orchestrator
2021.10
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。
UiPath logo, featuring letters U and I in white
サポート対象外
Orchestrator ユーザー ガイド
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年10月31日

テナントごとに暗号化キーを設定する

Microsoft Azure Key Vault を使用して、Orchestrator インスタンス内のテナントをそれぞれ一意のキーで暗号化できます。Orchestrator は、この Key Vault を使用して、キーを安全に格納して管理します。これにより、テナント間でデータをより適切に分離できます。

この機能を利用するには、Microsoft Azure に、またはオンプレミスで Orchestrator をインストールできます。ただし、後者の場合は、Orchestrator インスタンスをインターネットと Azure Key Vault に接続する必要があります。

概要

アプリ登録を介して Azure Key Vault を使用するには、Orchestrator 認証が必要です。アプリ登録によって、アプリケーションに一連の権限を付与できます。この場合、Orchestrator がアプリケーションで、Azure Key Vault が対象となる権限です。

まず、アプリ登録による Azure Key Vault へのアクセスを設定する必要があります。アプリ登録による Orchestrator の認証は、Orchestrator の証明書ストアで入手できる SSL 秘密キーと、アプリ登録にアップロードされた SSL 公開キーを使用して実行できます。アプリの登録と Key Vault を設定したら、Orchestrator の設定ファイルにいくらかの変更を行う必要があります。これらの条件が満たされたら、Orchestrator で Azure Key Vault を使用して各テナントを暗号化できます。

前提条件

  • 独自の Microsoft Azure Key Vault
  • Orchestrator のクリーン インストール
  • Orchestrator インスタンスの有効な SSL 証明書:

    • 秘密キー証明書 - [App Service] > [SSL の設定] > [秘密キー証明書] にアップロードしてから、Orchestrator がインストールされているマシン上にインポートする必要があります。この証明書が生成されインストールされたドメインは、Orchestrator を実行するユーザーのドメインと一致しなければならないことに注意してください。
    • 公開キー証明書 - [アプリ登録] > [設定] > [キー] > [公開鍵] にアップロードする必要があります。
  • (任意) 自己署名証明書

    注: Azure Key Vault サイドで、ユーザーが暗号化キーを編集することはできません (シークレットを有効/無効化する、アクティブ化した日、有効期限日など)。シークレットが無効化されていると、該当するテナントで Orchestrator が格納したデータは暗号化されません。

アプリの登録手順

Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。

  1. 新しいアプリの登録を作成します。
  2. 後で使用するためにアプリケーション (クライアント) ID をコピーします。
  3. [管理] > [証明書とシークレット] に移動し、前提条件に記載されている公開 SSL 証明書キーをアップロードします。
  4. 後で使用するためにこの証明書の拇印をコピーします。

資格情報ストアの手順

アプリケーション プール ID で Orchestrator を実行する場合は、以下の手順を実行します。

  1. SSL 秘密キー証明書をローカル マシンの個人証明書ストアにインポートします。
  2. アプリケーション プール ID に秘密キーへのアクセス権を付与します。その方法を次の手順で説明します。
  3. MMC を開きます。
  4. [ファイル] > [スナップインの追加と削除] に移動します。
  5. [証明書] を選択し、[追加] > [コンピューター アカウント] > [ローカル コンピューター] をクリックします。
  6. [OK] をクリックします。
  7. [証明書 (ローカル コンピューター)] > [個人] > [証明書] に移動し、[完了] をクリックしてから [OK] をクリックします。
  8. MMC のメイン ウィンドウで、目的の証明書を右クリックしてから [すべてのタスク] > [秘密キーの管理] を選択します。
  9. [追加] ボタンをクリックします。
  10. [選択するオブジェクト名を入力してください] フィールドに、「IIS AppPool<AppPoolName>」と入力します。例: IIS AppPool\UiPath Orchestrator
  11. フル コントロールを付与します。

カスタム アカウントで Orchestrator を実行する場合は、以下の手順を実行します。

  1. 前提条件に記載された SSL 秘密キー証明書を、Orchestrator プロセスを実行しているユーザーの個人証明書ストアにインポートします。

Orchestrator が Azure App Service インストールである場合は、以下の手順を実行します。

  1. 前提条件に記載された SSL 秘密キー証明書を、[Orchestrator App Service] > [SSL の設定] > [秘密キー証明書] にインポートします。

Azure Key Vault の手順

Azure Key Vault で、次の操作を行います。

  1. [キー コンテナー] の [概要] ページにアクセスし、後で使用するために DNS 名をコピーします。
  2. [キー コンテナー] ページに移動し、[設定] > [アクセス ポリシー] を選択します。
  3. [アクセス ポリシーの追加] をクリックします。
  4. [テンプレートからの構成 (省略可能)] ドロップダウン メニューから、[キー、シークレット、および証明書の管理] を選択します。
  5. [認可されているアプリケーション] セクションで [選択されていません] をクリックし、[プリンシパルの選択] フィールドを有効化します。
  6. アプリ登録名を入力し、アプリケーション ID が正しいことを確認して、このプリンシパルを選択します。
  7. [追加] をクリックします。


UiPath.Orchestrator.dll.config の手順

Orchestrator の UiPath.Orchestrator.dll.config ファイルに、以下の変更を加えます。
  1. Orchestrator インスタンスの UiPath.Orchestrator.dll.config ファイルを開きます。
  2. AppSettings セクションで、以下の手順を実行します。
  3. Database.EnableAutomaticMigrations パラメーターを true に設定します。 そうしない場合、これ以降 UiPath.Orchestrator.dll.config に対して変更を行ってもまったく反映されません。
  4. EncryptionKeyPerTenant.Enabledtrue に設定します。
  5. EncryptionKeyPerTenant.KeyProviderAzureKeyVault に設定します。
  6. アプリケーション プール ID を使用する Orchestrator の場合、CertificatesStoreLocationLocalMachine に設定します。
  7. secureAppSettings セクションで、以下の手順を実行します。
  8. EncryptionKey キーを削除またはコメント アウトします。
  9. [アプリの登録] ページから 入力したアプリケーション (クライアント) ID をコピーし、それを Azure.KeyVault.ClientId パラメーターの値として指定します。 たとえば <add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" /> です。


  10. [アプリの登録] ページから組織のディレクトリ (テナント) ID をコピーし、それを Azure.KeyVault.DirectoryId パラメーターの値として指定します。
    たとえば <add key="Azure.KeyVault.DirectoryId" value="d8353d2a-b153-4d17-8827-902c51f72357" /> です。
  11. [アプリの登録] ページから拇印をコピーし、それを Azure.KeyVault.CertificateThumbprint パラメーターの値として指定します。たとえば <add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" /> です。
  12. [キー コンテナー] の [概要] ページから DNS 名をコピーし、それを Azure.KeyVault.VaultAddress パラメーターの値として指定します。 たとえば <add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" /> です。
  13. 前の手順で構成した、すべての UiPath.Orchestrator.dll.config 設定に一致する値が Identity Server の appsettings.Production.jsonappsettings.json 内に存在することを確認します。詳細は「Identity Server の AppSettings.json」をご覧ください。

このページは役に立ちましたか?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.