Guide de l'administrateur de Test Cloud

Clés gérées par le client

Clés gérées par le client pour Test Cloud et Test Cloud pour le secteur public​

• Licences Flex : cette fonctionnalité est disponible pour les plans de plate-forme Standard et Advanced.
• Licences Unified Pricing : cette fonctionnalité est disponible uniquement pour le régime de plateforme Enterprise.
  Avertissement :

  L’activation de la clé gérée par le client a de sérieuses implications en ce qui concerne l’accès aux données. Si des problèmes clés surviennent, vous risquez de perdre l’accès à vos données.

Vue d'ensemble (Overview)​

Explication des clés gérées par le client​

• Le service de gestion des clés (KMS) - il s'agit de l'outil interne d'UiPath, développé à des fins de chiffrement des clés.
• La clé de chiffrement des données (DEK ou KMS DEK) - utilisée pour chiffrer les données en texte brut. En règle générale, la DEK est générée par le KMS ou par le coffre de clés interne d'UiPath, et n'est jamais stockée en texte clair.
• La clé de chiffrement de clé (KEK) : utilisée pour chiffrer la clé DEK. Le processus de chiffrement d'une clé est appelé encapsulation de clé. Généralement, la KEK est générée par vous, elle est stockée dans votre coffre de clés et constitue la clé réelle gérée par le client qui est contrôlée par votre service de gestion de clés.
• La clé de chiffrement des données chiffrées (EDEK) - il s'agit de la DEK qui est encapsulée par la KEK. En règle générale, cette clé est stockée par le fournisseur de services (tel qu'Orchestrator) ; par conséquent, chaque fois qu'un service doit accéder à des données chiffrées, le service appelle le service de gestion des clés du client pour obtenir la KEK nécessaire au déchiffrement de l'EDEK et pour produire la DEK qui est ensuite utilisée pour déchiffrer les données.
• La clé interne UiPath : elle est utilisée pour chiffrer les colonnes de données, y compris la clé CMK et la clé DEK KMS.

Activation de la clé gérée par le client​

• (Recommandé) Configuration automatisée : utilisez l' application Microsoft Entra ID gérée par UiPath pour obtenir les avantages suivants:
  • Aucune clé secrète ou de certificat à gérer.
  • Configuration rapide et fiable.
  • UiPath gère l'application Microsoft Entra ID pour vous.
• Configuration manuelle avec une inscription d'application Microsoft Entra ID personnalisée : utilisez votre propre application Microsoft Entra ID et gérez sa configuration manuellement, en tenant compte des considérations suivantes :
  • Vous devez créer et gérer les informations d’identification de l’application.
  • Les informations d’identification expirent et nécessitent des mises à jour périodiques.
  • Si les informations d'identification ne sont pas mises à jour avant leur expiration, les utilisateurs ne peuvent pas se connecter.

Configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath (recommandé)​

Si vous êtes un administrateur d’organisation Microsoft Entra et d’organisation​

1. Dans l'organisation, accédez à Admin > Sécurité > Chiffrement.
2. Choisissez Clé gérée par le client et confirmez la sélection en saisissant le nom de votre organisation dans la boîte de dialogue de confirmation.
3. Sélectionnez Application multi-locataires gérée par UiPath (Recommandé).
4. Sélectionnez Accorder le consentement, puis connectez-vous via votre compte Microsoft Entra ID. Après avoir accordé votre consentement, UiPath crée une application Microsoft Entra ID dans Azure qui représente votre organisation.
5. Créez votre clé de chiffrement de clé et configurez Azure Key Vault.
6. Saisissez l'URI de clé Azure Key Vault de la clé de chiffrement de clé.
   • Si vous fournissez un URI de clé sans version, UiPath utilise automatiquement la dernière version de clé (Rotation des clés activée).
   • Si vous fournissez un URI de clé avec version, UiPath chiffre toutes les données avec cette version de clé spécifique.
7. Sélectionnez Tester et enregistrez pour activer l’intégration. Si une erreur se produit, vérifiez les informations d’identification fournies et réessayez.

Si vous êtes administrateur d'organisation uniquement​

1. Dans l'organisation, accédez à Admin > Sécurité > Chiffrement.
2. Sélectionnez Customer managed key et confirmez la sélection en saisissant le nom de votre organisation dans la boîte de dialogue de confirmation.
3. Sélectionnez Application multi-locataires gérée par UiPath (Recommandé).
4. Sélectionnez Accorder le consentement, puis connectez-vous via votre compte Microsoft Entra ID. Étant donné que vous ne disposez pas des droits d'administrateur Microsoft Entra ID, vous devriez voir l'une des invites suivantes :
   1. Demander une approbation, comme illustré dans la documentation Microsoft: Demander une approbation de l'administrateur. Une fois que votre administrateur Microsoft Entra ID a approuvé la demande, passez à l'étape suivante.
   2. Nécessite l'approbation de l'administrateur, comme illustré dans la documentation Microsoft: Demandez à votre administrateur Microsoft Entra ID de procéder aux étapes suivantes :
      1. Accédez à cette URL pour ouvrir l'invite de consentement Microsoft Entra ID.
      2. Sélectionnez Consentir au nom de votre organisation, puis Accepter.
5. Après avoir reçu la confirmation que le consentement de l'administrateur a été accordé, créez votre clé de chiffrement et configurez Azure Key Vault, puis revenez sur UiPath et répétez les étapes 1 à 4.
   • Une connexion réussie indique que l'intégration est configurée correctement.
   • Si la connexion échoue, demandez à votre administrateur de Microsoft Entra ID de vérifier que le consentement a été correctement accordé.
6. Saisissez l'URI de clé Azure Key Vault de la clé de chiffrement de clé.
   • Si vous fournissez un URI de clé sans version, la rotation automatique des clés est activée et Test Cloud utilise la dernière version de clé.
   • Si vous fournissez un URI de clé versionnée, Test Cloud chiffre toutes les données avec cette version de clé spécifique.
7. Sélectionnez Tester et enregistrez pour activer l’intégration. Si une erreur se produit, vérifiez les informations d’identification fournies et réessayez.

Configuration manuelle avec enregistrement d’application Microsoft Entra ID personnalisée​

1. Créez l’inscription d’application Microsoft Entra ID.

   1. Dans le centre d'administration Microsoft Entra, accédez à Inscription d'applications > Nouvelle inscription.
   2. Saisissez le nom de votre choix.
   3. Définissez les types de comptes pris en charge sur Comptes de ce répertoire organisationnel uniquement.
   4. Terminez l’inscription.

2. Créez des informations d’identification.

   Accédez aux Certificats et clés secrètes lors de l’inscription de votre application et choisissez l’une des méthodes suivantes :

   • Pour utiliser une clé secrète de client :
     1. Sélectionnez Nouvelle clé secrète du client.
     2. Enregistrez la valeur de la clé secrète générée. Vous en aurez besoin ultérieurement.
   • Pour utiliser un certificat :
     1. Dans un nouvel onglet de navigateur, accédez à Azure Key Vault.
     2. Créer un certificat :
        • Objet : CN=uipath.com
        • Type de contenu : PEM
        • Taille maximale : moins de 10 ko
     3. Téléchargez le certificat au format .pem .
     4. Ouvrir le fichier .pem dans un éditeur de texte. Il doit contenir les sections suivantes :
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
     5. Créez un nouveau fichier .pem contenant uniquement les lignes entre BEGIN CERTIFICATE et END CERTIFICATE.
     6. Dans la section Certificats et clés secrètes de l’inscription de votre application, téléchargez ce nouveau fichier .pem .
     7. Conservez une copie du certificat. Vous en aurez besoin ultérieurement pour terminer l'intégration.
     Important :

     La plupart des types d'informations d'identification finit par expirer. Pour éviter les problèmes de connexion des utilisateurs, mettez à jour la configuration avant l'expiration des informations d'identification. Pour éviter cette surcharge, utilisez la configuration automatisée avec l’application Microsoft Entra ID gérée par UiPath.

3. Collecter les détails de l'intégration.

   Recueillez les valeurs suivantes et fournissez-les à l'administrateur de l'organisation :

   • ID d'application (client)
   • ID de répertoire (locataire)
   • Clé secrète ou certificat du client

4. Créez votre clé de chiffrement de clé et configurez Azure Key Vault.

   Préparez votre clé de chiffrement et notez l'identificateur de clé Azure Key Vault. Choisissez l’un des formats suivants :

   • URI de clé sans version : active la rotation automatique des clés. UiPath utilise toujours la version de clé la plus récente.
   • URI de clé versionnée : verrouille le chiffrement vers une version de clé spécifique. UiPath chiffre toutes les données utilisant cette version.

5. Activez l'intégration dans l'organisation.

   1. Connectez-vous à UiPath en tant qu’administrateur.
   2. Accédez à Admin > Sécurité > Chiffrement.
   3. Sélectionnez Clé gérée par le client et confirmez la sélection en saisissant le nom de votre organisation.
   4. Sélectionnez ID et clé secrète pour l’enregistrement de l’application personnalisée.
   5. Saisissez les détails suivants collectés précédemment :
      • ID de répertoire (locataire)
      • ID d'application (client)
      • Clé secrète ou certificat du client
      • Identifiant de clé Azure Key Vault
   6. Sélectionnez Tester et enregistrez pour activer l’intégration.

Création de la clé de chiffrement de clé et configuration d'Azure Key Vault​

• Vous pouvez créer le coffre-fort de clés dans n'importe quelle région, mais nous vous recommandons d'utiliser la même région que votre organisation Test Cloud.
• UiPath nécessite l'accès au Key Vault utilisé pour la clé gérée par le client. Pour limiter l'étendue, nous vous recommandons de créer un coffre dédié à cet effet.
• La fonctionnalité fonctionne avec toute taille de clé prise en charge par Azure Key Vault.
• Pour effectuer des opérations cryptographiques, vous devez accorder les autorisations Encapsulation de la clé et Décapsulation de la clé . Ces autorisations sont requises, que vous utilisiez des politiques d'accès Azure RBAC (Contrôle d'accès basé sur les rôles ) ou Key Vault pour gérer l'accès.

1. Dans le portail Microsoft Azure, accédez à Azure Key Vault et sélectionnez un coffre existant ou créez-en un nouveau.

2. Créez une nouvelle clé et copiez l' URI de la clé. Vous avez besoin de l'URI pour le configurer dans Test Cloud.

   Choisissez l'une des options suivantes pour l'URI de clé :

   • URI de clé sans version : active la rotation automatique des clés. Test Cloud utilise toujours la dernière version de la clé.
   • URI de clé versionnée : verrouille le chiffrement vers une version de clé spécifique. Test Cloud chiffre toutes les données en utilisant cette version.

3. Accordez l'accès à l'application Microsoft Entra ID précédemment créée.

   Utilisez les stratégies d'accès Azure RBAC ou Key Vault pour accorder les autorisations requises.

4. Revenez à Test Cloud pour terminer la configuration.

Activation de la clé gérée par le client​

Rotation des clés​

Rotation manuelle des clés​

1. Créez une nouvelle clé dans l'Azure Key Vault que vous avez précédemment configuré.
2. Dans votre organisation, accédez à Admin > Sécurité.
3. Sous Clé gérée par le client, sélectionnez Modifier la connexion.
4. Remplacez l'identifiant de clé existant par le nouvel URI de clé.
   Remarque :

   La rotation des clés ne fonctionne que si l'ancienne et la nouvelle clé restent valides.

Rotation automatique des clés​

1. Dans Azure Key Vault, créez une stratégie de rotation pour votre clé.
2. Dans votre organisation, accédez à Configuration de clé gérée par le client et fournissez l' identifiant de clé sans version. Pour obtenir des étapes de configuration, consultez la section Activation de la clé gérée par le client.
3. Après chaque rotation de clé dans Azure Key Vault, UiPath récupère et applique automatiquement la dernière version de clé. UiPath vérifie automatiquement les nouvelles versions clés toutes les heures. Lorsqu’une nouvelle version est disponible, elle est récupérée et appliquée sans nécessiter de mises à jour manuelles.
   Important :

   • Ne désactivez pas ou ne modifiez pas les autorisations d'accès pour les anciennes versions de clé. Les versions de clé précédente et actuelle doivent rester accessibles pour maintenir un accès ininterrompu aux données chiffrées pendant le processus de rotation.
   • Vous pouvez afficher à la fois les modifications manuelles apportées à la configuration de la clé gérée par le client, telles que les mises à jour de l'identificateur de clé, ainsi que les événements de rotation automatique des clés dans la section Journaux d'audit sous Admin de l'organisation .

Rétrogradation de la licence​

• The Customer managed key option is still enabled for you, but it is greyed out in the interface. As such, you can no longer edit its values, such as changing key vault details.
• You can switch to UiPath managed key (Default), but you will not be able to revert to Customer managed key until your plan is upgraded to Enterprise.

Meilleures pratiques d'utilisation des clés gérées par le client​

• Une fois que vous commencez à utiliser une nouvelle clé dans le cadre du processus de rotation des clés, l'ancienne ne peut plus être utilisée pour accéder aux données et les chiffrer. Il est donc important de conserver toutes les anciennes clés dans le coffre de clés, à savoir de les désactiver au lieu de les supprimer. Ceci est particulièrement important dans les scénarios de récupération d'urgence, où UiPath peut avoir besoin de revenir à une sauvegarde d'une ancienne version de la base de données. Si cette sauvegarde utilise l'une de vos anciennes clés, vous pouvez effectuer une rotation vers celle-ci pour récupérer l'accès aux données. Si vous choisissez de supprimer une clé, il est important que vous utilisiez la fonctionnalité suppression temporaire .

• Si vous perdez votre clé, vous ne pourrez plus vous connecter au coffre-fort. Vous devez donc toujours créer une sauvegarde de la clé sur le portail Azure ou dans un coffre de clés sécurisé distinct d'Azure, conformément aux politiques de sécurité de votre organisation.

• Si vous exploitez l'Authentification unique pour accéder aux services UiPath, vous pouvez envisager de créer un compte local qui fonctionnera comme un compte Break Glass. Étant donné que les informations du fournisseur d'identité externe sont incluses dans les données chiffrées par la clé gérée par le client, les comptes d'Authentification unique seront inaccessibles si votre coffre de clés devenait inaccessible.

• Pour des raisons de sécurité, les utilisateurs qui ne disposent pas de privilèges d'administrateur de niveau supérieur ne doivent pas avoir de droits de purge sur la clé gérée par le client.

• Si vous ne souhaitez plus qu'UiPath ait accès à vos données, vous pouvez désactiver la clé à partir d'Azure Key Vault, comme indiqué dans l'image suivante :

  

Clés gérées par le client pour Test Cloud dédiées​

Ressources prises en charge​

• Comptes de stockage Azure
• Serveurs Azure SQL
• Disques Azure
• Snowflake
  Remarque :

  Azure Databricks et Azure Event Hubs ne prennent pas en charge les clés gérées par le client (CMK) inter-locataires. Ces services nécessitent que Key Vault réside dans le même locataire Microsoft Entra que les ressources Azure associées, et ne peuvent donc pas être chiffrés à l'aide d'un CMK inter-locataires. Ces services sont utilisés en interne par Insights pour prendre en charge le traitement de télémétrie et d'analyse :

  • Azure Event Hubs: tampons, qui fournit la télémétrie en continu, tel que les journaux des robots et les événements d’exécution, les données d’exécution des tâches, les événements relatifs aux éléments de file d’attente, la surveillance en temps réel. Les données dans Event Hubs sont temporaires et ne sont pas stockées à long terme.
  • Azure Databricks: traite et stocke les données analytiques, notamment les données de surveillance en temps réel, les agrégats historiques et les mesures d'exécution des robots traités. Ces services utilisent des clés gérées par Microsoft pour le chiffrement au repos et ne peuvent pas être configurés avec des clés gérées par le client.

Architecture​

1. Locataire UiPath: héberge les ressources Azure qui nécessitent le chiffrement.

2. Votre locataire: héberge Azure Key Vault et la clé gérée par le client.

3. Application multi-locataire: enregistrée par UiPath et installée dans votre locataire pour permettre un accès sécurisé entre locataires.

4. Identité gérée: attribuée à l'application UiPath, utilisée pour s'authentifier par rapport à votre Key Vault.

5. Informations d'identification fédérées: permettent à l'application UiPath d'utiliser l'identité gérée sans stocker de clés secrètes.

6. Azure Key Vault: stocke votre clé gérée par le client.

   Voici le flux de chiffrement :

7. Vous créez un ticket d’assistance pour recevoir l’ID et le nom de l’application.

8. UiPath enregistre une application multi-locataire et joint une identité gérée attribuée par l'utilisateur.

9. Vous installez l'application dans votre locataire Azure.

10. Vous créez la clé dans votre Key Vault et partagez l'URI de clé (avec la version) avec UiPath.

11. Vous attribuez les autorisations suivantes à l'application via Azure RBAC : get, wrapKey, unwrapKey.

12. UiPath configure les ressources Azure pertinentes pour utiliser la clé pour le chiffrement et le déchiffrement.

Prérequis​

• Configuration requise pour Azure Key Vault :
  • La protection pour la suppression temporaire et la suppression est activée.
  • Les verrous de ressources sont configurés sur Key Vault et les clés.
  • La clé doit être de type RSA 2048-bit. Ces configurations permettent d’éviter une suppression accidentelle et de garantir la récupération.
• Autorisations et configuration :
  • Créez un ticket d’assistance pour demander à UiPath un ID et un nom d’enregistrement d’application multi-locataire.
  • Vous devez créer la clé dans votre locataire et autoriser l'accès à celle-ci pour l'application UiPath.
  • La rotation des clés est prise en charge si le contrôle de version de votre clé est activé.

Étapes​

1. Créez ou sélectionnez un Azure Key Vault dans votre locataire Azure.

2. Configurez le coffre-fort de clés et la clé de chiffrement selon les exigences suivantes :

   • Activer la protection pour la suppression et la suppression logicielle. Garantit que les clés ou les coffres supprimés peuvent être restaurés pendant 90 jours.
   • Appliquez un verrouillage des ressources à la fois sur Key Vault et la clé Empêche les suppressions ou les modifications accidentelles.
   • Sélectionnez RSA 2048-bit comme type de clé.
   • Assurez-vous que Key Vault se trouve dans la même région que vos ressources Azure Disk (requis pour le chiffrement Azure Disk).
   • Sous Mise en réseau, sélectionnez Autoriser les services Microsoft approuvés à contourner ce pare-feu. Pour obtenir des étapes détaillées, reportez-vous à Configurer les clés gérées par le client inter-locataires pour un nouveau compte de stockage - Stockage Azure. .

3. Installez l'application multilocataire UiPath dans votre locataire Azure à l'aide des informations fournies par l'équipe d'assistance.

4. Affectez le rôle Azure RBAC Utilisateur du chiffrement du service Key Vault à l'application UiPath afin qu'il puisse accéder à Key Vault.

   Vous pouvez également accorder à l'application UiPath une stratégie d'accès à Key Vault avec les autorisations suivantes : get, wrapKey, et unwrapKey.

5. Partagez l'URI de clé avec UiPath via le ticket d'assistance précédemment créé.

   Remarque :

   Vous pouvez utiliser une seule clé pour toutes les ressources prises en charge ou des clés distinctes pour chaque ressource, telle que SQL, stockage, disque, Snowflake. Si vous choisissez d'utiliser des clés différentes, fournissez à UiPath les URI de clé correspondants via votre ticket d'assistance.

6. À l'aide des URI de clé que vous avez fournis, UiPath configure le chiffrement sur vos ressources basées sur Azure et applique des clés gérées par le client (CMK) aux composants pris en charge, notamment les ressources de stockage, SQL, de disque et Snowflake. Si vous souhaitez appliquer la CMK aux ressources Snowflake, vous devez suivre les étapes supplémentaires suivantes :

   1. Suivez les étapes 1 à 2.5 dans ce guide de communauté Snowflake.
   2. Fournissez le résultat de l'étape 2.5 à UiPath via votre ticket d'assistance.
   3. UiPath termine l' auto-enregistrement Tri-Secret Secure avec Azure Key Vault mentionné à l'étape 2.5 et l'étape 3.1.
   4. UiPath partage le lien de consentement Azure et le nom principal Snowflake.
   5. Continuez la procédure Snowflake décrite ici, en commençant par l'étape 3.
   6. À l'étape 4, si vous avez besoin de contrôles d'accès publics pour Key Vault (sur des adresses IP spécifiques ou des réseaux virtuels), contactez UiPath pour obtenir des détails sur le sous-réseau.
   7. UiPath effectue l'étape 4.5.

7. Avertir lorsque le chiffrement avec CMK est actif.

Empêcher la perte de données​

• Rotation des clés :
  • Les services Azure vérifient une nouvelle version de clé une fois par jour. La modification de la version de la clé n’entraîne pas de temps d’arrêt. Pour plus d'informations, consultez Clés gérées par le client pour le chiffrement du compte - Stockage Azure.
  • Après la rotation, attendez 24 heures avant de désactiver la version précédente.
  • Les anciennes sauvegardes ne sont pas chiffrées à nouveau, alors conservez les anciennes versions de clé disponibles pour les restaurations.
• Révocation temporaire :
  • Vous pouvez désactiver une clé sans la supprimer.
  • Cela bloque l'accès aux ressources chiffrées, mais n'affecte pas l'état de chiffrement.
  • L’accès est restauré lorsque la clé est réactivée.
  • Lorsqu’elle est désactivée, les opérations renvoient l’erreur 403 Forbidden.