Sécurité de l'agent Robots sur site

Suivez les recommandations concernant la sécurité de l'agent Robots sur site afin de contrôler l'accès au serveur sur lequel l'agent Robots est installé et maintenir la sécurité des données sensibles.

Pour obtenir plus d'informations sur l'accès utilisateur à l'application Robots basée dans le cloud, voir Autorisations de l'application Robots.

Remarque

Les informations de cette rubrique s'appliquent uniquement aux organisations ayant recours à un Agent Robots sur site pour exécuter des scripts ACL dans des robots ACL.

Les personnes ou organisations disposant d'ACL Robotics Professional Edition n'ont pas l'agent Robots sur site. Les scripts Python/HCL qui s'exécutent dans des robots HighBond et des robots de flux de travail n'utilisent pas l'Agent Robots.

Accès général des utilisateurs

De manière générale, nous vous recommandons d'accorder l'accès à l'agent Robots au nombre minimum de comptes requis, avec le minimum de droits et d'autorisations requis.

Administration de serveur

Pour garantir une sécurité maximale de votre serveur d'agent Robots, installez rapidement toutes les montées de version du système d'exploitation Windows et les patchs de sécurité.

Informations d'installation sensibles

Sécurisez toute information sensible en rapport avec votre installation d'Agent Robots. Pendant le processus d'installation, si vous créez des fichiers contenant des informations sensibles comme des informations d'identification de compte ou des paramètres de configuration, vous devez stocker ces fichiers dans un emplacement sécurisé.

Liste verte des URLs

Dans le serveur sur lequel l'agent Robots est installé, inscrivez dans la liste verte les URL indiquées ci-dessous pour le port 443 sortant. N'inscrivez dans la liste verte que les URL qui concernent la région dans laquelle votre compte Diligent One se trouve.

Pour vérifier la région de votre compte Diligent One, ouvrez la barre de lancement et sélectionnez Options > Organisation. Votre région apparaît sous Nom de la région.

Attention

Configurez le port 443 uniquement pour le trafic sortant. N'autorisez pas le trafic entrant.

Région Diligent One URL
Afrique (Afrique du sud)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

Asie-Pacifique (Australie)
  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

Asie-Pacifique (Singapour)
  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
Asie-Pacifique (Tokyo)
  • https://hub-jp.highbond.com
  • https://s3.ap-northeast-1.amazonaws.com

Europe (Allemagne)
  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

Amérique du Nord (Canada)
  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

Amérique du Nord (USA)
  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
Amérique du sud (Brésil)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

Autorisations et droits de connexion du compte

Deux types de compte exigent des autorisations et des droits de connexion Windows sur le serveur sur lequel l'agent Robots est installé :

  • Les comptes de service permettent d'exécuter les deux services Windows de l'agent Robots.
  • Les comptes utilisateur individuels permettent d'accéder aux tables d'Analytics sorties par des tâches de Robots

    Les utilisateurs disposant d'un installation bureau d'Analytics peuvent utiliser l'application sou forme de client bureau pour se connecter aux tables de sortie stockées sur le serveur de l'agent Robots.

Les autorisations et droits de connexion spécifiques requises par les comptes sont présentées ci-dessous.

Droits de connexion aux comptes

Le tableau suivant décrit les droits de connexion nécessaires pour les comptes qui nécessitent un accès au serveur d'agent Robots. N'accordez aucun droit de connexion à un compte au-delà de ce qui est spécifié ci-dessous. Les droits de connexion sont spécifiés dans la zone Attribution des droits utilisateurs de la stratégie de sécurité de Windows.

La restriction des droits de connexion diminue le risque que quelqu'un obtienne un accès non autorisé au serveur d'agent Robots.

Compte Autoriser la connexion locale Refuser la connexion locale Se connecter en tant que service
Compte de service de l'agent Robots Non Oui Oui
Compte du service de données Robots Non Oui Oui

Compte utilisateur

(Utilisateurs d'Analytics)

 Oui Non Non

Autorisations du compte

Autorisations du compte de service

Nom du service Windows Port Compte pour exécuter le service Autorisations requises pour le compte de service

Agent Robots

(exécute les tâches Robots ad hoc et planifiées)

443

sortie uniquement

Utilisez l'une des propositions suivantes :

  • un compte utilisateur de domaine dédié
  • un compte de domaine informatique générique

N'utilisez pas :

  • le compte d'un employé individuel
  • un compte utilisateur local
  • le compte système local

Remarque

Si le compte que vous spécifiez utilise un mot de passe qui expire, assurez-vous qu'un processus est mis en place pour garder le mot de passe à jour.

  • Autorisation de lecture et d'exécution du dossier d'installation de l'Agent Robots

    Emplacement par défaut :

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Autorisations de lecture/écriture/liste pour le dossier de données d'agent Robots

    Emplacement par défaut :

    C:\acl\robots\data

Service de données Robots

(offre la connectivité qui permet aux utilisateurs d'ouvrir des tables d'agent Robots dans Analytics)

10000 (par défaut)

Vous pouvez indiquer n'importe quel port compris entre 0 et 65536.

 Système local

  • Autorisation de lecture et d'exécution du dossier d'installation de l'Agent Robots

    Emplacement par défaut :

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Autorisations de lecture/écriture pour le dossier \aclse afin de commencer par créer des dossiers de préfixe qui appartiennent aux utilisateurs

    Emplacement par défaut :

    C:\acl\robots\aclse

Autorisations de compte utilisateur

Les tables Analytics sorties par des tâches Robots sont stockées sur le serveur sur lequel l'agent Robots est installé. Les utilisateurs peuvent se connecter à ces tables et les ouvrir dans leur copie d'Analytics installée localement s'ils disposent des autorisations présentées ci-dessous. (Pour plus d'informations, consultez la section Affichage des tables, fichiers et journaux dans un robot ACL.)

Limiter l'accès utilisateur au serveur de l'agent Robots

Si votre organisation ne souhaite pas que les utilisateurs aient accès au serveur de l'agent Robots, vous pouvez adopter une approche différente. Les scripts d'analyse de données dans des tâches Robots peuvent être écrits dans les résultats de sortie pour un type de fichier tel qu'Excel ou délimité. Les utilisateurs peuvent télécharger ces types de fichier directement depuis l'application basée dans le cloud sans obligation d'avoir accès au serveur d'agent Robots.

Une approche combinée

Vous pouvez également adopter une approche combinée pour fournir un accès aux résultats de sortie des tâches :

  • Utilisateurs courants Demander aux utilisateurs courants de télécharger les résultats contenus dans des fichiers Excel ou délimités à partir de l'application Robots basée dans le cloud.
  • Développeurs et architectes Autoriser les développeurs d'analyses et les architectes de données à accéder aux tables de résultats Analytics sur le serveur de l'Agent Robots.

Autorisations pour les utilisateurs d'Analytics

Si vous voulez donner à certains ou à tous les utilisateurs d'Analytics la possibilité d'accéder aux tables d'Analytics sur le serveur d'agent Robots, indiquez les autorisations présentées ci-dessous.

Attention

N'attribuez pas aux utilisateurs individuels des autorisations d'accès à tout le répertoire C:\acl sur le serveur d'agent Robots ou à un dossier ne relevant pas des spécifications ci-dessous.

Limiter l'accès aux dossiers aux seuls comptes et aux seuls dossiers requis diminue le risque que quelqu'un obtienne un accès non autorisé au serveur d'agent Robots. Cela empêche également qu'un script Analytics accède aux fichiers ou les modifie en dehors des dossiers appropriés.

Élément Autorisations de compte utilisateur nécessaires

Dossier d'installation du service de données Robots

  • Autorisation de lecture du dossier d'installation du service de données Robots

    Emplacement par défaut :

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse

Exécutable du service de données Robots

(aclse.exe)

  • Exécution de contrôle total pour l'exécutable du service de données Robots (aclse.exe)

    Emplacement par défaut :

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Dossier de données de l'agent Robots

(contient les tables de résultat Analytics sorties par des tâches de Robots)

  • Autorisation de lecture du dossier d'installation du service de données Robots

    Emplacement par défaut :

    C:\acl\robots\data

Remarque

Cette autorisation peut être accordée pour tout le dossier \data, ou il peut être limité comme suit :

  • Mode Développement permet d'attribuer l'autorisation de se connecter uniquement aux tables de résultat de mode développement

    C:\acl\robots\data\Development

  • Production permet d'attribuer l'autorisation pour se connecter uniquement aux tables de résultat de production

    C:\acl\robots\data\Production

  • Robots spécifiquepermet d'attribuer l'autorisation pour se connecter aux tables de résultat uniquement pour des robots spécifiques

    Par exemple :

    C:\acl\robots\data\Production\Robot5

Dossier de préfixe du service de données Robots

(le répertoire de travail d'Analytics lorsqu'il est connecté au serveur d'agent Robots

contient des tables de sortie d'Analytics et les fichiers d'index sauvegardés d'Analytics sur le serveur)

  • Autorisation de contrôle total pour le dossier de préfixe de service de données Robots qui appartient à l'utilisateur

    Emplacement par défaut :

    C:\acl\robots\aclse\<nom_utilisateur>