Microsoft Azure Key Vault を使用して、Orchestrator インスタンス内のテナントをそれぞれ一意のキーで暗号化できます。Orchestrator は、この Key Vault を使用して、キーを安全に格納して管理します。これにより、テナント間でデータをより適切に分離できます。

この機能を利用するには、Microsoft Azure に、またはオンプレミスで Orchestrator をインストールできます。ただし、後者の場合は、Orchestrator インスタンスをインターネットと Azure Key Vault に接続する必要があります。

概要

アプリ登録を介して Azure Key Vault を使用するには、Orchestrator 認証が必要です。アプリ登録によって、アプリケーションに一連の権限を付与できます。この場合、Orchestrator がアプリケーションで、Azure Key Vault が対象となる権限です。

まず、アプリ登録による Azure Key Vault へのアクセスを設定する必要があります。アプリ登録による Orchestrator の認証は、Orchestrator の証明書ストアで入手できる SSL 秘密キーと、アプリ登録にアップロードされた SSL 公開キーを使用して実行できます。アプリの登録と Key Vault を設定したら、Orchestrator の設定ファイルにいくらかの変更を行う必要があります。これらの条件が満たされたら、Orchestrator で Azure Key Vault を使用して各テナントを暗号化できます。

前提条件

• 独自の Microsoft Azure Key Vault
• Orchestrator のクリーン インストール
• Orchestrator インスタンスの有効な SSL 証明書:
  • 秘密キー証明書 - [アプリ サービス] > [SSL 設定] > [秘密鍵証明書] にアップロードしてから、Orchestrator がインストールされているマシン上にインポートする必要があります。この証明書が生成されインストールされたドメインは、Orchestrator を実行するユーザーのドメインと一致しなければならないことに注意してください。
  • 公開キー証明書 - [アプリ登録] > [設定] > [キー] > [公開鍵] にアップロードする必要があります。
• (任意) 自己署名証明書

📘

重要

Azure Key Vault サイドで、ユーザーが暗号化キーを編集することはできません (シークレットを有効/無効化する、アクティブ化した日、有効期限日など)。シークレットが無効化されていると、該当するテナントで Orchestrator が格納したデータは暗号化されません。

アプリの登録手順

Azure Portal の [アプリの登録] ペインで、以下の手順を実行します。

1. 新しいアプリの登録を作成します。
2. 後で使用するためにアプリケーション (クライアント) ID をコピーします。
3. [管理] > [証明書とシークレット] に移動し、前提条件に記載されている公開 SSL 証明書キーをアップロードします。
4. 後で使用するためにこの証明書の拇印をコピーします。

資格情報ストアの手順

アプリケーション プール ID で Orchestrator を実行する場合は、以下の手順を実行します。

1. SSL 秘密キー証明書をローカル マシンの個人証明書ストアにインポートします。
2. アプリケーション プール ID に秘密キーへのアクセス権を付与します。その方法を次の手順で説明します。
3. MMC を開きます。
4. [ファイル] > [スナップインの追加と削除] に移動します。
5. [証明書] を選択し、[追加] > [コンピューター アカウント] > [ローカル コンピューター] をクリックします。
6. [OK] をクリックします。
7. [証明書 (ローカル コンピューター)] > [個人] > [証明書] に移動し、[完了] をクリックしてから [OK] をクリックします。
8. MMC のメイン ウィンドウで、目的の証明書を右クリックしてから [すべてのタスク] > [秘密キーの管理] を選択します。
9. [追加] ボタンをクリックします。
10. [選択するオブジェクト名を入力してください] フィールドに、「IIS AppPool<AppPoolName>」と入力します。例: IIS AppPool\UiPath Orchestrator
11. フル コントロールを付与します。

カスタム アカウントで Orchestrator を実行する場合は、以下の手順を実行します。

1. 前提条件に記載された SSL 秘密キー証明書を、Orchestrator プロセスを実行しているユーザーの個人証明書ストアにインポートします。

Orchestrator が Azure App Service インストールである場合は、以下の手順を実行します。

1. 前提条件に記載された SSL 秘密キー証明書を、[Orchestrator App Service] > [SSL 設定] > [秘密鍵証明書] にインポートします。

Azure Key Vault の手順

Azure Key Vault で、次の操作を行います。

1. [キー コンテナー] の [概要] ページにアクセスし、後で使用するために DNS 名をコピーします。
2. [キー コンテナー] ページに移動し、[設定] > [アクセス ポリシー] を選択します。
3. [アクセス ポリシーの追加] をクリックします。
4. [テンプレートからの構成 (省略可能)] ドロップダウン メニューから、[キー、シークレット、および証明書の管理] を選択します。
5. [認可されているアプリケーション] セクションで [選択されていません] をクリックし、[プリンシパルの選択] フィールドを有効化します。
6. アプリ登録名を入力し、アプリケーション ID が正しいことを確認して、このプリンシパルを選択します。
7. [追加] をクリックします。

UiPath.Orchestrator.dll.config 手順

Orchestrator の UiPath.Orchestrator.dll.config ファイルに、以下の変更を加えます。

1. Orchestrator インスタンスの UiPath.Orchestrator.dll.config ファイルを開きます。
2. AppSettings セクションで、以下の手順を実行します。
   a. Database.EnableAutomaticMigrations パラメーターを true に設定します。そうしない場合、これ以降 UiPath.Orchestrator.dll.config に対して変更を行ってもまったく反映されません。
   b. EncryptionKeyPerTenant.Enabled を true に設定します。
   c. EncryptionKeyPerTenant.KeyProvider を AzureKeyVault に設定します。
   d. アプリケーション プール ID を使用する Orchestrator の場合、CertificatesStoreLocation を LocalMachine に設定します。
3. secureAppSettings セクションで、以下の手順を実行します。
   a. EncryptionKey キーを削除またはコメント アウトします。
   b. [アプリの登録] ページから 入力したアプリケーション (クライアント) ID をコピーし、それを Azure.KeyVault.ClientId パラメーターの値として指定します。例: <add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />
   
   c. [アプリの登録] ページから組織の [ディレクトリ (テナント) ID] をコピーし、それを Azure.KeyVault.DirectoryId パラメーターの値として指定します。例: <add key="Azure.KeyVault.DirectoryId" value="d8353d2a-b153-4d17-8827-902c51f72357" />
   d. [アプリの登録] ページから拇印をコピーし、それを Azure.KeyVault.CertificateThumbprint パラメーターの値として指定します。例: <add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" />
   e. [キー コンテナー] の [概要] ページから DNS 名をコピーし、それを Azure.KeyVault.VaultAddress パラメーターの値として指定します。 例: <add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" />
4. 前の手順で構成した、すべての UiPath.Orchestrator.dll.config 設定に一致する値が Identity Server の appsettings.Production.json と appsettings.json 内に記述されていることを確認します。詳細は「Identity Server の AppSettings.json」をご覧ください。