UiPath Orchestrator

UiPath Orchestrator ガイド

デプロイと構成に関する考慮事項

ユーザーとロボットの権限

Orchestrator でユーザーとロボットの権限を設定するときに、保護すべき 2 つの潜在的な脅威として、悪意のあるユーザーと悪意のある開発者があります。

Orchestrator とロボット間の認証は、ロボットマシンの管理者のみがアクセスできる共有キーに基づいています。マシンユーザーが管理者権限を持ち、そのキーにアクセスできる場合、Orchestrator を呼び出すときに他のロボットになりすますことができます。

悪意のあるユーザーによるリスクと潜在的な影響を軽減するには、次のガイドラインに従ってください。

  • 有人の (ユーザーの操作を伴う) 自動化用に構成されたマシンでは、そのマシンのユーザーに管理者権限がないことを確認してください。
  • 特定のオートメーションを実行するために必要な最小限にロボットの権限を制限します。権限の設定の詳細については、こちらを参照してください。
  • モダンフォルダーで、Orchestrator の Administrator または他の高特権のロールを持つユーザーのロボット作成を無効化します。

悪意のある開発者は、Orchestrator で高レベルの権限を持つユーザーが実行すると、その開発者に不要なアクセスを許可したり、データを盗んだりするプロセスをデプロイできます。

悪意のある開発者によるリスクと潜在的な影響を軽減するには、次のガイドラインに従ってください。

  • Orchestrator にデプロイされているパッケージの制御と検証を維持します。
  • 本番環境へのデプロイ前の自動化の監査 (コードレビュー、ウイルススキャンなど)。
  • 特定のオートメーションを実行するために必要な最小限にロボットの権限を制限します。権限の設定の詳細については、こちらを参照してください。
  • モダンフォルダーで、Orchestrator の Administrator または他の高特権のロールを持つユーザーのロボット作成を無効化します。

パスワードポリシー

既定のパスワードポリシーでは、すべてのユーザーのパスワードは 8 文字以上で、1 文字以上の英字および 1 文字以上の数字を含める必要があります。 [設定 (Settings)] ページの [セキュリティ (Security)] タブでは、この設定の変更やより複雑な設定を行えます。詳細については、「設定の説明」トピックを参照してください。

Web.config ファイルの暗号化

SecureAppSettings ファイルの Web.config セクションを暗号化します。暗号化の方法については、「Web.config セクションの暗号化」のトピックを参照してください。

ブラウザのオートコンプリート機能の無効化

ほとんどの Web ブラウザーで利用できるオートコンプリート機能は、完全に安全というわけではありません。Orchestrator ログイン パスワードを確実に誰にも発見されないようにするために、よく使用するブラウザーで前述の機能を無効化することをお勧めします。

Internet Explorer 11 を使用している場合:

  1. Internet Explorer で、[ツール] > [インターネット オプション]の順でクリックします。[インターネット オプション] のウィンドウが開きます。
  2. [コンテンツ (Content)] タブで、[設定 (Settings)] を選択します。[オートコンプリートの設定 (AutoComplete Settings)] ウィンドウが表示されます。
  3. [フォームのユーザー名およびパスワード (User names and passwords on forms)] チェックボックスをクリアします。
  4. [OK] をクリックします。設定が保存されます。

既定のシステム管理者パスワードの変更

既定のシステム管理者パスワード (弊社のチームから通知されたもの) を変更します。この変更は、ユーザープロファイル情報を編集することで実行できます。詳細については、「テナントの管理」を参照してください。

[このアカウントを記憶する (Remember Me)] チェックボックスを選択しない

初回に Orchestrator へログインする際には、[Remember Me] パスワードを選択しないでください。これは、現在のセッションから毎回ログアウトする場合に役立ちます。

Cookie セッションタイムアウト期間の制限

既定では、認可 Cookie は 60 分後に期限切れになります。この時間は、Web.config ファイル内の Auth.Cookie.Expire パラメーターの値を変更することで制限できます。

信頼された SSL 証明書の使用

HTTPS 接続を使用するようにすることは重要ですが、信頼されたプロバイダーから SSL 証明書を取得することも重要です。

さらに、次の HTTP バインディングを削除できます。

  1. IISを開きます。
  2. [Connections] パネルで、[Sites] フォルダーに移動します。
  3. Orchestrator サイトをクリックします。それに応じて [Actions] パネルが更新されます。
  4. [Bindings] をクリックします。[Site Bindings] ウィンドウが表示されます。
  5. [HTTP] バインディングをクリックしてから、[Remove] をクリックします。[HTTP] バインディングが削除されます。

Cache-Control の追加

セキュリティキャッシュディレクティブの追加をお勧めします。これは、HTTP ヘッダーに表示される可能性のある機密情報を非表示にするためのものです。なお、すべての応答が次の HTTP ヘッダーを返すことが理想的です。

Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache

これらのヘッダーを追加するには、Web.config ファイルの customHeaders セクションに次の形式でこれらのヘッダーを追加します。

<add name="Cache-control" value="s-maxage=0"/>

3 か月前に更新



デプロイと構成に関する考慮事項


改善の提案は、API 参照ページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。