LoginSignup
10
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@hidechainUiPath

UiPath Orchestrator資格情報ストアの機能概要と利用手順

Last updated at Posted at 2023-06-21

はじめに

  • 本記事ではUiPath Orchestratorの 資格情報ストア の機能概要および利用手順について説明します。
  • UiPath Automation CloudまたはオンプレミスOrchestrator v2023.4を前提としております。

資格情報ストアとは?

  • 資格情報ストア機能を利用することにより、Orchestratorに保存される機密データ(Unattended Robotユーザーのパスワードとクレデンシャル型アセット)をDBから分離し、エンドユーザー管理のKey Vaultサーバーに保管できるようになります。
    CredStore.png
  • 資格情報ストア機能はエンドユーザーのセキュリティポリシーに応じて利用を検討します。
    • 既定値(資格情報ストア無し)では機密データはOrchestratorによって予め生成された暗号化キーを使用してDBに暗号化して保存されます。Automation Cloud環境では暗号化キーおよび暗号化された機密データ本体がUiPath管理となっており、ユーザー側では完全にコントロールすることができない仕様になっています。
    • 資格情報ストア機能を利用する場合、機密データを分離してエンドユーザー管理のデータ領域(Key Vaultサーバー)に保管することができます。これによって有事の際にはユーザー側でワイプ(保安目的でのリモートからのデータ削除または無効化)できるようになります。
  • なおAutomation Cloud(EnterpriseプランAdvancedティア)では暗号化キーそのものをユーザー側で管理する機能(カスタマーマネージドキー)も利用可能ですが、本文書では取り扱いません。詳細は Webガイド をご参照ください。

対応するKey Vaultサーバー

  • Automation Cloudは下記表のすべてのKey Vaultサーバーに対応していますが、オンプレOrchestratorはバージョンごとに異なります。
バージョン\Key Vaultサーバー CyberArk CCP Azure Key Vault HashiCorp Vault BeyondTrust Password Safe Thycotic Secret Server AWS Secrets Manager
~v2021.10 × × × ×
v2022.4 × ×
v2022.10 ×
Automation Cloud / v2023.4~

資格情報ストア利用手順

資格情報ストアのKey VaultサーバーとしてAzure Key VaultとAWS Secrets Managerを利用する手順についてそれぞれ説明します。

プラグイン有効化

  • Automation Cloudではこの手順は不要です。
  • オンプレミスOrchestratorでは各Key Vaultサーバーに接続するためのプラグインを有効化するように設定ファイル(UiPath.Orchestrator.dll.config)を変更します。下記はAzure Key VaultとAWS Secrets Managerを利用する場合の設定となりますが、使用するプラグインに応じて変更します。詳細はWebガイドを参照してください。
<add key="Plugins.SecureStores" value="UiPath.Orchestrator.AzureKeyVault.SecureStore.dll;UiPath.Orchestrator.SecureStore.AWSSecretsManager.dll" />

Azure Key Vaultとの連携手順

Azure Key Vaultを利用するには、Azureポータルにログインして必要なリソースを作成します。

  1. Azureポータル > Azure Active Directory > アプリの登録 > [新規登録] をクリックします。

  2. アプリケーションを登録します。
    Azure01.png

  3. アプリケーション(クライアント)IDディレクトリ(テナント)ID をメモします。
    Azure02.png

  4. 証明書とシークレットをクリックし、新しいクライアントシークレットを作成します。

  5. クライアントシークレット をメモします。
    Azure03.png

  6. リソースグループを作成します。

  7. キーコンテナー サービス画面にてキーコンテナーを作成します。先ほど作成したリソースグループを選択し、Key Vault名を入力し、地域を選択します。その他は既定値のまま [次へ] をクリックします。
    Azure04.png

  8. アクセス構成画面にてアクセス許可モデルとして「コンテナ―のアクセスポリシー」を選択し、アクセスポリシー > [作成] をクリックします。

  9. テンプレートから構成する > シークレットの管理 を選択し、 [次へ] をクリックします。

  10. プリンシパルとして先ほど作成したアプリケーションを選択し、[次へ] をクリックします。以降は既定値のまま [作成] をクリックします。
    Azure05.png

  11. キーコンテナー作成画面に戻り [確認および作成] をクリックし、検証画面にて [作成] をクリックします。

  12. キーコンテナー作成後、コンテナーのURI をメモします。
    Azure06.png

  13. ネットワーク設定にて「特定の仮想ネットワークと IP アドレスからのパブリック アクセスを許可する」を選択し、Orchestratorの接続IPアドレスを指定します。

次にOrchestrator管理画面で資格情報ストアの設定を行います。

  1. テナント設定 > 資格情報ストア > [資格情報ストアを追加] をクリックします。
  2. 種類として AzureKeyVault を選択します。適切な名前を指定し、Azureポータルでの各リソース作成時のメモを元にKey Vault URI・ディレクトリID・クライアントID・クライアントシークレットを指定し、[作成] をクリックします。
    Azure08.png

動作確認のために、Azure Key VaultにUnattended Robotユーザーのパスワードが保存されるか検証します。

  1. ユーザー設定のロールの割り当てにてUnattended Robotのパスワードを設定します。資格情報ストアで Azure Key Vault が指定されていることを確認します。
    Azure10.png
  2. Azureポータル > キーコンテナー > シークレット画面にて新しくシークレットが追加されていることを確認します。
    Azure09.png
  3. Orchestrator管理画面に戻り、Unattended Robotのジョブ実行し、成功することを確認します。

AWS Secrets Managerとの連携手順

AWS Secrets Managerを利用するには、AWS管理コンソールにログインして必要なリソースを作成します。

  1. AWS管理コンソール > IAM > ユーザー > [ユーザーを追加] をクリックし、IAMユーザーを作成します。
    AWS01.png

  2. Secrets Managerに読み書きを行うため SecretsManagerReadWrite IAMポリシーを割り当てます。
    AWS02.png

  3. 更に接続元IPアドレスでアクセス制御するためにインラインポリシーを追加し、aws:SourceIp にてOrchestratorの接続IPアドレスを指定します。
    AWS03.png

    • Automation Cloudの場合は Orchestrator の送信 IP アドレス を参照します。Enterpriseユーザーの日本リージョンは 20.210.80.72/30 です。 
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "20.210.80.72/30"
                    ]
                }
            }
        }
    ]
}

  4. 作成されたIAMユーザー > セキュリティ認証情報 > [アクセスキーを作成] をクリックします。
    AWS05a.png

  5. 作成されたアクセスキーとシークレットアクセスキーをメモします。

次にOrchestrator管理画面で資格情報ストアの設定を行います。

  1. テナント設定 > 資格情報ストア > [資格情報ストアを追加] をクリックします。
  2. 種類として AWS Secrets Manager を選択します。適切な名前を指定し、先ほどメモしたIAMアクセスキー・シークレットキーおよびリージョン(東京の場合は ap-northeast-1)を指定します。
    AWS06.png

動作確認のために、AWS Secrets Managerにクレデンシャル型アセットが保存されるか検証します。

  1. Orchestrator管理画面にて、クレデンシャル型アセットを作成します。この時、資格情報ストアとしてAWS Secrets Managerを選択します。
    AWS07.png
  2. AWS管理コンソール > Secrets Managerにて新しくシークレットが作成されていることを確認します。
    AWS08.png
  3. 検証用ワークフローを作成し、Get Credential アクティビティにて正常にアセット値を取得できることを確認します。

おわりに

  • 本記事ではUiPath Orchestratorの資格情報ストア機能を利用することによって、ユーザー管理のKey Vaultサーバーに機密データを保管する手順について説明をしました。より安全にUiPath製品・サービスを利用するために是非この機能をご活用ください!
10
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
10
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?