テナントごとに暗号化キーを設定する

Microsoft Azure Key Vault を使用して、Orchestrator インスタンス内のテナントをそれぞれ一意のキーで暗号化できます。Orchestrator は、この Key Vault を使用して、キーを安全に格納して管理します。これにより、テナント間でデータをより適切に分離できます。

この機能を利用するには、Microsoft Azure に、またはオンプレミスで Orchestrator をインストールできます。ただし、後者の場合は、Orchestrator インスタンスをインターネットと Azure Key Vault に接続する必要があります。

概要

アプリ登録を介して Azure Key Vault を使用するには、Orchestrator 認証が必要です。アプリ登録によって、アプリケーションに一連の権限を付与できます。この場合、Orchestrator がアプリケーションで、Azure Key Vault が対象となる権限です。

まず、アプリ登録による Azure Key Vault へのアクセスを設定する必要があります。アプリ登録による Orchestrator の認証は、Orchestrator の証明書ストアで入手できる SSL 秘密キーと、アプリ登録にアップロードされた SSL 公開キーを使用して実行できます。アプリの登録と Key Vault を設定したら、Orchestrator の設定ファイルにいくらかの変更を行う必要があります。これらの条件が満たされたら、Orchestrator で Azure Key Vault を使用して各テナントを暗号化できます。

前提条件

独自の Microsoft Azure Key Vault
Orchestrator のクリーンインストール
Orchestrator インスタンスの有効な SSL 証明書:
- 秘密キー証明書 - [App Service] > [SSL の設定] > [秘密キー証明書] にアップロードしてから、Orchestrator がインストールされているマシン上にインポートする必要があります。この証明書が生成されインストールされたドメインは、Orchestrator を実行するユーザーのドメインと一致しなければならないことに注意してください。
- 公開キー証明書 - [アプリ登録] > [設定] > [キー] > [公開鍵] にアップロードする必要があります。
(任意) 自己署名証明書

注: Azure Key Vault サイドで、ユーザーが暗号化キーを編集することはできません (シークレットを有効/無効化する、アクティブ化した日、有効期限日など)。シークレットが無効化されていると、該当するテナントで Orchestrator が格納したデータは暗号化されません。

アプリの登録手順

Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。

新しいアプリの登録を作成します。
後で使用するためにアプリケーション (クライアント) ID をコピーします。
[管理] > [証明書とシークレット] に移動し、前提条件に記載されている公開 SSL 証明書キーをアップロードします。
後で使用するためにこの証明書の拇印をコピーします。

資格情報ストアの手順

アプリケーションプール ID で Orchestrator を実行する場合は、以下の手順を実行します。

SSL 秘密キー証明書をローカルマシンの個人証明書ストアにインポートします。
アプリケーションプール ID に秘密キーへのアクセス権を付与します。その方法を次の手順で説明します。
MMC を開きます。
[ファイル] > [スナップインの追加と削除] に移動します。
[証明書] を選択し、[追加] > [コンピューターアカウント] > [ローカルコンピューター] をクリックします。
[OK] をクリックします。
[証明書 (ローカルコンピューター)] > [個人] > [証明書] に移動し、[完了] をクリックしてから [OK] をクリックします。
MMC のメインウィンドウで、目的の証明書を右クリックしてから [すべてのタスク] > [秘密キーの管理] を選択します。
[追加] ボタンをクリックします。
[選択するオブジェクト名を入力してください] フィールドに、「IIS AppPool<AppPoolName>」と入力します。例: IIS AppPool\UiPath Orchestrator
フルコントロールを付与します。

カスタムアカウントで Orchestrator を実行する場合は、以下の手順を実行します。

前提条件に記載された SSL 秘密キー証明書を、Orchestrator プロセスを実行しているユーザーの個人証明書ストアにインポートします。

Orchestrator が Azure App Service インストールである場合は、以下の手順を実行します。

前提条件に記載された SSL 秘密キー証明書を、[Orchestrator App Service] > [SSL の設定] > [秘密キー証明書] にインポートします。

Azure Key Vault の手順

Azure Key Vault で、次の操作を行います。

[キーコンテナー] の [概要] ページにアクセスし、後で使用するために DNS 名をコピーします。
[キーコンテナー] ページに移動し、[設定] > [アクセスポリシー] を選択します。
[アクセスポリシーの追加] をクリックします。
[テンプレートからの構成 (省略可能)] ドロップダウンメニューから、[キー、シークレット、および証明書の管理] を選択します。
[認可されているアプリケーション] セクションで [選択されていません] をクリックし、[プリンシパルの選択] フィールドを有効化します。
アプリ登録名を入力し、アプリケーション ID が正しいことを確認して、このプリンシパルを選択します。
[追加] をクリックします。

UiPath.Orchestrator.dll.config の手順

Orchestrator の UiPath.Orchestrator.dll.config ファイルに、以下の変更を加えます。

Orchestrator インスタンスの UiPath.Orchestrator.dll.config ファイルを開きます。
AppSettings セクションで、以下の手順を実行します。
1. Database.EnableAutomaticMigrations パラメーターを true に設定します。そうしない場合、これ以降 UiPath.Orchestrator.dll.config に対して変更を行ってもまったく反映されません。
2. EncryptionKeyPerTenant.Enabled を true に設定します。
3. EncryptionKeyPerTenant.KeyProvider を AzureKeyVault に設定します。
4. アプリケーションプール ID を使用する Orchestrator の場合、CertificatesStoreLocation を LocalMachine に設定します。
secureAppSettings セクションで、以下の手順を実行します。
1. EncryptionKey キーを削除またはコメントアウトします。
2. [アプリの登録] ページから 入力したアプリケーション (クライアント) ID をコピーし、それを Azure.KeyVault.ClientId パラメーターの値として指定します。例: <add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />
3. [アプリの登録] ページから拇印をコピーし、それを Azure.KeyVault.CertificateThumbprint パラメーターの値として指定します。たとえば <add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" /> です。
4. [キーコンテナー] の [概要] ページから DNS 名をコピーし、それを Azure.KeyVault.VaultAddress パラメーターの値として指定します。たとえば <add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" /> です。
前の手順で構成した、すべての UiPath.Orchestrator.dll.config 設定に一致する値が Identity Server の appsettings.Production.json と appsettings.json 内に存在することを確認します。詳細は「Identity Server の AppSettings.json」をご覧ください。