Orchestrator ユーザーガイド

デリバリー:

Automation Cloud Automation Cloud Public Sector Automation Suite Standalone

最終更新日時 2024年10月9日

テナントごとに暗号化キーを設定する

Microsoft Azure Key Vault を使用して、Orchestrator インスタンス内のテナントをそれぞれ一意のキーで暗号化できます。Orchestrator は、この Key Vault を使用して、キーを安全に格納して管理します。これにより、テナント間でデータをより適切に分離できます。

この機能を利用するには、Microsoft Azure に、またはオンプレミスで Orchestrator をインストールできます。ただし、後者の場合は、Orchestrator インスタンスをインターネットと Azure Key Vault に接続する必要があります。

概要

アプリ登録を介して Azure Key Vault を使用するには、Orchestrator 認証が必要です。アプリ登録によって、アプリケーションに一連の権限を付与できます。この場合、Orchestrator がアプリケーションで、Azure Key Vault が対象となる権限です。

まず、アプリ登録による Azure Key Vault へのアクセスを設定する必要があります。アプリ登録による Orchestrator の認証は、Orchestrator の証明書ストアで入手できる SSL 秘密キーと、アプリ登録にアップロードされた SSL 公開キーを使用して実行できます。アプリの登録と Key Vault を設定したら、Orchestrator の設定ファイルにいくらかの変更を行う必要があります。これらの条件が満たされたら、Orchestrator で Azure Key Vault を使用して各テナントを暗号化できます。

前提条件

独自の Microsoft Azure Key Vault
Orchestrator のクリーンインストール
Orchestrator インスタンスの有効な SSL 証明書:
- 秘密キー証明書 - [App Service] > [SSL の設定] > [秘密キー証明書] にアップロードしてから、Orchestrator がインストールされているマシン上にインポートする必要があります。この証明書が生成されインストールされたドメインは、Orchestrator を実行するユーザーのドメインと一致しなければならないことに注意してください。
- 公開キー証明書 - [アプリ登録] > [設定] > [キー] > [公開鍵] にアップロードする必要があります。
(任意) 自己署名証明書

注: Azure Key Vault サイドで、ユーザーが暗号化キーを編集することはできません (シークレットを有効/無効化する、アクティブ化した日、有効期限日など)。シークレットが無効化されていると、該当するテナントで Orchestrator が格納したデータは暗号化されません。

アプリの登録手順

Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。

新しいアプリの登録を作成します。
後で使用するためにアプリケーション (クライアント) ID をコピーします。
[管理] > [証明書とシークレット] に移動し、前提条件に記載されている公開 SSL 証明書キーをアップロードします。
後で使用するためにこの証明書の拇印をコピーします。

資格情報ストアの手順

アプリケーションプール ID で Orchestrator を実行する場合は、以下の手順を実行します。

SSL 秘密キー証明書をローカルマシンの個人証明書ストアにインポートします。
アプリケーションプール ID に秘密キーへのアクセス権を付与します。その方法を次の手順で説明します。
MMC を開きます。
[ファイル] > [スナップインの追加と削除] に移動します。
[証明書] を選択し、[追加] > [コンピューターアカウント] > [ローカルコンピューター] をクリックします。
[OK] をクリックします。
[証明書 (ローカルコンピューター)] > [個人] > [証明書] に移動し、[完了] をクリックしてから [OK] をクリックします。
MMC のメインウィンドウで、目的の証明書を右クリックしてから [すべてのタスク] > [秘密キーの管理] を選択します。
[追加] ボタンをクリックします。
[選択するオブジェクト名を入力してください] フィールドに、「IIS AppPool<AppPoolName>」と入力します。例: IIS AppPool\UiPath Orchestrator
フルコントロールを付与します。

カスタムアカウントで Orchestrator を実行する場合は、以下の手順を実行します。

前提条件に記載された SSL 秘密キー証明書を、Orchestrator プロセスを実行しているユーザーの個人証明書ストアにインポートします。

Orchestrator が Azure App Service インストールである場合は、以下の手順を実行します。

前提条件に記載された SSL 秘密キー証明書を、[Orchestrator App Service] > [SSL の設定] > [秘密キー証明書] にインポートします。

Azure Key Vault の手順

Azure Key Vault で、次の操作を行います。

[キーコンテナー] の [概要] ページにアクセスし、後で使用するために DNS 名をコピーします。
[キーコンテナー] ページに移動し、[設定] > [アクセスポリシー] を選択します。
[アクセスポリシーの追加] をクリックします。
[テンプレートからの構成 (省略可能)] ドロップダウンメニューから、[キー、シークレット、および証明書の管理] を選択します。
[認可されているアプリケーション] セクションで [選択されていません] をクリックし、[プリンシパルの選択] フィールドを有効化します。
アプリ登録名を入力し、アプリケーション ID が正しいことを確認して、このプリンシパルを選択します。
[追加] をクリックします。

UiPath.Orchestrator.dll.config の手順

Orchestrator の UiPath.Orchestrator.dll.config ファイルに、以下の変更を加えます。

Orchestrator インスタンスの UiPath.Orchestrator.dll.config ファイルを開きます。
AppSettings セクションで、以下の手順を実行します。
1. Database.EnableAutomaticMigrations パラメーターを true に設定します。そうしない場合、これ以降 UiPath.Orchestrator.dll.config に対して変更を行ってもまったく反映されません。
2. EncryptionKeyPerTenant.Enabled を true に設定します。
3. EncryptionKeyPerTenant.KeyProvider を AzureKeyVault に設定します。
4. アプリケーションプール ID を使用する Orchestrator の場合、CertificatesStoreLocation を LocalMachine に設定します。
secureAppSettings セクションで、以下の手順を実行します。
1. EncryptionKey キーを削除またはコメントアウトします。
2. [アプリの登録] ページから 入力したアプリケーション (クライアント) ID をコピーし、それを Azure.KeyVault.ClientId パラメーターの値として指定します。例: <add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />
3. [アプリの登録] ページから組織のディレクトリ (テナント) ID をコピーし、それを Azure.KeyVault.DirectoryId パラメーターの値として指定します。
  たとえば <add key="Azure.KeyVault.DirectoryId" value="d8353d2a-b153-4d17-8827-902c51f72357" /> です。
4. [アプリの登録] ページから拇印をコピーし、それを Azure.KeyVault.CertificateThumbprint パラメーターの値として指定します。たとえば <add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" /> です。
5. [キーコンテナー] の [概要] ページから DNS 名をコピーし、それを Azure.KeyVault.VaultAddress パラメーターの値として指定します。たとえば <add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" /> です。