Configuration de la clé de chiffrement par locataire

Il est possible d'utiliser Microsoft Azure Key Vault pour chiffrer chaque locataire dans votre instance d'Orchestrator avec sa propre clé unique. Orchestrator utilise Key Vault pour stocker et gérer les clés en toute sécurité, ainsi que pour les gérer, garantissant une meilleure répartition de vos données entre les locataires.

Si Orchestrator est installé dans Microsoft Azure ou sur site, il peut bénéficier de cette fonctionnalité. Cependant, le dernier cas exige que vous connectiez l'instance d'Orchestrator à Internet et à Azure Key Vault.

Vue d'ensemble (Overview)

L’authentification Orchestrator est nécessaire pour utiliser Azure Key Vault via les inscriptions d’applications. Les inscriptions d'applications peuvent accorder une série de privilèges aux applications. Dans notre cas, Orchestrator est l’application, et Azure Key Vault est le privilège ciblé.

Vous devez d’abord configurer l’accès à Azure Key Vault pour les inscriptions d’applications. L’authentification Orchestrator avec les inscriptions d’applications est possible grâce à la clé privée SSL disponible dans le magasin de certificats Orchestrator et la clé publique SSL téléchargée sur les inscriptions d’applications. Après avoir configuré les inscriptions d’applications et le Key Vault, vous devez apporter quelques modifications au fichier de configuration d’Orchestrator. Une fois ces étapes effectuées, Orchestrator peut utiliser Azure Key Vault pour chiffrer chaque locataire.

Prérequis

Votre propre instance de Microsoft Azure Key Vault
Une nouvelle installation d'Orchestrator
Un certificat SSL valide de votre instance d'Orchestrator :
- Certificat de clé privée : vous devez le télécharger dans Services d'application (App Services) > Paramètres de SSL (SSL Settings) > Certificats de clé privée (Private Key Certificates) et il doit être importé sur la où les machines sur lesquelles Orchestrator est installé. Notez que le domaine où le certificat a été généré et installé doit correspondre à celui de l'utilisateur sous lequel vous avez exécuté Orchestrator.
- Certificat de clé publique : vous devez le télécharger dans Inscriptions de l'application (App registration) > Paramètres (Settings) > Clés (Keys) > Clés publiques (Public Keys)
(Facultatif) Un certificat autosigné

Remarque : Les utilisateurs ne doivent pas modifier les clés de chiffrement côté Azure Key Vault, par exemple en activant/désactivant des secrets ou en modifiant la date d’activation et la date d’expiration. Si une clé secrète est désactivée, les données stockées par Orchestrator pour ce locataire ne sont plus déchiffrées.

Étapes d’Inscription d'applications

Dans le volet Inscriptions d’applications (App Registrations) d’Azure Portal, suivez les étapes suivantes :

Créez une nouvelle inscription d’application.
Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
Allez dans Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) et téléchargez la clé de certificat SSL public mentionné dans les prérequis.
Copiez l’Empreinte (Thumbprint) de ce certificat pour une utilisation ultérieure.

Étapes du magasin d'identifiants

Si vous exécutez Orchestrator sous l’identité d’un pool d’applications, suivez les étapes suivantes :

Importez le certificat de clé privée SSL dans le Magasin de certificats personnel de la machine locale (Local Machine Personal Certificate Store).
Donnez à l’Identité du pool d'applications l’accès à la clé privée. Les étapes suivantes expliquent la façon de procéder.
Ouvrez MMC.
Allez dans Fichier (File) > Ajouter ou supprimer un instantané (Add/Remove Snap-in).
Sélectionnez Certificats (Certificates) et cliquez sur Ajouter (Add) > Compte de l'ordinateur (Computer Account) > Ordinateur local (Local Computer).
Cliquez sur OK.
Accédez à Certificats (ordinateur local) > Personnel (Personal) > Certificats (Certificates), cliquez sur Terminer (Finish), puis sur OK.
Dans la fenêtre principale de MMC, faites un clic droit sur le certificat qui vous intéresse, puis sélectionnez Toutes les tâches (All Tasks) > Gérer la clé privée (Manage private key).
Cliquez sur le bouton Ajouter (Add).
Dans le champ Entrer les noms d’objet à sélectionner (Enter the object names to select), entrez IIS AppPool <AppPoolName>. Exemple : IIS AppPool\UiPath Orchestrator.
Accordez le contrôle total.

Si vous exécutez Orchestrator sous un compte personnalisé, suivez l’étape suivante :

Importez le certificat de clé privée SSL mentionné dans les prérequis dans le Magasin de certificat personnel (Personal Certificate Store) de l’utilisateur exécutant le processus Orchestrator.

Si votre Orchestrator est une installation Azure App Service, suivez l’étape suivante :

Importez le certificat de clé privée SSL mentionné dans les conditions préalables dans Service d'application Orchestrator (Orchestrator App Service) > Paramètres SSL (SSL Settings) > Certificats de clé privée (Private Key Certificates).

Étapes Azure Key Vault

Dans Azure Key Vault, procédez comme il suit :

Accédez à la page Aperçu des coffres de clés (Key Vaults Overview) et copiez le nom DNS pour une utilisation ultérieure.
Accédez à la page Coffres de clés (Key Vaults) et sélectionnez Paramètres (Settings) > Stratégies d’accès (Access policies).
Cliquez sur Ajouter la stratégie d’accès (Add access policy).
À partir du menu déroulant Configurer depuis le modèle (facultatif) (Configure from template (optional)), sélectionnez Clé, Clé secrète et Gestion des certificats (Key, Secret, & Certificate Management).
Cliquez sur Aucun sélectionné (None selected) dans la section Application autorisée (Authorized application) pour activer le champ Sélectionner principal (Select principal).
Entrez le nom d’inscription de l'application, confirmez que l’ID d’application est correct et sélectionnez ce principal.
Cliquez sur Ajouter (Add).

Paramètres UiPath.Orchestrator.dll.config

Apporte les modifications suivantes au fichier Orchestrator UiPath.Orchestrator.dll.config :

Ouvrez le fichier UiPath.Orchestrator.dll.config de votre instance d'Orchestrator.
Dans la section AppSettings, procédez comme il suit :
1. Configurez le paramètre Database.EnableAutomaticMigrations sur true. Sinon, toutes les modifications ultérieures apportées au fichier UiPath.Orchestrator.dll.config ne prennent pas effet.
2. Définissez EncryptionKeyPerTenant.Enabled sur true.
3. Définissez EncryptionKeyPerTenant.KeyProvider sur AzureKeyVault.
4. Pour Orchestrator utilisant l’identité du pool d’application, réglez CertificatesStoreLocation sur LocalMachine.
Dans la section secureAppSettings, procédez comme il suit :
1. Retirez ou commentez la clé EncryptionKey.
2. Copiez l’ID de l’application (client) d’entrée (Input Application (Client) ID) à partir de la page Inscriptions d’applications (App Registrations) et indiquez-la comme valeur du paramètre Azure.KeyVault.ClientId. Exemple : <add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />.
3. Copiez l' ID de l'annuaire (locataire) de votre organisation à partir de la page Inscriptions de l'application (App Registrations) et indiquez-le comme valeur pour le paramètre Azure.KeyVault.DirectoryId. Exemple : <add key="Azure.KeyVault.DirectoryId" value="d8353d2a-b153-4d17-8827-902c51f72357" />.
4. c. Copiez l’Empreinte (Thumbprint) à partir de la page Inscriptions d’applications (App Registrations) et indiquez-la comme valeur du paramètre Azure.KeyVault.CertificateThumbprint. Exemple : <add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" />.
5. Copiez le nom DNS (DNS Name) à partir de la page Vue d'ensemble de Key Vaults (Key Vaults Overview) et indiquez-le comme valeur pour le paramètre Azure.KeyVault.VaultAddress. Exemple : <add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" />.