認証情報マネージャー
Blue Prism認証情報マネージャーには、対象アプリケーションへのアクセスに使用するログイン情報を安全に保存できるリポジトリが搭載されています。認証情報を安全に暗号化して保存することで、Blue Prismは安全なランタイム環境でアプリケーションにログインしながら、認証情報が本番環境の外部で再利用されるのを防ぐことができます。
認証情報はBlue Prismデータベースに保存されますが、認証されたユーザーのみが取得できるように暗号化されます。一方、暗号化キーはBlue Prismアプリケーションサーバー上に保存され、検証済みクライアントに認証情報を提供するために使用されます。
認証情報マネージャーは、どのプロセス、ランタイムリソース、ユーザーの役割がこの情報にアクセスできるかを決定します。また、システムマネージャーを介して制御される一連の許可によって許可されている場合は、要求に応じてこの情報を提供します。
Active Directory統合およびBlue Prismアプリケーションサーバーと組み合わせて使用することで、認証情報マネージャーは安全で完全に監査されたエンタープライズ環境用向けアクセス制御機能を実装します。
機能の概要
認証情報は[システムマネージャー]>[セキュリティ]>[認証情報]で設定、管理します。データベースに保存されている既存の認証情報にはここからアクセスできます。既存の認証情報の削除と修正、新しい認証情報の追加を行うことができます。認証情報ごとに許可を設定できるので、リクエスト元のプロセス、ユーザー、リソースに基づいて認証情報にアクセスできます。
認証情報の管理では次のオプションを使用できます。
- 新規 – 新しい認証情報を作成します。[新規]をクリック表示される[認証情報の詳細]ダイアログでは認証情報を構成できます。
- 編集 – 既存の認証情報を編集します。編集する認証情報を選択して[編集]をクリックします。[認証情報の詳細]ダイアログが表示されます。ここで、選択した認証情報を編集できます。
- 削除 – 既存の認証情報を削除します。削除する認証情報をハイライト表示し、[削除]をクリックします。
- [参照を探す] - Blue Prismで認証情報が使用される場所を検索します。認証情報をハイライト表示し、[参照を探す]をクリックします。プロセスやWeb APIサービスなど、選択した認証情報を使用するすべてのアイテムのリストが[参照を探す]ダイアログに一覧表示されます。選択した認証情報を参照しているアイテムを開くには[表示]をクリックします。
こちらのビデオでは、Blue Prismで認証情報を設定および使用する方法について説明しています。
認証情報のコンポーネント
認証情報を構成する際は、使用する認証方法に対応した認証情報のタイプ、およびその認証情報を使用するためのアクセス権を持つことになるセキュリティの役割を指定します。
認証情報の構成についての詳細は、「認証情報の詳細」を参照してください。
認証情報タイプ
さまざまな認証情報タイプにより、サポートされる認証方法が異なります。選択したタイプに適したフィールドが利用可能になります。
- 一般 – Web API以外の認証に使用します。
- 基本認証 - 基本的なWeb認証にこの認証情報タイプを使用して認証ヘッダーを作成します。
- OAuth 2.0(クライアント認証情報) - クライアント認証情報を使用したOAuth 2.0 Web認証にはこの認証情報タイプを使用します。
- OAuth 2.0(JWTベアラートークン) - JSON Webトークン(JWT)を使用したOAuth 2.0 Web認証にはこの認証情報タイプを使用します。
- ベアラートークン - ベアラートークン認証にはこの認証情報タイプを使用します。
- データゲートウェイ認証情報 - データベースまたはHTTPエンドポイントへの認証アクセスを必要とするData Gateways構成にはこの認証情報タイプを使用します。
アクセス権
各認証情報へのアクセスは、実行時に次の条件によって管理されます。
-
セキュリティの役割 - リクエストを行うBlue Prismアカウントが、以下に指定されたセキュリティの役割を持っていることを確認します(推奨)。
匿名パブリックランタイムリソースと併用することはできません。
- プロセス(レガシー) - アクティブなセッションに関連する認証情報を要求するときに指定されたセッションID、およびセッションレコード内で指定したプロセスが以下に指定されていることを検証します(非推奨)。
- リソース(レガシー) - アクティブなセッションに関連する認証情報を要求するときに指定されたセッションID、およびセッションレコード内で指定したリソースがオンラインになっており、以下に指定されていることを検証します(非推奨)。
これらの制限は連携して機能します。つまり、認証情報がプロセスとリソースによって制限されている場合、認証情報を取得できるようにするには、これらの両方の条件を満たす必要があります。
許可および検証されたクライアントの要求により、認証情報はBlue Prismサーバー上でローカルに復号化され、安全な接続を介してそのクライアントに渡されます。適切なセキュリティの役割を持つユーザーアカウントのみが各認証情報にアクセスできるようアクセス権を構成することをお勧めします。認証情報がセキュリティの役割によって制限される場合:
- 選択したセキュリティの役割は、プロセスやオブジェクトを構築またはデバッグするときに認証情報へのアクセスを必要とするユーザーが保持する必要があります。
- 環境に対して明示的に認証するよう構成されているリソースのみが、認証情報にアクセスできる可能性があります。
- セキュリティの役割は、環境に対して認証するためにリソースを使用するアカウントが保持する必要があります。
推奨構成
以下の方法でBlue Prism環境を構成することをお勧めします。
- サーバーキーの場所を指定して暗号化方式を設定する。
- キーごとに保存先のファイルを変えるようにアプリケーションサーバーを構成し、必要に応じてカスタムセキュリティをファイルに適用して、Blue Prismサーバーサービスログインアカウント(および指名管理者)へのアクセスを制限する。
- アプリケーションサーバー経由で接続して安全な接続を確立するようすべてのクライアントを構成する。
- Blue Prism向けのシングルサインオンを活用する。
- アプリケーションサーバーとデータベース間の通信が暗号化されていることを確認する。
アプリケーションサーバーが環境内で使用されていない場合、またはネイティブ通信セキュリティを適用できない場合、外部セキュリティ対策を手動で構成して、機密情報がプレーンテキストとして送信されないようにする必要があります。
データセキュリティ
アルゴリズムとキーの場所
認証情報と暗号化されたワークキュー情報を保護するために使用できる、多数の暗号化アルゴリズムが用意されています。
名前 |
キーの長さ |
ノート |
キー生成情報 |
|
---|---|---|---|---|
AES-256AesCryptoService | 256ビット | CBCを活用したデフォルトの実装 |
手動で生成されたキーを使用するようにBlue Prismを構成することも、Blue Prismの暗号化方式のキー生成機能を使用することもできます。 Blue Prismで生成されるキーは、ランダム値の強力な暗号化シーケンスを提供するRNGCryptoServiceProviderを使用して作成されます。 |
|
AES-256 RijndaelManaged | 256ビット | CBCを活用したデフォルトの実装 | ||
3DES | 192ビット | キー生成オプションが1のCBCモード |
キーの保護
暗号化方式を構成する際は、キーを保存するかどうかを選択できます。
-
データベース – 暗号化キーはBlue Prismデータベースに保存されます。アプリケーションサーバーが展開されていないシナリオに適しています。
データベースに直接接続するクライアントと、アプリケーションサーバー経由で接続するクライアントをサポートしています。
-
Blue Prismサーバー(推奨) - 暗号化キーがアプリケーションサーバーに保存されます。このシナリオでは、環境内の各アプリケーションサーバーに手動でキーを展開する必要があります。暗号化されたデータにキーが個別に保存されることを保証するため、最もよく選択されるシナリオです。
アプリケーションサーバー経由で接続するクライアントをサポートしています。
キーをアプリケーションサーバーに保存することにした場合、Blue Prism構成ファイルまたは別のBlue Prism管理対象ファイルに保存できます。保存先のファイルをキーごとに分けるようにすることで、EFS(Encryption File System)を適用してアクセスを制限するなど、カスタムコントロールを追加できます。
アクセスを制限する場合は、少なくともBlue Prismサーバーサービス アカウントへのアクセスを確保する必要があります。
データの暗号化/復号化
暗号化を元に戻せる状態にして保存する必要があるデータをクライアントデバイスが送信する場合、または暗号化を元に戻せる状態にして保存されるデータを要求する場合、クライアントデバイスが環境にどのように接続されているかに応じて、プレーンテキストと暗号テキスト間の変換を実行するデバイスが決まります。
-
アプリケーションサーバー接続(推奨) – アプリケーションサーバーは、Blue Prismアプリケーションサーバー経由で接続するクライアントデバイスのプレーンテキストと暗号テキスト間の変換を行います。
適切に構成されている場合、クライアントとサーバー間で安全なチャネル経由でプレーンテキストが送信され、暗号テキストはサーバーとデータベース間で安全なチャネル経由で送信されます。
-
直接データベース接続(非推奨) – Blue Prismデータベースと直接接続しているクライアントデバイスは、キーを要求し、プレーンテキストと暗号テキストの間でデータアイテムをローカルに変換します。
適切に構成されている場合、暗号テキストとキーは、安全なチャネルを介してクライアントとデータベース間で送信されます。
変換が行われる場所に関係なく、デバイス上のメモリの内容は変換が完了したら直ちにクリアされ、破棄されます。
キーの失効
Blue Prismではキーを簡単に失効することができます。また、キーを強制的に失効するオプションもあります。このオプションでは、新しいキーを使用するように、古いキーで暗号化されたすべてのデータを直ちに変換します。
後続のすべてのデータ暗号化および復号化に新しいキーを使用するようにBlue Prismを構成するために必要な手順は次のとおりです。
- 新しい暗号化方式レコードを作成します。
- キーがデータベースに保存されている場合は、そのキーをレコードに追加します。
- キーがアプリケーションサーバーに保存されている場合は、そのキーを保持するように各アプリケーションサーバーの構成を更新します。
- 新しい暗号化方式を使用するように認証情報マネージャーを更新します。
- 新しい暗号化方式を使用するように、該当するワークキューを更新します。
- 古い暗号化方式を使用不可としてマークします。
前のキーで暗号化されたデータは元のキーを使用して復号化されますが、そのデータが更新されると現在アクティブなキーで再暗号化されます。前のキーで暗号化されたすべてのデータを強制的に更新するために、AutomateC.exeコマンドラインスイッチ
認証情報マネージャーに関するよくある質問
キーはどのようにしてクライアントに渡されますか?
許可および検証されたクライアントの要求により、Blue Prismサーバー上で認証情報が復号化され、プレーンテキストの結果が安全な接続を介してクライアントに渡されます。
直接データベース接続を使用する(非推奨)ように構成されていない限り、キーはクライアントと共有されません。このシナリオでは、キーは安全なチャネルを介して共有されます。
データ暗号化に新しいキーを定期的に使用することは可能ですか?
はい。データ暗号化に別のキーを使用するようにプラットフォームを構成するために必要な手順の概要は、「キーの失効」に記載されています。