démarrera pas.

Choisissez l'exemple approprié en fonction de votre type de magasin d'informations d'identification ou ajoutez plusieurs magasins d'informations d'identification en utilisant le tout dernier exemple de cette page.

Vous devez modifier les champs suivants dans ce fichier, dans la section AppSettings - SecureStoreConfigurations :

Key : la clé d'identification de la configuration
Type : le type de coffre d'informations d'identification, tel qu'identifié dans les fichiers .dll configurés via le paramètre Plugins.SecureStores trouvé dans appsettings.json (voir les exemples ci-dessous)
Context : les informations de connectivité liées à l'implémentation du magasin sécurisé
Important :
Une fois que vous avez modifié le fichier de configuration, vous devez redémarrer le service à partir d'IIS.

Remarque :

Avant d’apporter des modifications au fichier appsettings.Production.json, assurez-vous de créer une sauvegarde du fichier d’origine. Cela vous permet de restaurer facilement la configuration initiale ou de comparer les modifications si des problèmes surviennent pendant la configuration.

AWS Secrets Manager/AWS Secrets Manager (lecture seule)

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyAwsStore>",
        "Type": "AWS Secrets Manager" / "AWS Secrets Manager (read only)",
        "Context": {
          "UseDefaultCredentials": "true",
          "AccessKey": "<AccessKey>",
          "SecretKey": "<SecretKey>",
          "Region": "<SelectedRegion>"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyAwsStore>",
        "Type": "AWS Secrets Manager" / "AWS Secrets Manager (read only)",
        "Context": {
          "UseDefaultCredentials": "true",
          "AccessKey": "<AccessKey>",
          "SecretKey": "<SecretKey>",
          "Region": "<SelectedRegion>"
        }
      },
    ]
...

Azure Key Vault (lecture seule)

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyAzureStore>",
        "Type": "AzureKeyVault (read only)",
        "Context": {
          "KeyVaultUri": "<KeyVaultUri>",
          "DirectoryId": "<DirectoryId>",
          "ClientId": "<ClientId>",
          "ClientSecret": "<ClientSecret>"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyAzureStore>",
        "Type": "AzureKeyVault (read only)",
        "Context": {
          "KeyVaultUri": "<KeyVaultUri>",
          "DirectoryId": "<DirectoryId>",
          "ClientId": "<ClientId>",
          "ClientSecret": "<ClientSecret>"
        }
      },
    ]
...

Important :

Azure Key Vault (lecture/écriture) n'est pas pris en charge.

Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyBeyondTrustManagedAccountsSafe>",
        "Type": "BeyondTrust Password Safe - Managed Accounts",
        "Context": {
          "Hostname": "<HostName>",
          "APIRegistrationKey": "<ApiRegistrationKey>",
          "APIRunAsUsername": "<Username>",
          "DefaultManagedSystemName": "", // can be empty or a string
          "SystemAccountDelimiter": "/", // default account delimiter is "/", but it can be changed
          "ManagedAccountType": "<ManagedAccountType>" // expected value is one of "system", "domainlinked", "database", "cloud", "application"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyBeyondTrustManagedAccountsSafe>",
        "Type": "BeyondTrust Password Safe - Managed Accounts",
        "Context": {
          "Hostname": "<HostName>",
          "APIRegistrationKey": "<ApiRegistrationKey>",
          "APIRunAsUsername": "<Username>",
          "DefaultManagedSystemName": "", // can be empty or a string
          "SystemAccountDelimiter": "/", // default account delimiter is "/", but it can be changed
          "ManagedAccountType": "<ManagedAccountType>" // expected value is one of "system", "domainlinked", "database", "cloud", "application"
        }
      },
    ]
...

Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyBeyondTrustTeamPasswordSafe>",
        "Type": "BeyondTrust Password Safe - Team Passwords",
        "Context": {
          "Hostname": "<HostName>",
          "APIRegistrationKey": "<ApiRegistrationKey>",
          "APIRunAsUsername": "<Username>",
          "FolderPathPrefix" : "/", // default delimiter is "/", but it can be changed
          "FolderPasswordDelimiter" : "/" // default delimiter is "/", but it can be changed
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyBeyondTrustTeamPasswordSafe>",
        "Type": "BeyondTrust Password Safe - Team Passwords",
        "Context": {
          "Hostname": "<HostName>",
          "APIRegistrationKey": "<ApiRegistrationKey>",
          "APIRunAsUsername": "<Username>",
          "FolderPathPrefix" : "/", // default delimiter is "/", but it can be changed
          "FolderPasswordDelimiter" : "/" // default delimiter is "/", but it can be changed
        }
      },
    ]
...

CyberArk - AIM

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyCyberArk>",
        "Type": "CyberArk",
        "Context": {
          "ApplicationId": "<App_MyCyberArk>",
          "Safe": "<Passwords>",
          "Folder": "<MyFolder>"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyCyberArk>",
        "Type": "CyberArk",
        "Context": {
          "ApplicationId": "<App_MyCyberArk>",
          "Safe": "<Passwords>",
          "Folder": "<MyFolder>"
        }
      },
    ]
...

Tous les paramètres au niveau de l'hôte, tels que CLIPasswordSDKExePath, UsePowerShellCLI ou AdditionalAllowedCharacters doivent être placés sous le paramètre Appsettings de manière similaire à la façon dont cela est fait pour Orchestrator.

{
// ...
  "AppSettings": {
    "Plugins.SecureStores.CyberArk.CLIPasswordSDKExePath": "D:\\<MyPath>\\CLIPasswordSDK.exe",
    "Plugins.SecureStores": "UiPath.Orchestrator.CyberArk.dll;UiPath.Orchestrator.AzureKeyVault.SecureStore.dll;UiPath.Orchestrator.SecureStore.CyberArkCCP.dll;UiPath.Orchestrator.SecureStore.CyberArkConjur.dll;UiPath.Orchestrator.SecureStore.HashiCorpVault.dll;UiPath.Orchestrator.SecureStore.ThycoticSecretServer.dll;UiPath.Orchestrator.SecureStore.BeyondTrust.dll;UiPath.Orchestrator.SecureStore.AWSSecretsManager.dll",
    "CredentialsProxyType": "Disconnected"
    // ...
  }
  // ...
{
// ...
  "AppSettings": {
    "Plugins.SecureStores.CyberArk.CLIPasswordSDKExePath": "D:\\<MyPath>\\CLIPasswordSDK.exe",
    "Plugins.SecureStores": "UiPath.Orchestrator.CyberArk.dll;UiPath.Orchestrator.AzureKeyVault.SecureStore.dll;UiPath.Orchestrator.SecureStore.CyberArkCCP.dll;UiPath.Orchestrator.SecureStore.CyberArkConjur.dll;UiPath.Orchestrator.SecureStore.HashiCorpVault.dll;UiPath.Orchestrator.SecureStore.ThycoticSecretServer.dll;UiPath.Orchestrator.SecureStore.BeyondTrust.dll;UiPath.Orchestrator.SecureStore.AWSSecretsManager.dll",
    "CredentialsProxyType": "Disconnected"
    // ...
  }
  // ...

CyberArk - CCP

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyCyberArkCCPStore>",
        "Type": "CyberArkCCP",
        "Context": {
          "ApplicationId": "<ApplicationId>",
          "Safe": "<CyberArkSafe>",
          "Folder": "<CyberArkFolder>",
          "WebServiceUrl": "<CentralCredentialProviderUrl>",
          "WebServiceName": "<WebServiceName>",
          "SerializedClientCertificate": "<ClientCertificate>", // must be the ".pfx" file's content as base64 string
          "ClientCertificatePassword": "<ClientCertificatePassword>",
          "SerializedRootCA": "<someServerRootCA>" // must be the ".crt" or ".cer" file's content as base64 string
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyCyberArkCCPStore>",
        "Type": "CyberArkCCP",
        "Context": {
          "ApplicationId": "<ApplicationId>",
          "Safe": "<CyberArkSafe>",
          "Folder": "<CyberArkFolder>",
          "WebServiceUrl": "<CentralCredentialProviderUrl>",
          "WebServiceName": "<WebServiceName>",
          "SerializedClientCertificate": "<ClientCertificate>", // must be the ".pfx" file's content as base64 string
          "ClientCertificatePassword": "<ClientCertificatePassword>",
          "SerializedRootCA": "<someServerRootCA>" // must be the ".crt" or ".cer" file's content as base64 string
        }
      },
    ]
...

En fonction de votre configuration d’IIS, vous devrez peut-être configurer des éléments KeyStorageFlags supplémentaires comme suit :

"AppSettings": {
...
"Plugins.SecureStores.CyberArkCCP.KeyStorageFlags": "MachineKeySet",
...
}
"AppSettings": {
...
"Plugins.SecureStores.CyberArkCCP.KeyStorageFlags": "MachineKeySet",
...
}

Vous pouvez transférer un fichier PFX, CRT ou CER dans une chaîne de caractères base64 comme suit :

$fileContentBytes = get-content 'C:\path\to\the.pfx' -Encoding Byte
[System.Convert]::ToBase64String($fileContentBytes) | Out-File 'C:\path\to\the.txt'
$fileContentBytes = get-content 'C:\path\to\the.pfx' -Encoding Byte
[System.Convert]::ToBase64String($fileContentBytes) | Out-File 'C:\path\to\the.txt'

CyberArk® Conjur Cloud (lecture seule)

...
"SecureStoreConfigurations": [
      {
        "Key": "MyCyberArkConjur",
        "Type": "CyberArk Conjur Cloud (read only)",
        "Context": {
          "ServiceUrl": "https://{myCyberArkConjurUrl}/",
          "LoginName": "{myLoginName}",
          "ApiKey": "{myApiKey}",
          "VariableIdPrefix": "{myPrefix}"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "MyCyberArkConjur",
        "Type": "CyberArk Conjur Cloud (read only)",
        "Context": {
          "ServiceUrl": "https://{myCyberArkConjurUrl}/",
          "LoginName": "{myLoginName}",
          "ApiKey": "{myApiKey}",
          "VariableIdPrefix": "{myPrefix}"
        }
      },
    ]
...

CyberArk® Conjur (lecture seule)

...
"SecureStoreConfigurations": [
  {
    "Key": "MyCyberArkConjur",
    "Type": "CyberArk Conjur (read only)",
    "Context": {
      "ApplianceUrl": "https://{company}.secretsmgr.cyberark.cloud/api",
      "Account": "{myAccount}",
      "AuthenticationType": "{Jwt|ApiKey}",
      "JWT":  {
          "JwtServiceId": "{myJwtServiceId}",
          "IdentityProviderUrl": "{myIdentityProviderUrl}",
          "ClientId": "{myClientId}",
          "ClientSecret": "{myClientSecret}",
          "Scope": "{myScope}"
      },
      "ApiKey": {
          "LoginName": "{myLoginName}",
          "Key": "{myApiKey}"
      },
      "HostId": "{myHostId}",
      "VariableIdPrefix": "{myPrefix}"
    }
  },
]
...
...
"SecureStoreConfigurations": [
  {
    "Key": "MyCyberArkConjur",
    "Type": "CyberArk Conjur (read only)",
    "Context": {
      "ApplianceUrl": "https://{company}.secretsmgr.cyberark.cloud/api",
      "Account": "{myAccount}",
      "AuthenticationType": "{Jwt|ApiKey}",
      "JWT":  {
          "JwtServiceId": "{myJwtServiceId}",
          "IdentityProviderUrl": "{myIdentityProviderUrl}",
          "ClientId": "{myClientId}",
          "ClientSecret": "{myClientSecret}",
          "Scope": "{myScope}"
      },
      "ApiKey": {
          "LoginName": "{myLoginName}",
          "Key": "{myApiKey}"
      },
      "HostId": "{myHostId}",
      "VariableIdPrefix": "{myPrefix}"
    }
  },
]
...

HashiCorp Vault/HashiCorp Vault (lecture seule)

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyHashiCorp>",
        "Type": "HashiCorp Vault" / "HashiCorp Vault (read only)",
        "Context": {
          "VaultUri": "<VaultUri>",
          "AuthenticationType": "<AppRole>",
          "RoleId": "<RoleId>",
          "SecretId": "<SecretId>",
          "Username": "<Username>",
          "Password": "<Password>",
          "Token": "<Token>",
          "SecretsEngine": "<KeyValueV2>",
          "SecretsEngineMountPath": "<Secret>",
          "DataPath": "<applications/orchestrator>",
          "Namespace": "<orchestrator>"
          "LdapUseDynamicCredentials" : "true"
          "KerberosSPN": "HTTP/vault-spn"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyHashiCorp>",
        "Type": "HashiCorp Vault" / "HashiCorp Vault (read only)",
        "Context": {
          "VaultUri": "<VaultUri>",
          "AuthenticationType": "<AppRole>",
          "RoleId": "<RoleId>",
          "SecretId": "<SecretId>",
          "Username": "<Username>",
          "Password": "<Password>",
          "Token": "<Token>",
          "SecretsEngine": "<KeyValueV2>",
          "SecretsEngineMountPath": "<Secret>",
          "DataPath": "<applications/orchestrator>",
          "Namespace": "<orchestrator>"
          "LdapUseDynamicCredentials" : "true"
          "KerberosSPN": "HTTP/vault-spn"
        }
      },
    ]
...

Tous les paramètres au niveau de l'hôte, tels que Plugins.SecureStores.HashiCorp Vault.KerberosEnabled, Plugins.SecureStores.HashiCorp Vault (read only).KerberosEnabled, Plugins.SecureStores.HashiCorp Vault (read only).ForwardToActiveNode ou Plugins.SecureStores.HashiCorp Vault.ForwardToActiveNode, doivent être placés sous le paramètre Appsettings de manière similaire à la façon dont cela est fait pour Orchestrator.

{
// ...
  "AppSettings": {
    // Optional, for Kerberos Enablement
    "Plugins.SecureStores.HashiCorp Vault.KerberosEnabled": "true",
    "Plugins.SecureStores.HashiCorp Vault (read only).KerberosEnabled": "true"
    // Optional, for Forwarding to Active node
    "Plugins.SecureStores.HashiCorp Vault.ForwardToActiveNode": "true",
    "Plugins.SecureStores.HashiCorp Vault (read only).ForwardToActiveNode": "true"
    // ...
  }
  // ...
}
{
// ...
  "AppSettings": {
    // Optional, for Kerberos Enablement
    "Plugins.SecureStores.HashiCorp Vault.KerberosEnabled": "true",
    "Plugins.SecureStores.HashiCorp Vault (read only).KerberosEnabled": "true"
    // Optional, for Forwarding to Active node
    "Plugins.SecureStores.HashiCorp Vault.ForwardToActiveNode": "true",
    "Plugins.SecureStores.HashiCorp Vault (read only).ForwardToActiveNode": "true"
    // ...
  }
  // ...
}

Thycotic Secret Server

...
"SecureStoreConfigurations": [
      {
        "Key": "<MyThicoticServer>",
        "Type": "Thycotic Secret Server",
        "Context": {
          "SecretServerUrl": "<ServerUrl>",
          "RuleName": "<Rule>",
          "RuleKey": "<Key>",
          "UsernameField": "<Username>",
          "PasswordField": "<Password>"
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<MyThicoticServer>",
        "Type": "Thycotic Secret Server",
        "Context": {
          "SecretServerUrl": "<ServerUrl>",
          "RuleName": "<Rule>",
          "RuleKey": "<Key>",
          "UsernameField": "<Username>",
          "PasswordField": "<Password>"
        }
      },
    ]
...

Google Secret Manager

...
"SecureStoreConfigurations": [
      {
        "Key": "<GoogleSecretManager>",
        "Type": "Google Secret Manager",
        "Context": {
          "ProjectId": "<ProjectId>",
          "ServiceAccountKeyJson": "<ServiceAccountKeyJson>",
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<GoogleSecretManager>",
        "Type": "Google Secret Manager",
        "Context": {
          "ProjectId": "<ProjectId>",
          "ServiceAccountKeyJson": "<ServiceAccountKeyJson>",
        }
      },
    ]
...

Google Secret Manager (lecture seule)

...
"SecureStoreConfigurations": [
      {
        "Key": "<GoogleSecretManager>",
        "Type": "Google Secret Manager (read only)",
        "Context": {
          "ProjectId": "<ProjectId>",
          "ServiceAccountKeyJson": "<ServiceAccountKeyJson>",
        }
      },
    ]
...
...
"SecureStoreConfigurations": [
      {
        "Key": "<GoogleSecretManager>",
        "Type": "Google Secret Manager (read only)",
        "Context": {
          "ProjectId": "<ProjectId>",
          "ServiceAccountKeyJson": "<ServiceAccountKeyJson>",
        }
      },
    ]
...

Plusieurs magasins d'informations d'identification

Si vous utilisez plusieurs magasins d’informations d’identification, vous pouvez les ajouter l’un sous l’autre, comme suit :

{
...
  "AppSettings": {
  ...
    "SecureStoreConfigurations": [
      {
        "Key": "<SecureStoreKey1>",
        "Type": "AzureKeyVault (read only)",
        "Context": {
          "KeyVaultUri": "<Uri>",
          "DirectoryId": "<DirectoryId>",
          "ClientId": "<ClientId>",
          "ClientSecret": "<ClientSecret>"
        }
      },
      {
        "Key": "<SecureStoreKey2>",
        "Type": "BeyondTrust Password Safe - Managed Accounts",
        "Context": {
          "Hostname": "<Host>",
          "APIRegistrationKey": "<ApiKey>",
          "APIRunAsUsername": "<ApiUsername>",
          "DefaultManagedSystemName": "",
          "SystemAccountDelimiter": "/",
          "ManagedAccountType": "system"
        }
      }
    ]
  ...
  }
}
{
...
  "AppSettings": {
  ...
    "SecureStoreConfigurations": [
      {
        "Key": "<SecureStoreKey1>",
        "Type": "AzureKeyVault (read only)",
        "Context": {
          "KeyVaultUri": "<Uri>",
          "DirectoryId": "<DirectoryId>",
          "ClientId": "<ClientId>",
          "ClientSecret": "<ClientSecret>"
        }
      },
      {
        "Key": "<SecureStoreKey2>",
        "Type": "BeyondTrust Password Safe - Managed Accounts",
        "Context": {
          "Hostname": "<Host>",
          "APIRegistrationKey": "<ApiKey>",
          "APIRunAsUsername": "<ApiUsername>",
          "DefaultManagedSystemName": "",
          "SystemAccountDelimiter": "/",
          "ManagedAccountType": "system"
        }
      }
    ]
  ...
  }
}

Validation

Important :

Cela s'applique uniquement au Credentials Proxy déconnecté.

Le proxy valide la configuration au démarrage, si le type qu’il détecte est Disconnected.

Voici certaines des étapes de validation effectuées par le proxy :

The proxy ensures that that appsettings.Production.json contains the expected configurations, as detailed in the Configuration section above.
Le proxy garantit que SecureStoreConfigurations ne contient pas de paramètres Key en double, autrement dit, que les magasins d’informations d’identification configurés dans le fichier appsettings.Production.json sont uniques.
Le paramètre SecureStoreConfigurations est un tableau de configurations. Vous pouvez ajouter autant de magasins d’informations d’identification que vous le souhaitez, même du même type. Par exemple, vous pouvez avoir plusieurs instances Azure Key Vault (lecture seule) configurées tant que le champ Key est unique.
Le proxy vérifie que toutes les valeurs Type sont valides.
En fonction de l’implémentation de chaque magasin sécurisé, le proxy vérifie que le coffre est accessible avec succès.

Journalisation

Les journaux du Credentials Proxy Orchestrator sont stockés localement, dans le dossier C:\Program Files\UiPath\OrchestratorCredentialsProxy, si le pool d'applications du proxy dispose d'autorisations d'écriture pour ce chemin d'accès. Ils sont configurés dans IIS.

Si vous ne souhaitez pas donner d’autorisations d’écriture pour ce dossier, indiquez le chemin d’accès relatif ou absolu de votre choix via le paramètre NLog.targets.logfile.fileName dans le fichier appsettings.Production.json.

Sur les machines Windows, le proxy stocke également les journaux dans l'Observateur d'événements (Event Viewer) de Windows.

Considérations de sécurité

Orchestrator autorise uniquement les URL sécurisées (HTTPS) pour le proxy. Le certificat HTTPS doit être valide et signé par une autorité de certification largement reconnue. Les certificats auto-signés ou signés par une autorité interne ne sont pas pris en charge.
Orchestrator est validé via une clé secrète de client générée par le Orchestrator Credentials Proxy. La clé secrète du client est stockée dans un fichier de configuration sur la machine où le Orchestrator Credentials Proxy est installé, et est chiffrée et stockée dans la base de données par Orchestrator.
Lorsque vous modifiez un proxy de magasin d’informations d’identification dans Orchestrator et que vous modifiez son URL, vous devez saisir la clé secrète du client.
Orchestrator Credentials Proxy 2.0.0 et versions ultérieures les actions sont consignées dans l'Observateur d'événements (Event Viewer) dans Windows.
Les binaires doivent être signés sur la machine Windows.
L'image Docker doit être signée.

Utiliser l’Orchestrator Credentials Proxy avec un équilibreur de charge

Si vous utilisez le proxy en combinaison avec un équilibreur de charge, assurez-vous de conserver la même configuration sur tous les nœuds.

Éléments qui doivent rester identiques sur les nœuds

La version du programme d’installation du proxy. Par exemple, si vous utilisez la version 1.0.0, tous les nœuds de l’équilibreur de charge doivent également utiliser la version 1.0.0.
Les paramètres dans les fichiers de configuration de l’application. Dans la plupart des cas, il s’agit de appsettings.json et appsettings.Production.json. Notez que appsettings.Production.json est unique pour chaque installation, vous devez donc l’ajouter manuellement à chaque nœud afin d’assurer la cohérence.
Les plug-ins du magasin d’informations d’identification ajoutés à path/plugins. Tous les plugins que nous prenons en charge se trouvent déjà dans ce dossier, vous n’avez donc qu’à faire attention aux plugins personnalisés que vous ajoutez.

Éléments importants à prendre en compte

Si vous souhaitez apporter des modifications à la configuration de l’image Docker que nous fournissons pour l’installation du proxy, nous vous recommandons fortement de créer une image Docker personnalisée à la place. Vous devez ensuite utiliser cette image personnalisée pour déployer le proxy sur tous les nœuds.
Certaines variables d’environnement peuvent avoir un impact lors du runtime, comme les variables d’environnement qui remplacent les valeurs de configuration appsettings.json ou celles qui affectent l’environnement .NET.
Vous pouvez utiliser le point de terminaison non authentifié dédié https://{YourOrchestratorCredentialsProxyURL}/api/v1/Health pour vérifier si le Orchestrator Credentials Proxy est toujours en cours d’exécution.

Mettre à jour le certificat Orchestrator Credentials Proxy

Pour les installations à nœud unique, mettez à jour le certificat SSL comme suit :

Import the new certificate into the Personal folder, under Certificates, in the local machine's certificate console (certlm.msc).
In the IIS Management Console, expand Sites, and select UiPath Orchestrator Credential Proxy.
From the right-side panel, select Bindings....
From the Bindings... view, select the default https record, then use the Select... button to choose a certificate.
In the Select Certificate pop-up window, select the newly added certificate.
Select OK until you complete the setup.
Remarque :
Pour les installations multi-nœuds, veillez à bien mettre à jour le certificat sur toutes les machines.

Pour mettre à jour le certificat pour les installations utilisant un équilibreur de charge, suivez les mêmes étapes que celles décrites ci-dessus. Étant donné que Orchestrator Credentials Proxy est dépourvu d’état, supprimez le nœud de l’équilibreur de charge lors de la mise à jour du certificat.

Rotation des clés

Rotation des clés avec temps d'arrêt

Remarque :

This operation requires stopping and restarting the running Orchestrator Credentials Proxy. This can have an impact on any live requests done by Orchestrator.

Générez une nouvelle clé secrète conformément aux normes d'Orchestrator Credentials Proxy.
Arrêtez votre Orchestrator Credentials Proxy.
Modifiez le fichier appsettings.Production.jsonet remplacez votre clé existante par la nouvelle clé.
Démarrez votre Orchestrator Credentials Proxy.
Dans Orchestrator, accédez à votre Orchestrator Credentials Proxy et modifiez le champ Secret avec votre nouvelle clé secrète.

Rotation des clés sans temps d'arrêt

Remarque :

This operation requires an Orchestrator Credentials Proxy with a load balancer and a minimum of two Orchestrator Credentials Proxy instances. For more information, check the Installation section.

Générez une nouvelle clé secrète conformément aux normes d'Orchestrator Credentials Proxy.
Ajoutez la clé nouvellement générée à vos instances de Credentials Proxy. Suivez cette procédure pour chaque instance :
1. Retirez une instance d'Orchestrator Credentials Proxy de l'équilibreur de charge.
2. Arrêtez cette instance d'Orchestrator Credentials Proxy.
3. Ouvrez le appsettings.Production.json fichier. Le fichier doit contenir un code similaire à ce qui suit :
  { "Jwt": { "Keys": [ "{{OldKey}}" ],{ "Jwt": { "Keys": [ "{{OldKey}}" ],
4. Ajoutez la clé nouvellement générée tout en conservant la clé existante. Le Keys paramètre prend en charge plusieurs valeurs séparées par des virgules :
  { "Jwt": { "Keys": [ "{{OldKey}}", "{{NewKey}}" ],{ "Jwt": { "Keys": [ "{{OldKey}}", "{{NewKey}}" ],
5. Démarrez Orchestrator Credentials Proxy.
6. Ramenez l'instance d'Orchestrator Credentials Proxy dans l'équilibreur de charge.
Dans Orchestrator, accédez à votre Orchestrator Credentials Proxy et modifiez le champ Secret avec votre nouvelle clé secrète.
Après un certain temps, prenez votre ancienne clé à partir des instances de Credentials Proxy.Suivez cette procédure pour chaque instance :
1. Retirez une instance d'Orchestrator Credentials Proxy de l'équilibreur de charge.
2. Arrêtez cette instance d'Orchestrator Credentials Proxy.
3. Ouvrez le appsettings.Production.json fichier. Le fichier doit contenir deux clés comme mentionné aux étapes précédentes :
  { "Jwt": { "Keys": [ "{{OldKey}}", "{{NewKey}}" ],{ "Jwt": { "Keys": [ "{{OldKey}}", "{{NewKey}}" ],
4. Supprimez l'ancienne clé du fichier : { "Jwt" : { "Clés" : [ "{{NewKey}}"],
5. Démarrez Orchestrator Credentials Proxy.
6. Ramenez l'instance d'Orchestrator Credentials Proxy dans l'équilibreur de charge.

Cette page vous a-t-elle été utile ?

PrécédentGestion des magasins d'identifiants

SuivantDébogage d'Orchestrator Credentials Proxy

Guide de l'utilisateur d'Orchestrator

Problème connu​

Installation​

Via le fichier programme d'installation .msi​

Prérequis​

Prérequis matériels​

Prérequis logiciels​

Étapes d'installation​

Via l'image Docker​

Configuration​

Proxy connecté et déconnecté​

CyberArk​

CyberArk CCP​

HashiCorp Vault​

HashiCorp Vault (lecture seule)​

Proxy déconnecté uniquement​

Exemples de configuration​

AWS Secrets Manager/AWS Secrets Manager (lecture seule)​

Azure Key Vault (lecture seule)​

Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)​

Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)​

CyberArk - AIM​

CyberArk - CCP​

CyberArk® Conjur Cloud (lecture seule)​

CyberArk® Conjur (lecture seule)​

HashiCorp Vault/HashiCorp Vault (lecture seule)​

Thycotic Secret Server​

Google Secret Manager​

Google Secret Manager (lecture seule)​

Plusieurs magasins d'informations d'identification​

Validation​

Journalisation​

Considérations de sécurité​

Utiliser l’Orchestrator Credentials Proxy avec un équilibreur de charge​

Éléments qui doivent rester identiques sur les nœuds​

Éléments importants à prendre en compte​

Mettre à jour le certificat Orchestrator Credentials Proxy​

Rotation des clés​

Rotation des clés avec temps d'arrêt​

Rotation des clés sans temps d'arrêt​

Cette page vous a-t-elle été utile ?

Problème connu

Installation

Via le fichier programme d'installation .msi

Prérequis

Prérequis matériels

Prérequis logiciels

Étapes d'installation

Via l'image Docker

Configuration

Proxy connecté et déconnecté

CyberArk

CyberArk CCP

HashiCorp Vault

HashiCorp Vault (lecture seule)

Proxy déconnecté uniquement

Exemples de configuration

AWS Secrets Manager/AWS Secrets Manager (lecture seule)

Azure Key Vault (lecture seule)

Comptes gérés sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Managed Accounts)

Mots de passe d'équipe sécurisés par mot de passe BeyondTrust (BeyondTrust Password Safe - Team Passwords)

CyberArk - AIM

CyberArk - CCP

CyberArk® Conjur Cloud (lecture seule)

CyberArk® Conjur (lecture seule)

HashiCorp Vault/HashiCorp Vault (lecture seule)

Thycotic Secret Server

Google Secret Manager

Google Secret Manager (lecture seule)

Plusieurs magasins d'informations d'identification

Validation

Journalisation

Considérations de sécurité

Utiliser l’Orchestrator Credentials Proxy avec un équilibreur de charge

Éléments qui doivent rester identiques sur les nœuds

Éléments importants à prendre en compte

Mettre à jour le certificat Orchestrator Credentials Proxy

Rotation des clés

Rotation des clés avec temps d'arrêt

Rotation des clés sans temps d'arrêt