- Introdução
- Melhores práticas
- Tenant
- Ações
- Contexto de Pastas
- Automações
- Processos
- Trabalhos
- Gatilhos
- Logs
- Monitoramento
- Filas
- Ativos
- Armazenar Buckets
- Test Suite - Orchestrator
- Catálogos de Ações
- Perfil
- Administrador do Sistema
- Servidor de Identidade
- Autenticação
- Outras configurações
- Aumento do limite de tamanho dos arquivos de pacote
- Cancelando a Telemetria
- Configuração de chave de criptografia por tenant
- Compactação com GZIP
- Integrações
- Robôs Clássicos
- Solução de problemas
Configuração de chave de criptografia por tenant
É possível usar o Microsoft Azure Key Vault para criptografar cada tenant na sua instância do Orchestrator com sua própria chave exclusiva. O Orchestrator usa o Key Vault para armazenar e gerenciar as chaves de uma maneira segura, garantindo uma melhor segregação de seus dados entre tenants.
O Orchestrator instalado no Microsoft Azure ou localmente pode aproveitar essa funcionalidade. No entanto, esta última opção requer que você conecte a instância do Orchestrator à Internet e ao Azure Key Vault.
É necessária a autenticação do Orchestrator para usar o Azure Key Vault por meio dos Registros de aplicativos. Os Registros de aplicativos podem conceder uma série de privilégios para os aplicativos. No nosso caso, o Orchestrator é o aplicativo, e o Azure Key Vault é o privilégio de destino.
Primeiro, você precisa configurar o acesso dos Registros de aplicativos ao Azure Key Vault. A autenticação do Orchestrator com Registros de aplicativos é possível usando a chave privada SSL disponível no armazenamento de certificados do Orchestrator e a chave pública SSL carregada nos Registros de aplicativos. Após configurar os Registros de aplicativos e o Key Vault, você precisa fazer algumas alterações no arquivo de configuração do Orchestrator. Após esses critérios terem sido atendidos, o Orchestrator poderá usar o Azure Key Vault para criptografar cada tenant.
- Seu próprio Microsoft Azure Key Vault
- Uma instalação limpa do Orchestrator
-
Um certificado SSL válido para sua instância do Orchestrator:
- Certificado de chave privada - Precisa ser carregado em Serviços de aplicativos > Configurações SSL > Certificados de chave privada e importados na(s) máquina(s) na(s) qual(is) o Orchestrator está instalado. Lembre-se de que o domínio no qual o certificado foi gerado e instalado tem que corresponder ao domínio do usuário no qual você executa o Orchestrator.
- Certificado de chave pública - Precisa ser carregado em Registros de aplicativos > Configurações > Chaves > Chaves públicas
-
(Opcional) Um certificado autoassinado
Observação: As chaves de criptografia não devem ser editadas no lado do Azure Key Vault pelos usuários, como habilitar/desabilitar os segredos ou editar a data de ativação e a data de expiração. Se um segredo estiver desabilitado, os dados armazenados pelo Orchestrator para esse tenant não serão mais descriptografados.
No painel Registros de aplicativos do Portal do Azure, siga estas etapas:
- Crie um novo registro do aplicativo.
- Copie o ID do aplicativo (cliente) para uso posterior.
- Acesse Gerenciar > Certificados e segredos e carregue a chave do certificado SSL pública mencionada no pré-requisito.
- Copie a Impressão digital desse certificado para uso posterior.
Se você executar o Orchestrator em uma Identidade do Pool de aplicativos, execute as seguintes etapas:
- Importe o certificado da chave privada SSL para o armazenamento de certificados pessoais da máquina local.
- Dê acesso à Identidade do Pool de Aplicativos à chave privada. As seguintes etapas explicam como fazer isso:
- Abra o MMC.
- Acesse Arquivo > Adicionar/remover snap-in.
- Selecione Certificados e clique em Adicionar > Conta de computador > Computador local.
- Clique em OK.
- Navegue até Certificados (computador local) > Pessoal > Certificados, clique em Concluir e, depois, em OK.
- Na janela principal do MMC, clique com o botão direito do mouse no certificado no qual você está interessado e, depois, selecione Todas as tarefas > Gerenciar chave privada.
- Clique no botão Adicionar.
- No campo Inserir os nomes dos objetos para selecionar, insira IIS AppPool\<AppPoolName>. Exemplo:
IIS AppPool\UiPath Orchestrator
. - Conceda o controle total.
Se você executar o Orchestrator em uma conta personalizada, siga a seguinte etapa:
- Importe o certificado de chave privada SSL mencionado nos pré-requisitos para o armazenamento de certificados pessoais do usuário que está executando o processo do Orchestrator.
Se seu Orchestrator for uma instalação de Serviço de Aplicativo do Azure, siga a seguinte etapa:
- Importe o certificado de chave privada SSL mencionado nos pré-requisitos para o Serviço de Aplicativo do Orchestrator > Configurações do SSL > Certificados de chave privada.
UiPath.Orchestrator.dll.config
do Orchestrator:
- Abra o arquivo
UiPath.Orchestrator.dll.config
da sua instância do Orchestrator. - Na seção
AppSettings
, faça o seguinte:- Defina o parâmetro
Database.EnableAutomaticMigrations
comotrue
. Caso contrário, todas as alterações subsequentes noUiPath.Orchestrator.dll.config
não entrarão em vigor. - Defina
EncryptionKeyPerTenant.Enabled
comotrue
. - Defina
EncryptionKeyPerTenant.KeyProvider
comoAzureKeyVault
. - Para o Orchestrator usando a Identidade do Pool de Aplicativos, defina
CertificatesStoreLocation
comoLocalMachine
.
- Defina o parâmetro
- Na seção
secureAppSettings
, faça o seguinte:- Remova ou comente a chave
EncryptionKey
. - Copie o ID do aplicativo de entrada (cliente) da página Registros de aplicativos e forneça-o como um valor para o parâmetro
Azure.KeyVault.ClientId
. Exemplo:<add key="Azure.KeyVault.ClientId" value="ae11aa1a-1234-1234-a123-a12a12aaa1aa" />
. - Copie a Impressão digital da página Registros de aplicativos e forneça-a como um valor para o parâmetro
Azure.KeyVault.CertificateThumbprint
. Exemplo:<add key="Azure.KeyVault.CertificateThumbprint" value="1234123412341234123412341234124312341234" />
. - Copie o Nome do DNS da página Visão geral dos Key Vaults e forneça-o como um valor para o
Azure.KeyVault.VaultAddress
parâmetro. Exemplo:<add key="Azure.KeyVault.VaultAddress" value="https://CustomVaultName.vault.azure.net/" />
.
- Remova ou comente a chave
- Certifique-se de que todas as configurações do
UiPath.Orchestrator.dll.config
definidas nas etapas anteriores tenham valores correspondentes emappsettings.Production.json
eappsettings.json
do Identity Server. Para mais detalhes, consulte AppSettings.json do Identity Server.