automation-suite
2022.10
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。
UiPath logo, featuring letters U and I in white
Automation Suite 管理页指南
Last updated 2024年8月14日

根据租户设置加密密钥

可以使用 Microsoft Azure 密钥保险库,使用自己的唯一密钥对 Orchestrator 实例中的每个租户进行加密。Orchestrator 使用密钥保险库以安全的方式存储和管理密钥,确保在租户之间更好地隔离数据。

Automation Suite 中安装的 Orchestrator 可以利用此功能,但您必须将 Orchestrator 应用程序连接到互联网和 Azure 密钥保险库。

概述

需要 Orchestrator 身份验证才能通过应用注册使用 Azure 密钥保险库。应用注册可以为应用程序授予一系列特权。在我们的例子中,Orchestrator 是应用程序,Azure 密钥保险库是目标权限。

您首先需要配置对 Azure 密钥保险库的应用注册访问权限。使用证书的 SSL 私钥和上传到应用注册的 SSL 公钥,可以对应用注册进行 Orchestrator 身份验证。配置应用注册和密钥保险库后,您需要对 Automation Suite 集群中使用的 orchestrator-customconfig 配置映射进行一些更改,并从 ArgoCD 用户界面修改 Orchestrator 应用的相关 ArgoCD 参数。满足这些条件后,Orchestrator 就可以使用 Azure 密钥保险库来加密每个租户。

先决条件

  • 您自己的 Microsoft Azure 密钥保管库
  • Automation Suite 中全新的 Orchestrator 安装

  • 有效的 SSL 证书:

    • 私钥证书 — 需要在“应用程序服务”>“SSL 设置”>“私钥证书”中上传
    • 公钥证书 — 需要在“应用注册”>“设置”>“密钥”>“公钥”中上传
  • (可选)自签名证书

转换 .pfx 将证书文件复制到 base64,请运行以下命令:

  • PowerShell: [convert]::ToBase64String((Get-Content -path "path_to_certificate" -Encoding byte))
  • 外壳程序: base64 [_path_to_certificate_]
注意:不得由用户在 Azure 密钥保管库端编辑加密密钥,例如启用/禁用密码或编辑激活日期和到期日期。如果禁用了密码,则 Orchestrator 为该租户存储的数据将不再解密。

应用注册步骤

在 Azure 门户的“应用注册”窗格中,请按照下列步骤操作:

  1. 创建一个新的应用注册。
  2. 复制应用程序(客户端)ID,以供以后使用。
  3. 转到“管理”>“证书和密码”,然后上传必备程序中提到的公共 SSL 证书密钥。

Azure 密钥保险库步骤

在 Azure 密钥保险库中,执行以下操作:

  1. 访问“密钥保险库概述”页面,并复制 DNS 名称以供以后使用。
  2. 转到“密钥保险库”页面,然后选择“设置”>“访问策略”
  3. 单击“添加访问策略”
  4. 在“从模型配置 (可选)”下拉菜单中,选择“密钥”、“密码”和“证书管理”。
  5. 单击“未授权的应用程序”部分中的“未选择”,以启用“选择主体”字段。
  6. 输入应用程序注册名称,确认应用程序 ID 正确,然后选择此主体。
  7. 单击“添加”


Orchestrator 自定义配置步骤

对 Orchestrator 进行以下配置更改:

  1. 从 ArgoCD 用户界面参数为 Orchestrator 实例配置 Azure 密钥保险库:
    1. 复制 Base64 形式的证书,并将其作为 encryptionKeyPerTenant.certificateBase64 参数的值提供。
    2. 复制证书密码(如果有),并将其作为 encryptionKeyPerTenant.certificatePassword 参数的值提供。
    3. 从“应用注册”页面复制输入应用程序(客户端)ID,并将其作为 encryptionKeyPerTenant.clientId 参数的值提供。
    4. 从“应用注册”页面复制您组织的“目录 (租户) ID”,并将其作为 encryptionKeyPerTenant.directoryId 参数的值提供。
    5. 复制“密钥保险库概述”页面中的“DNS 名称”,并将其作为 encryptionKeyPerTenant.vaultAddress 参数的值提供。


  2. 按如下所示更新 orchestrator-customconfig 配置映射的 AppSettings 部分,以启用每个租户的加密密钥功能:
    1. EncryptionKeyPerTenant.Enabled 设置为 true
    2. EncryptionKeyPerTenant.KeyProvider 设置为 AzureKeyVault
      可以通过 Orchestrator-configurator.sh 完成该操作,或使用 Lens 更新配置映射完成该操作。
  3. 从集群重新启动 Orchestrator Automation Suite 部署以使更改生效。
注意:如果要从独立 Orchestrator 迁移到 Automation Suite,则 Identity Server 中的 SMTP 设置不会使用每个租户的密钥进行加密。迁移完成后,请确保在 Automation Suite 门户中重新输入 SMTP 密码。

此页面有帮助吗?

支持与服务
获取您需要的帮助
UiPath Academy
了解 RPA - 自动化课程
UiPath 论坛
UiPath Community 论坛
Uipath Logo White
信任与安全
使用条款
隐私策略
Cookie 政策
© 2005-2024 UiPath。保留所有权利。