- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- パッケージ ファイルのサイズ制限を増やす
- テナントごとに暗号化キーを設定する
- GZIP 圧縮
- Integrations
- ホストの管理
- 組織管理者
- トラブルシューティング
テナントごとに暗号化キーを設定する
Microsoft Azure Key Vault を使用して、Orchestrator インスタンス内のテナントをそれぞれ一意のキーで暗号化できます。Orchestrator は、この Key Vault を使用して、キーを安全に格納して管理します。これにより、テナント間でデータをより適切に分離できます。
この機能を利用するには、Microsoft Azure に、またはオンプレミスで Orchestrator をインストールできます。ただし、後者の場合は、Orchestrator インスタンスをインターネットと Azure Key Vault に接続する必要があります。
アプリ登録を介して Azure Key Vault を使用するには、Orchestrator 認証が必要です。アプリ登録によって、アプリケーションに一連の権限を付与できます。この場合、Orchestrator がアプリケーションで、Azure Key Vault が対象となる権限です。
まず、アプリ登録による Azure Key Vault へのアクセスを設定する必要があります。アプリ登録による Orchestrator の認証は、Orchestrator の証明書ストアで入手できる SSL 秘密キーと、アプリ登録にアップロードされた SSL 公開キーを使用して実行できます。アプリの登録と Key Vault を設定したら、Orchestrator の設定ファイルにいくらかの変更を行う必要があります。これらの条件が満たされたら、Orchestrator で Azure Key Vault を使用して各テナントを暗号化できます。
- 独自の Microsoft Azure Key Vault
- Orchestrator のクリーン インストール
-
Orchestrator インスタンスの有効な SSL 証明書:
- 秘密キー証明書 - [App Service] > [SSL の設定] > [秘密キー証明書] にアップロードしてから、Orchestrator がインストールされているマシン上にインポートする必要があります。この証明書が生成されインストールされたドメインは、Orchestrator を実行するユーザーのドメインと一致しなければならないことに注意してください。
- 公開キー証明書 - [アプリ登録] > [設定] > [キー] > [公開鍵] にアップロードする必要があります。
-
(任意) 自己署名証明書
注: Azure Key Vault サイドで、ユーザーが暗号化キーを編集することはできません (シークレットを有効/無効化する、アクティブ化した日、有効期限日など)。シークレットが無効化されていると、該当するテナントで Orchestrator が格納したデータは暗号化されません。
Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。
- 新しいアプリの登録を作成します。
- 後で使用するためにアプリケーション (クライアント) ID をコピーします。
- [管理] > [証明書とシークレット] に移動し、前提条件に記載されている公開 SSL 証明書キーをアップロードします。
- 後で使用するためにこの証明書の拇印をコピーします。
アプリケーション プール ID で Orchestrator を実行する場合は、以下の手順を実行します。
- SSL 秘密キー証明書をローカル マシンの個人証明書ストアにインポートします。
- アプリケーション プール ID に秘密キーへのアクセス権を付与します。その方法を次の手順で説明します。
- MMC を開きます。
- [ファイル] > [スナップインの追加と削除] に移動します。
- [証明書] を選択し、[追加] > [コンピューター アカウント] > [ローカル コンピューター] をクリックします。
- [OK] をクリックします。
- [証明書 (ローカル コンピューター)] > [個人] > [証明書] に移動し、[完了] をクリックしてから [OK] をクリックします。
- MMC のメイン ウィンドウで、目的の証明書を右クリックしてから [すべてのタスク] > [秘密キーの管理] を選択します。
- [追加] ボタンをクリックします。
- [選択するオブジェクト名を入力してください] フィールドに、「IIS AppPool<AppPoolName>」と入力します。例:
IIS AppPool\UiPath Orchestrator
- フル コントロールを付与します。
カスタム アカウントで Orchestrator を実行する場合は、以下の手順を実行します。
- 前提条件に記載された SSL 秘密キー証明書を、Orchestrator プロセスを実行しているユーザーの個人証明書ストアにインポートします。
Orchestrator が Azure App Service インストールである場合は、以下の手順を実行します。
- 前提条件に記載された SSL 秘密キー証明書を、[Orchestrator App Service] > [SSL の設定] > [秘密キー証明書] にインポートします。
UiPath.Orchestrator.dll.config
ファイルに、以下の変更を加えます。
- Orchestrator インスタンスの
UiPath.Orchestrator.dll.config
ファイルを開きます。 AppSettings
セクションで、以下の手順を実行します。Database.EnableAutomaticMigrations
パラメーターをtrue
に設定します。 そうしない場合、これ以降UiPath.Orchestrator.dll.config
に対して変更を行ってもまったく反映されません。EncryptionKeyPerTenant.Enabled
をtrue
に設定します。EncryptionKeyPerTenant.KeyProvider
をAzureKeyVault
に設定します。- アプリケーション プール ID を使用する Orchestrator の場合、
CertificatesStoreLocation
をLocalMachine
に設定します。
secureAppSettings
セクションで、以下の手順を実行します。EncryptionKey
キーを削除またはコメント アウトします。- [アプリの登録] ページから 入力したアプリケーション (クライアント) ID をコピーし、それを
Azure.KeyVault.ClientId
パラメーターの値として指定します。例:<add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />
- [アプリの登録] ページから組織のディレクトリ (テナント) ID をコピーし、それを
Azure.KeyVault.DirectoryId
パラメーターの値として指定します。
たとえば<add key="Azure.KeyVault.DirectoryId" value="d8353d2a-b153-4d17-8827-902c51f72357" />
です。 - [アプリの登録] ページから拇印をコピーし、それを
Azure.KeyVault.CertificateThumbprint
パラメーターの値として指定します。たとえば<add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" />
です。 - [キー コンテナー] の [概要] ページから DNS 名をコピーし、それを
Azure.KeyVault.VaultAddress
パラメーターの値として指定します。 たとえば<add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" />
です。