- 基本情報
- 要件
- ベスト プラクティス
- インストール
- 更新
- Identity Server
- High Availability Add-on
Orchestrator インストール ガイド
デプロイと構成に関する考慮事項
Orchestrator でユーザーとロボットの権限を設定するときに、保護すべき 2 つの潜在的な脅威として、悪意のあるユーザーと悪意のある開発者があります。
Orchestrator とロボット間の認証は、ロボット端末の管理者のみがアクセスできる共有キーに基づいています。マシン ユーザーが管理者権限を持ち、そのキーにアクセスできる場合、Orchestrator を呼び出すときに他のロボットになりすますことができます。
悪意のあるユーザーによるリスクと潜在的な影響を軽減するには、次のガイドラインに従ってください。
- 有人オートメーション用に構成されたマシンでは、そのマシンのユーザーに管理者権限がないことを確認してください。
- ロボットの権限は、特定のオートメーションを実行するために最低限必要な権限のみに制限します。
- モダン フォルダーで、Orchestrator の Administrator または他の高特権のロールを持つユーザーのロボット作成を無効化します。
悪意のある開発者は、Orchestrator で高レベルの権限を持つユーザーが実行したときに、その開発者に不要なアクセスを許可したり、データを盗んだりするプロセスをデプロイできます。
悪意のある開発者によるリスクと潜在的な影響を軽減するには、次のガイドラインに従ってください。
- Orchestrator にデプロイされているパッケージの制御と検証を維持します。
- 本番環境へのデプロイ前のオートメーションの監査 (コードレビュー、ウイルス スキャンなど)。
- ロボットの権限は、特定のオートメーションを実行するために最低限必要な権限のみに制限します。
- モダン フォルダーで、Orchestrator の Administrator または他の高特権のロールを持つユーザーのロボット作成を無効化します。
既定のパスワード ポリシーでは、すべてのユーザーのパスワードは 8 文字以上で、1 文字以上の英字および 1 文字以上の数字を含める必要があります。[設定] ページの [セキュリティ] タブでは、この設定の変更やより複雑な設定を行えます。詳細については、「設定の説明」トピックをご覧ください。
UiPath.Orchestrator.dll.config
ファイルの SecureAppSettings
セクションを暗号化します。暗号化の方法については、「UiPath.Orchestrator.dll.config セクションを暗号化する」をご覧ください。
ほとんどの Web ブラウザーで利用できるオートコンプリート機能は、完全に安全というわけではありません。Orchestrator ログイン パスワードを誰にも見つからないようにするために、よく使用するブラウザーで前述の機能を無効化することをお勧めします。
Internet Explorer 11 を使用している場合:
- Internet Explorer で、[ツール] > [インターネット オプション]の順でクリックします。[インターネット オプション] のウィンドウが開きます。
- [コンテンツ] タブで、[設定] を選択します。[オートコンプリートの設定] ウィンドウが表示されます。
- [フォームのユーザー名およびパスワード] チェック ボックスをクリアします。
- [OK] をクリックします。設定が保存されます。
既定のシステム管理者パスワード (UiPath のチームから通知されたもの) を変更します。この変更は、ユーザー プロファイル情報を編集することで実行できます。詳細については、「テナントを管理する」をご覧ください。
初回に Orchestrator へログインする際には、[Remember Me] パスワードを選択しないでください。これは、現在のセッションから毎回ログアウトする場合に役立ちます。
UiPath.Orchestrator.dll.config
ファイル内の Auth.Cookie.Expire
パラメーターの値を変更することで制限できます。
HTTPS 接続を使用するようにすることは重要ですが、信頼されたプロバイダーから SSL 証明書を取得することも重要です。
さらに、次の HTTP バインディングを削除できます。
- IISを開きます。
- [Connections] パネルで、[Sites] フォルダーに移動します。
- Orchestrator サイトをクリックします。それに応じて [Actions] パネルが更新されます。
- [Bindings] をクリックします。[Site Bindings] ウィンドウが表示されます。
- [HTTP] バインディングをクリックしてから、[Remove] をクリックします。[HTTP] バインディングが削除されます。
セキュリティ キャッシュ ディレクティブの追加をお勧めします。これは、HTTP ヘッダーに表示される可能性のある機密情報を非表示にするためのものです。なお、すべての応答が次の HTTP ヘッダーを返すことが理想的です。
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
web.config
ファイルの customHeaders
セクションに次の形式でこれらのヘッダーを追加します。
<add name="Cache-control" value="s-maxage=0"/>
<add name="Cache-control" value="s-maxage=0"/>