Mit Microsoft Azure Key Vault können Sie jeden Mandanten in Ihrer Orchestrator-Instanz mit seinem eigenen einzigartigen Schlüssel verschlüsseln. Der Orchestrator verwendet den Key Vault, um die Schlüssel auf sichere Weise zu speichern und zu verwalten, um eine bessere Trennung Ihrer Daten zwischen Mandanten zu gewährleisten.

Der Orchestrator kann diese Funktion zu nutzen, wenn er in Microsoft Azure oder lokal installiert ist. Letzteres erfordert jedoch, dass Sie die Orchestrator-Instanz mit dem Internet und Azure Key Vault verbinden.

Überblick

Die Authentifizierung des Orchestrators ist erforderlich, um Azure Key Vault über App-Registrierungen zu verwenden. App-Registrierungen können Anwendungen eine Reihe von Berechtigungen gewähren. In unserem Fall ist der Orchestrator die Anwendung, und Azure Key Vault ist die gewünschte Berechtigung.

Sie müssen zuerst den Zugriff von App-Registrierungen auf den Azure Key Vault konfigurieren. Die Orchestrator-Authentifizierung mit App-Registrierungen ist mit dem privaten SSL-Schlüssel im Orchestrator Certificate Store und dem öffentlichen SSL-Schlüssel in App-Registrierungen möglich. Nachdem Sie die App-Registrierungen und den Key Vault konfiguriert haben, müssen Sie einige Änderungen an der Konfigurationsdatei des Orchestrators vornehmen. Sobald diese Kriterien erfüllt sind, kann der Orchestrator Azure Key Vault verwenden, um jeden Mandanten zu verschlüsseln.

Voraussetzungen

• Ihr eigenes Microsoft Azure Key Vault
• Eine saubere Orchestrator-Installation
• Ein gültiges SSL-Zertifikat für Ihre Orchestrator-Instanz:
  • Private-Key Zertifikat – Es muss in App-Dienste > SSL-Einstellungen > Zertifikate mit privatem Schlüssel hochgeladen und auf den/die Maschine(n) importiert werden, auf denen der Orchestrator installiert ist. Die Domäne, wo das Zertifikat generiert und installiert wurde, muss mit der Domäne des Benutzers übereinstimmen, unter dem der Orchestrator ausgeführt wird.
  • Öffentliches Schlüsselzertifikat – Es muss in App-Registrierung > Einstellungen > Schlüssel > Öffentliche Schlüssel hochgeladen werden.
• (Optional) Ein selbstsigniertes Zertifikat

📘

Wichtig!

Verschlüsselungsschlüssel dürfen von den Benutzern nicht auf der Azure Key Vault Seite bearbeitet werden, wie zum Beispiel Aktivieren/Deaktivieren von Geheimnissen oder Bearbeiten des Aktivierungsdatums und des Ablaufdatums. Beim Deaktivieren eines Geheimnisses werden die von Orchestrator für diesen Mandanten gespeicherten Daten nicht mehr entschlüsselt.

Schritte bei der App-Registrierung

Führen Sie im Bereich App-Registrierungen von des Azure Portals die folgenden Schritte aus:

1. Erstellen Sie eine neue App-Registrierung.
2. Kopieren Sie die Anwendungs-ID (Client) für die spätere Verwendung.
3. Gehen Sie zu Verwalten > Zertifikate und Geheimschlüssel, und laden Sie den öffentlichen SSL-Zertifikatsschlüssel hoch, der in der Voraussetzung angegeben ist.
4. Kopieren Sie den Fingerabdruck dieses Zertifikats für die spätere Verwendung.

Anmeldeinformationsspeicher

Wenn Sie den Orchestrator unter einer Anwendungspoolidentität ausführen, führen Sie die folgenden Schritte aus:

1. Importieren Sie das SSL-Zertifikat für private Schlüssel in den persönlichen Zertifikatspeicher der lokalen Maschine.
2. Gewähren Sie der Anwendungspoolidentität Zugriff auf den privaten Schlüssel. In den folgenden Schritten wird erläutert, wie Sie dies tun.
3. Öffnen Sie MMC.
4. Gehen Sie zu Datei > Snap-in hinzufügen/entfernen.
5. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen > Computerkonto > Lokaler Computer.
6. Klicken Sie auf OK.
7. Rufen Sie Zertifikate (Lokaler Computer) > Persönliche > Zertifikate auf, klicken Sie auf Fertig stellen und dann OK.
8. Klicken Sie im Hauptfenster von MMC mit der rechten Maustaste auf das gewünschte Zertifikat, und wählen Sie dann Alle Aufgaben > Privaten Schlüssel verwalten aus.
9. Klicken Sie auf die Schaltfläche Hinzufügen.
10. Geben Sie im Feld Objektname eingeben und auswählen iIS AppPool<AppPoolName> ein. Beispiel: IIS AppPool\UiPath Orchestrator.
11. Gewähren Sie die volle Kontrolle.

Wenn Sie den Orchestrator unter einem benutzerdefinierten Konto ausführen, führen Sie den folgenden Schritt aus:

1. Importieren Sie das in den Voraussetzungen genannte SSL-Zertifikat für den privaten Schlüssel in den persönlichen Zertifikatspeicher des Benutzers, der den Orchestrator-Prozess ausführt.

Wenn es sich bei Ihrem Orchestrator um eine Azure-App-Service-Installation handelt, führen Sie den folgenden Schritt aus:

1. Importieren Sie das in den Voraussetzungen genannte SSL-Zertifikat für private Schlüssel nach Orchestrator App Service > SSL-Einstellungen > Private Schlüsselzertifikate.

Schritte in Verbindung mit dem Azure Key Vault

Gehen Sie im Azure Key Vault wie folgt vor:

1. Rufen Sie die Seite Übersicht Key Vaults auf, und kopieren Sie den DNS-Namen zur späteren Verwendung.
2. Rufen Sie die Seite Key Vaults auf, und wählen Sie Einstellungen > Zugriffsrichtlinien aus.
3. Klicken Sie auf Zugriffsrichtlinie hinzufügen.
4. Wählen Sie im Dropdown-Menü Aus Vorlage konfigurieren (optional) die Option Schlüssel, Geheimschlüssel- und Zertifikatsverwaltung aus.
5. Klicken Sie im Abschnitt Autorisierte Anwendung auf Keine ausgewählt, um das Feld Prinzipal auswählen zu aktivieren.
6. Geben Sie den App-Registrierungsnamen ein, bestätigen Sie, dass die Anwendungs-ID korrekt ist, und wählen Sie diesen Prinzipal aus.
7. Klicken Sie auf Hinzufügen.

UiPath.Orchestrator.dll.config Steps

Nehmen Sie die folgenden Änderungen an der UiPath.Orchestrator.dll.config-Datei des Orchestrators vor:

1. Öffnen Sie die Datei UiPath.Orchestrator.dll.config Ihrer Orchestrator-Instanz.
2. Fügen Sie im Abschnitt AppSettings das folgende Argument hinzu:
   Setzen Sie den Parameter Database.EnableAutomaticMigrations auf true. Andernfalls werden alle nachfolgenden Änderungen an UiPath.Orchestrator.dll.config nicht wirksam.
   b. Legen Sie EncryptionKeyPerTenant.Enabled auf true fest.
   c. Legen Sie EncryptionKeyPerTenant.KeyProvider auf AzureKeyVault fest.
   d. Legen Sie für den Orchestrator, der die Anwendungspoolidentität verwendet, CertificatesStoreLocation auf LocalMachine fest.
3. Fügen Sie im Abschnitt secureAppSettings das folgende Argument hinzu:
   a. Entfernen Sie den EncryptionKey Schlüssel oder kommentieren Sie ihn aus.
   b. Kopieren Sie die Eingabeanwendung-ID (Client) von der Seite App-Registrierungen, und geben Sie sie als Wert für den Parameter Azure.KeyVault.ClientId an. Beispiel: <add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />.
   
   c. Kopieren Sie die Verzeichnis-ID (Mandant) Ihrer Organisation von der Seite App-Registrierungen und geben Sie sie als Wert für den Parameter Azure.KeyVault.DirectoryId an. Beispiel: <add key="Azure.KeyVault.DirectoryId" value="d8353d2a-b153-4d17-8827-902c51f72357" />.
   d. Kopieren Sie den Fingerabdruck von der Seite App-Registrierungen und geben Sie ihn als Wert für den Parameter Azure.KeyVault.CertificateThumbprint an. Beispiel: <add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" />.
   e. Kopieren Sie den DNS-Namen von der Seite Übersicht Key Vaults und geben Sie ihn als Wert für den Parameter Azure.KeyVault.VaultAddress an. Beispiel: <add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" />.