automation-suite
2023.10
true
Guia do administrador do Automation Suite
Last updated 14 de ago de 2024

Configuração de chave de criptografia por tenant

É possível usar o Microsoft Azure Key Vault para criptografar cada tenant na sua instância do Orchestrator com sua própria chave exclusiva. O Orchestrator usa o Key Vault para armazenar e gerenciar as chaves de uma maneira segura, garantindo uma melhor segregação de seus dados entre tenants.

O Orchestrator instalado no Automation Suite pode aproveitar essa funcionalidade, mas você deve conectar o aplicativo do Orchestrator à internet e ao Azure Key Vault.

Visão geral

É necessária a autenticação do Orchestrator para usar o Azure Key Vault por meio dos Registros de aplicativos. Os Registros de aplicativos podem conceder uma série de privilégios para os aplicativos. No nosso caso, o Orchestrator é o aplicativo, e o Azure Key Vault é o privilégio de destino.

Primeiro, você precisa configurar o acesso dos Registros de aplicativos ao Azure Key Vault. A autenticação do Orchestrator com os Registros de aplicativos é possível usando a chave privada SSL de um certificado com a chave pública SSL carregada nos Registros de aplicativos. Depois de configurar os Registros de aplicativos e o Key Vault, você precisa fazer algumas alterações no configmap orchestrator-customconfig usado no cluster do Automation Suite e modificar os parâmetros relevantes do ArgoCD para o aplicativo do Orchestrator a partir da interface de usuário do ArgoCD. Após esses critérios terem sido atendidos, o Orchestrator poderá usar o Azure Key Vault para criptografar cada tenant.

Pré-requisitos

  • Seu próprio Microsoft Azure Key Vault
  • Uma instalação limpa do Orchestrator no Automation Suite
  • Um certificado SSL válido:

    • Certificado de chave privada — ele precisa ser carregado em Serviços de aplicativo > Configurações de SSL > Certificados de chave privada
    • Certificado de chave pública — ele precisa ser carregado em Registros de aplicativos > Configurações > Chaves > Chaves públicas
  • (Opcional) Um certificado autoassinado

Para converter o .pfx arquivo de certificado para base64, execute o seguinte comando:

  • PowerShell: [convert]::ToBase64String((Get-Content -path "path_to_certificate" -Encoding byte))
  • Concha: base64 [_path_to_certificate_]
Observação: As chaves de criptografia não devem ser editadas no lado do Azure Key Vault pelos usuários, como habilitar/desabilitar os segredos ou editar a data de ativação e a data de expiração. Se um segredo estiver desabilitado, os dados armazenados pelo Orchestrator para esse tenant não serão mais descriptografados.

Etapas dos Registros de aplicativos

No painel Registros de aplicativos do Portal do Azure, siga estas etapas:

  1. Crie um novo registro do aplicativo.
  2. Copie o ID do aplicativo (cliente) para uso posterior.
  3. Acesse Gerenciar > Certificados e segredos e carregue a chave do certificado SSL pública mencionada no pré-requisito.

Etapas do Azure Key Vault

No Azure Key Vault, faça o seguinte:

  1. Acesse a página Visão geral dos Key Vaults e copie o nome do DNS para uso posterior.
  2. Acesse a página Key Vaults e selecione Configurações > Políticas de acesso.
  3. Clique em Adicionar política de acesso.
  4. No menu suspenso Configurar a partir do modelo (opcional), selecione Gerenciamento de chaves, segredos e certificados.
  5. Clique em Nenhum selecionado na seção Aplicativo autorizado para habilitar o campo Selecionar principal.
  6. Insira o nome do registro do aplicativo, confirm se o ID do aplicativo está correto e selecione esse principal.
  7. Clique em Adicionar.


Etapas de configuração personalizadas do Orchestrator

Faça as seguintes alterações na configuração no Orchestrator:

  1. Configure o Azure Key Vault para a instância do Orchestrator usando parâmetros da interface de usuário do ArgoCD:
    1. Copie a forma de base64 do certificado e a forneça como um valor para o parâmetro encryptionKeyPerTenant.certificateBase64.
    2. Copie a senha do certificado, se houver, e a forneça como um valor para o parâmetro encryptionKeyPerTenant.certificatePassword.
    3. Copie o ID do aplicativo de entrada (cliente) da página Registros de aplicativos e forneça-o como um valor para o parâmetro encryptionKeyPerTenant.clientId.
    4. Copie a ID do diretório (tenant) da sua organização da página Registros de aplicativos e forneça-o como um valor para o parâmetro encryptionKeyPerTenant.directoryId.
    5. Copie o Nome do DNS da página Visão geral dos Key Vaults e forneça-o como um valor para o parâmetro encryptionKeyPerTenant.vaultAddress.


  2. Atualize a seção AppSettings do configmap orchestrator-customconfig conforme mostrado a seguir para habilitar a funcionalidade de chave de criptografia por tenant:
    1. Defina EncryptionKeyPerTenant.Enabled como true.
    2. Defina EncryptionKeyPerTenant.KeyProvider como AzureKeyVault.
      Isso pode ser feito por meio da opção ou atualizando o configmap usando o Lens.
  3. Reinicie a implantação do Orchestrator do Automation Suite no cluster para que as alterações entrem em vigor.
Observação: Se você estiver migrando do Orchestrator independente para o Automation Suite, as configurações do SMTP no Identity Server não serão criptografadas com a chave por tenant. Depois que a migração for concluída, certifique-se de inserir novamente a senha do SMTP no portal do Automation Suite.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.