- Démarrage
- Administration de l'hôte
- Organisations
- Locataires et services
- Authentification et sécurité
- Allowing or restricting basic authentication
- Configuration de l'intégration de Microsoft Entra ID
- Configuration de la clé de chiffrement par locataire
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Migrer de Test Suite vers Test Cloud
- Comptes et rôles
- Test dans votre organisation
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Résolution des problèmes
Guide d'administration de Test Cloud privé
Il est possible d'utiliser Microsoft Azure Key Vault pour chiffrer chaque locataire dans votre instance d'Orchestrator avec sa propre clé unique. Orchestrator utilise Key Vault pour stocker et gérer les clés en toute sécurité, ainsi que pour les gérer, garantissant une meilleure répartition de vos données entre les locataires.
Orchestrator installé dans Automation Suite peut tirer parti de cette fonctionnalité, mais vous devez connecter l'application Orchestrator à Internet et à Azure Key Vault.
Vue d'ensemble (Overview)
L’authentification Orchestrator est nécessaire pour utiliser Azure Key Vault via les inscriptions d’applications. Les inscriptions d'applications peuvent accorder une série de privilèges aux applications. Dans notre cas, Orchestrator est l’application, et Azure Key Vault est le privilège ciblé.
Vous devez d'abord configurer l'accès des Inscriptions d'application à Azure Key Vault. L'authentification Orchestrator avec les Inscriptions d'applications peut être effectuée à l'aide de la clé privée SSL d'un certificat et de la clé publique SSL importée dans les Inscriptions d'applications. Après avoir configuré les Inscriptions d'application et Key Vault, vous devez apporter quelques modifications au configmap orchestrator-customconfig utilisé dans le cluster Automation Suite et modifier les paramètres ArgoCD correspondants pour l'application Orchestrator à partir de l'interface utilisateur ArgoCD. Une fois ces critères remplis, Orchestrator peut utiliser Azure Key Vault pour chiffrer chaque locataire.
Prérequis
- Votre propre instance de Microsoft Azure Key Vault
- Une installation propre d'Orchestrator dans Automation Suite
- Un certificat SSL valide :
- Certificat de clé privée (Private Key Certificate) — Il doit être téléchargé dans App Services > Paramètres SSL (SSL Settings) > Certificats de clé privée (Private Key Certificates)
- Certificat de clé publique (Public Key Certificate) — Vous devez le télécharger dans Inscriptions de l'application (App registration) > Paramètres (Settings) > Clés (Keys) > Clés publiques (Public Keys)
- (Facultatif) Un certificat autosigné
Pour convertir le fichier de certificat .pfx en base64, exécutez la commande suivante :
- PowerShell :
[convert]::ToBase64String((Get-Content -path "path_to_certificate" -Encoding byte)) - Shell :
base64 [_path_to_certificate_]Remarque :Les utilisateurs ne doivent pas modifier les clés de chiffrement côté Azure Key Vault, par exemple, l'activation ou la désactivation des clés secrètes ou la modification des dates d'activation et d'expiration. Si une clé secrète est désactivée, les données stockées par Orchestrator pour ce locataire ne sont plus chiffrées.
Étapes d’Inscription d'applications
Dans le volet Inscriptions d’applications (App Registrations) d’Azure Portal, suivez les étapes suivantes :
- Créez une nouvelle inscription d’application.
- Copiez l'ID d’application (client) (Application (Client) ID) pour une utilisation ultérieure.
- Allez dans Gérer (Manage) > Certificats et clés secrètes (Certificates & Secrets) et téléchargez la clé de certificat SSL public mentionné dans les prérequis.
Étapes Azure Key Vault
Dans Azure Key Vault, procédez comme il suit :
-
Accédez à la page Aperçu des coffres de clés (Key Vaults Overview) et copiez le nom DNS pour une utilisation ultérieure.
-
Accédez à la page Coffres de clés (Key Vaults) et sélectionnez Paramètres (Settings) > Stratégies d’accès (Access policies).
-
Sélectionnez Ajouter une politique d’accès.
-
À partir du menu déroulant Configurer depuis le modèle (facultatif) (Configure from template (optional)), sélectionnez Clé, Clé secrète et Gestion des certificats (Key, Secret, & Certificate Management).
-
Sélectionnez Aucun sélectionné dans la section Application autorisée pour activer le champ Sélectionner principal .
-
Entrez le nom d’inscription de l'application, confirmez que l’ID d’application est correct et sélectionnez ce principal.
-
Sélectionnez Ajouter.
Étapes de configuration personnalisée d'Orchestrator
Apportez les modifications de configuration suivantes à Orchestrator :
-
Configurez Azure Key Vault pour l'instance Orchestrator à partir des paramètres de l'interface utilisateur ArgoCD :
- Copiez le formulaire base64 du certificat et indiquez-le comme valeur pour le paramètre
encryptionKeyPerTenant.certificateBase64. - Copiez le mot de passe du certificat, le cas échéant, et indiquez-le comme valeur pour le paramètre
encryptionKeyPerTenant.certificatePassword. - Copiez l’ ID de l’application d’entrée (Client) à partir de la page Inscriptions d’applications et indiquez-la comme valeur du paramètre
encryptionKeyPerTenant.clientId. - Copiez l' ID de l'annuaire (locataire) de votre organisation à partir de la page Inscriptions de l'application et indiquez-le comme valeur pour le paramètre
encryptionKeyPerTenant.directoryId. - Copiez le nom DNS à partir de la page Vue d'ensemble de Key Vaults et indiquez-le comme valeur pour le paramètre
encryptionKeyPerTenant.vaultAddress.
- Copiez le formulaire base64 du certificat et indiquez-le comme valeur pour le paramètre
-
Mettez à jour la section
AppSettingsdu configmaporchestrator-customconfigcomme suit pour activer la clé de chiffrement par fonctionnalité de locataire :- Définissez
EncryptionKeyPerTenant.Enabledsurtrue. - Définissez
EncryptionKeyPerTenant.KeyProvidersurAzureKeyVault.
- Définissez
Cela peut être fait via ou en mettant à jour la configmap à l'aide de Lens. 3. Redémarrez le déploiement d'Orchestrator Automation Suite à partir du cluster pour que les modifications prennent effet.
Si vous migrez d'une version autonome d'Orchestrator vers Automation Suite, les paramètres SMTP dans Identity Server ne sont pas chiffrés avec la clé par locataire. Une fois la migration terminée, assurez-vous de saisir à nouveau le mot de passe SMTP dans le portail Automation Suite.