- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- データ エクスポート
- 組織でのテスト
- トラブルシューティング
- Test Cloud に移行する
Test Cloud 管理ガイド
動作のしくみ
The Relay client — a lightweight binary installed on a machine inside your network — establishes a persistent, outbound-only connection on port 443 to UiPath relay infrastructure. For Relay client 26.4.2 or later, new configurations connect through cloud.uipath.com using WSS (WebSocket over TLS).
Relay client versions earlier than 26.4.2 connect through a regional relay hostname over TLS.
When a UiPath cloud service needs to reach one of your on-premises endpoints, the request travels from the cloud service through UiPath relay infrastructure, down the outbound connection to the Relay client, and from there across your local network to the target service.
Relay クライアントはアウトバウンドのすべてのトンネル接続を開始するため、ネットワークはインターネットからのインバウンド接続を受け入れません。
接続フロー
- オンプレミスのエンドポイントは、UiPath Administration の Relay グループに登録します。エンドポイントリストは Relay サービスに保存されます。
- Relay クライアントは、Test Cloud に対して認証された検出呼び出しを実行し、公開するエンドポイントのリストを取得します。
- リレークライアントは、永続的なアウトバウンド制御接続を確立します。
26.4.2以降のリレー クライアントは、WSS (WebSocket over TLS) を使用してcloud.uipath.com:443経由で接続します。26.4.2より前のバージョンのリレー クライアントは、ポート 443 で TLS 経由でリージョン固有のリレー ホスト名 (eu-relay.uipath.comなど) に接続します。 - UiPath のリレー インフラストラクチャは、OIDC 経由で接続を検証し、登録済みのリレー グループに対してクライアントの構成を検証します。これにより、クライアントが所有していないエンドポイントを要求するのを防ぎます。
- UiPath サービスは、オンプレミスのエンドポイントを呼び出す必要がある場合に、リレー API からリレー URL を取得し、UiPath Identity からリレー範囲のトークンを取得します。
- サービスはリレー URL を呼び出します。リレー インフラストラクチャは、トンネル経由で要求を転送する前に、トークンと消費するテナントの認可を検証します。
- リレー クライアントは、転送された要求をアウトバウンド接続経由で受信し、ローカル ネットワーク経由でオンプレミス エンドポイントへの HTTP または HTTPS 接続を開きます。
最適なスループットを得るには、クラウド テナントと同じ地理的リージョンに Relay クライアントをデプロイします。トラフィックは、UiPath Cloud → のパスをたどり、インフラストラクチャ→リレー ノード→オンプレミス サービスを中継します。したがって、リージョン間トンネルでは、リージョン間の往復時間に比例した待機時間が増加します。ペイロードが大きいシナリオでは、この差は大きくなります。
高可用性
運用環境の場合は、同じRelayグループ内に少なくとも2つのRelayクライアントを、同一のネットワークアクセスとトラストストア構成で展開します。グループ内のクライアントは、ラウンドロビン分散を介してロードし、1 つのクライアントが使用できなくなった場合は自動的にフェールオーバーします。
複数のクライアントがプロアクティブ再接続を使用する場合、一度に 1 つのクライアントのみがドレインするように調整し、各再接続サイクルを通じてグループを継続的に使用できるようにします。
セキュリティ モデル
- 認証。Relay クライアントは、OAuth 2.0 クライアント資格情報を使用してクラウド プラットフォームに対して認証を行います。UiPath のリレー インフラストラクチャは、OIDC を介した各制御接続を検証し、クライアントが登録済みのリレー グループと一致することを検証します。
- 保存時の暗号化。リレークライアントマシンに保存される資格情報は暗号化されます(LinuxではAES-256-GCM、WindowsではDPAPI)。
- 転送中の暗号化。リレー クライアントと UiPath のリレー インフラストラクチャ間のすべてのトラフィックは、ポート 443 で転送中に暗号化されます。リレー接続では、TLS 1.2 または TLS 1.3 を使用します。暗号スイートは、安全なデフォルトを使用してGo TLSスタックによって選択されます。リレークライアントは、カスタム暗号スイート構成を公開しません。
- トークンのスコープ。UiPath サービスは、リレー URL を呼び出す前に、リレー スコープのトークンを取得します。リレー インフラストラクチャは、要求を転送する前に、このトークンと使用するテナントの認可を検証します。
TLS と証明書の信頼性
Relay クライアントは、オンプレミス ターゲットへの HTTP または HTTPS 接続を終了し、再度開始します。オンプレミスエンドポイントが HTTPS を使用する場合、リレークライアントマシン上の OS 信頼ストアは、オンプレミスエンドポイントの証明書に署名した認証局 (CA) を信頼する必要があります。
エンドポイントで自己署名証明書またはプライベート企業 CA を使用している場合は、リレーを開始する前に、発行元 CA をリレークライアントマシンの信頼ストアに追加します。そうしないと、リレークライアントは内部ターゲットへの接続を拒否します。