- Démarrage
- Sécurité et conformité des données
- Organisations
- Authentification et sécurité
- Licences
- À propos des licences
- Tarification unifiée : infrastructure du plan de licence
- Activation de votre licence Enterprise
- Migrer de Test Suite vers Test Cloud
- Migration de licence
- Attribuer des licences aux locataires
- Attribuer des licences utilisateur
- Révocation des licences utilisateur
- Surveillance de l’attribution des licences
- Surallocation de licences
- Notifications d'attribution de licence
- Gestion des licences utilisateur
- Locataires et services
- Comptes et rôles
- AI Trust Layer
- Applications externes
- Notifications
- Journalisation
- Exporter des données
- Test dans votre organisation
- Résolution des problèmes
- Migrer vers Test Cloud
Guide de l'administrateur de Test Cloud
Mode de fonctionnement
The Relay client — a lightweight binary installed on a machine inside your network — establishes a persistent, outbound-only connection on port 443 to UiPath relay infrastructure. For Relay client 26.4.2 or later, new configurations connect through cloud.uipath.com using WSS (WebSocket over TLS).
Relay client versions earlier than 26.4.2 connect through a regional relay hostname over TLS.
When a UiPath cloud service needs to reach one of your on-premises endpoints, the request travels from the cloud service through UiPath relay infrastructure, down the outbound connection to the Relay client, and from there across your local network to the target service.
Étant donné que le client de relais lance toutes les connexions tunnel sortantes, votre réseau n’accepte jamais une connexion entrante depuis Internet.
Flux de connectivité
- Vous enregistrez les points de terminaison locaux sous un groupe de relais dans l'administration UiPath. La liste des points de terminaison est stockée dans le service de relais.
- Le client Relay effectue un appel de découverte authentifié à Test Cloud pour récupérer la liste des points de terminaison à exposer.
- Le client de relais établit une connexion de contrôle sortante persistante. Le client de relais
26.4.2ou version ultérieure se connecte viacloud.uipath.com:443à l’aide de WSS (WebSocket sur TLS). Les versions du client de relais antérieures à26.4.2se connectent au nom d'hôte de relais spécifique à la région (par exemple,eu-relay.uipath.com) via TLS sur le port 443. - L’infrastructure de Relay UiPath valide la connexion via OIDC et vérifie la configuration du client par rapport au groupe de Relay enregistré, empêchant un client de récupérer des points de terminaison qui ne lui appartiennent pas.
- Lorsqu’un service UiPath doit appeler un point de terminaison local, il récupère l’URL de relais à partir de l’API de relais et obtient un jeton d’étendue de relais à partir de l’identité UiPath.
- Le service appelle l’URL de relais. L’infrastructure de Relay valide le jeton et l’autorisation du locataire avant de transmettre la requête via le tunnel.
- Le client de relais reçoit la demande transférée sur sa connexion sortante et ouvre une connexion HTTP ou HTTPS au point de terminaison local via le réseau local.
Pour un meilleur débit, déployez le client de relais dans la même région géographique que votre locataire cloud. Le trafic suit le chemin UiPath Cloud → infrastructure de relais → nœud de Relay → service local, de sorte que les tunnels inter-régions ajoutent une latence égale au temps d'aller-retour entre les régions; pour les scénarios à charge utile importante, cette différence est importante.
Haute disponibilité (High Availability)
Pour les environnements de production, déployez au moins deux clients de relais au sein du même groupe de Relay avec un accès réseau et une configuration de magasin approuvé identiques. Les clients d’un groupe partagent la charge via une distribution par robot et échouent automatiquement si un client devient indisponible.
Lorsque plusieurs clients utilisent la reconnexion proactive, ils se coordonnent de sorte qu’un seul client se draine à la fois, ce qui maintient le groupe disponible en permanence tout au long de chaque cycle de reconnexion.
Modèle de sécurité
- Authentification. Le client de relais s’authentifie auprès de la plateforme cloud à l’aide des informations d’identification du client OAuth 2.0. L’infrastructure de Relay UiPath valide chaque connexion de contrôle via OIDC et vérifie que le client correspond au groupe de Relay enregistré.
- Chiffrement au repos. Les informations d’identification stockées sur la machine du client de relais sont chiffrées: AES-256-GCM sous Linux, DPAPI sous Windows.
- Chiffrement en transit. Tout le trafic entre le client de relais et l'infrastructure de Relay UiPath est chiffré en transit sur le port 443. Les connexions de relais utilisent TLS 1.2 ou TLS 1.3. Les suites Cipher sont sélectionnées par la pile Go TLS à l'aide de valeurs par défaut sécurisées; le client de relais n’expose pas la configuration de cipher-suite personnalisée.
- Étendue du jeton. Les services UiPath obtiennent un jeton à l'échelle du Relay avant d'appeler une URL du relais. L’infrastructure de Relay valide ce jeton et l’autorisation du locataire de consommation avant de transférer la requête.
TLS et confiance de certificat
Le client de relais se termine et relance les connexions HTTP ou HTTPS vers les cibles locales. Lorsque le point de terminaison local utilise HTTPS, le magasin d'approbation du système d'exploitation sur la machine du client de relais doit approuver l'autorité de certification qui a signé le certificat du point de terminaison local.
Si votre point de terminaison utilise un certificat auto-signé ou une autorité de certification d'entreprise privée, ajoutez l'autorité de certification au magasin approuvé de la machine du client de relais avant de démarrer le relais. Si cette option n'est pas respectée, le client de relais rejettera la connexion à la cible interne.