Seguridad del Agente de Robots en las instalaciones físicas

Nota

La información sobre este tema aplica solo a organizaciones que utilizan un Agente de Robots en las instalaciones físicas para ejecutar scripts de ACL en robots ACL.

Las personas y organizaciones con ACL Robotics Professional Edition no tienen un Agente de Robots en las instalaciones físicas. Los scripts de Python/HCL que se ejecutan en robots HighBond o robots de Flujo de trabajo no utilizan el Agente de Robots.

Respete las recomendaciones de seguridad del Agente de Robots en las instalaciones físicas para controlar el acceso al servidor en el cual está instalado el Agente de Robots y para mantener seguros los datos sensibles.

Si desea obtener información sobre el acceso del usuario a la aplicación Robots basada en la nube, consulte Permisos de la aplicación Robots.

Comunicación encriptada

Puede usar Analytics localmente para abrir tablas de resultados y tablas de trabajo almacenadas con el agente de Robots en las instalaciones físicas. La comunicación entre Analytics y el agente de Robots requiere un perfil de servidor protegido por contraseña. Además, la transmisión de datos está asegurada con el cifrado AES-256 (Analytics/Agent v.19 o posterior), o Twofish-128 (Analytics/Agent v.18 o anterior).

Para obtener más información, consulte .

Acceso de usuario general

Como regla general, debe otorgarle acceso al Agente de Robots a la menor cantidad de cuentas necesarias, con la menor cantidad de derechos y permisos necesarios.

Administrador del servidor

Para mantener el servidor del Agente de Robots lo más seguro posible, aplique con celeridad todas las actualizaciones del sistema operativo y los parches de seguridad de Windows.

Información de instalación sensible

Asegure toda la información sensible relacionada con su instalación del Agente de Robots. Durante el proceso de instalación, si creó archivos que contienen información sensible, como credenciales de cuentas o ajustes de configuración, debe almacenarlos en una ubicación segura.

Lista de permitidos de URL

Para habilitar la comunicación entre el agente de Robots y la plataforma Diligent One, debe agregar ciertas URL de la plataforma a la lista de permitidos de la red de su organización.

Diligent One PlatformTodas las organizaciones que utilizan un agente de Robots en las instalaciones deben permitir las URL generales de la plataforma Diligent One para su región.
API de HighBondSi su organización desea usar Robots ACL para interactuar con la API de HighBond, debe permitir la URL de la API de HighBond para su región.

Para confirmar la región de su cuenta de Diligent One, abra la página de inicio de la plataforma y seleccione Configuración de la plataforma > Organización. Su región aparece en Nombre de la región.

Nota

La plataforma Diligent One se encuentra actualmente en un período de doble dominio durante el cual se admiten tanto el dominio diligentoneplatform.com como el dominio highbond.com. El dominio highbond.com está programado para ser desmantelado el 31 de julio de 2026. Si usted incluye las URL de ambos dominios en la lista de permitidos ahora, evitará una posible interrupción en el futuro. Para obtener más información, consulte Preguntas frecuentes sobre dominios compatibles.

Agregar las URL de la plataforma Diligent One a la lista de permitidos

Permite agregar las URL de la plataforma de Diligent One especificadas a continuación para el puerto 443 saliente. Permita solo la lista de URL de la región donde se encuentra su cuenta de Diligent One.

¡Precaución!

Configure el puerto 443 únicamente para tráfico saliente. No permita el tráfico entrante.

Región de Diligent One	URL de la plataforma Diligent One
Norteamérica (EE.UU.) Nombre de AWS: Este de EE. UU. (Virginia del Norte)	https://hub.highbond.com https://hub.diligentoneplatform.com https://s3.us-east-1.amazonaws.com https://s3-1.amazonaws.com
África (Sudáfrica) Nombre de AWS: África (Ciudad del Cabo)	https://hub-af.highbond.com https://hub-af.diligentoneplatform.com https://s3.af-south-1.amazonaws.com
Asia-Pacífico (Australia) Nombre de AWS: Asia-Pacífico (Sídney)	https://hub-au.highbond.com https://hub-au.diligentoneplatform.com https://s3.ap-southeast-2.amazonaws.com
Asia-Pacífico (Japón) Nombre de AWS: Asia-Pacífico (Tokio)	https://hub-jp.highbond.com https://hub-jp.diligentoneplatform.com https://s3.ap-southeast-1.amazonaws.com
Asia-Pacífico (Singapur) Nombre de AWS: Asia-Pacífico (Singapur)	https://hub-ap.highbond.com https://hub-ap.diligentoneplatform.com https://s3.ap-southeast-1.amazonaws.com
Europa (Alemania) Nombre de AWS: Europa (Fráncfort)	https://hub-eu.highbond.com https://hub-eu.diligentoneplatform.com https://s3.eu-central-1.amazonaws.com
Europa (Londres) Nombre de AWS: Europa (Londres)	https://hub-uk.highbond.com https://hub-uk.diligentoneplatform.com https://s3.eu-west-2.amazonaws.com
Norteamérica (Canadá) Nombre de AWS: Canadá (Central)	https://hub-ca.highbond.com https://hub-ca.diligentoneplatform.com https://s3.ca-central-1.amazonaws.com
América del Sur (Brasil) Nombre de AWS: América del Sur (São Paulo)	https://hub-sa.highbond.com https://hub-sa.diligentoneplatform.com https://s3.sa-east-1.amazonaws.com

Agregar las URL de la API de HighBond a la lista de permitidos

Si su organización desea usar comandos ACLScript para transmitir datos entre la aplicación Proyectos o la aplicación Resultados y un Robot ACL, admita las URL de la API de HighBond. Puede ignorar este requisito si no necesita transmitir datos entre ninguna de las aplicaciones y un Robot ACL.

Permita solo la lista de URL de la región donde se encuentra su cuenta de Diligent One.

Para obtener más información sobre la API de HighBond, consulte la Referencia de la API de HighBond.

Región de Diligent One	URL de la API de HighBond
Norteamérica (EE.UU.) Nombre de AWS: Este de EE. UU. (Virginia del Norte)	https://apis-us.highbond.com https://apis.highbond.com https://apis-us.diligentoneplatform.com https://apis.diligentoneplatform.com Nota Para cada dominio, agregue ambas URL a la lista de permitidos.
África (Sudáfrica) Nombre de AWS: África (Ciudad del Cabo)	https://apis-af.highbond.com https://apis-af.diligentoneplatform.com
Asia-Pacífico (Australia) Nombre de AWS: Asia-Pacífico (Sídney)	https://apis-au.highbond.com https://apis-au.diligentoneplatform.com
Asia-Pacífico (Japón) Nombre de AWS: Asia-Pacífico (Tokio)	https://apis-jp.highbond.com https://apis-jp.diligentoneplatform.com
Asia-Pacífico (Singapur) Nombre de AWS: Asia-Pacífico (Singapur)	https://apis-ap.highbond.com https://apis-ap.diligentoneplatform.com
Europa (Alemania) Nombre de AWS: Europa (Fráncfort)	https://apis-eu.highbond.com https://apis-eu.diligentoneplatform.com
Europa (Londres) Nombre de AWS: Europa (Londres)	https://apis-uk.highbond.com https://apis-uk.diligentoneplatform.com
Norteamérica (Canadá) Nombre de AWS: Canadá (Central)	https://apis-ca.highbond.com https://apis-ca.diligentoneplatform.com
América del Sur (Brasil) Nombre de AWS: América del Sur (São Paulo)	https://apis-sa.highbond.com https://apis-sa.diligentoneplatform.com
AWS GovCloud (federal de Estados Unidos)	https://apis.highbond-gov.com
AWS GovCloud (estado de EE. UU., local y educativo)	https://apis.highbond-gov2.com

Permisos y derechos de inicio de sesión en la cuenta

Dos tipos de cuentas requieren permisos y derechos de inicio de sesión de Windows en el servidor en el que está instalado el Agente de Robots:

Cuentas de serviciose utilizan para ejecutar los dos servicios de Windows del Agente de Robots
cuentas de usuario individualesse utilizan para acceder a las tablas de Analytics que generan las tareas de Robots
Los usuarios individuales con una instalación de escritorio de Analytics pueden utilizar la aplicación como cliente de escritorio para conectarse a las tablas de salida almacenadas en el servidor del Agente de Robots.

A continuación, se describen los derechos y permisos específicos de inicio de sesión necesarios para las cuentas.

Derechos de inicio de sesión de la cuenta

La siguiente tabla describe los derechos de inicio de sesión necesarios para las cuentas que necesitan acceder al servidor del Agente de Robots. No otorgue a ninguna cuenta un derecho de inicio de sesión que supere lo que se especifica a continuación. Los derechos de inicio de sesión se especifican en el área de Asignación de derechos de usuario de la política de seguridad de Windows.

La restricción de los derechos de inicio de sesión reduce el riesgo de que alguna persona obtenga acceso no autorizado al servidor del Agente de Robots.

Cuenta	Permitir el inicio de sesión local	Denegar el inicio de sesión local	Iniciar sesión como servicio
Cuenta de servicio del Agente de Robots	No	Sí	Sí
Cuenta de servicio de datos de Robots	No	Sí	Sí
Cuenta de usuario (Usuarios de Analytics)	Sí	No	No

Cuenta

Permitir el inicio de sesión local

Denegar el inicio de sesión local

Iniciar sesión como servicio

Cuenta de servicio del Agente de Robots

Sí

Cuenta de servicio de datos de Robots

Sí

Cuenta de usuario

(Usuarios de Analytics)

Sí

Permisos de la cuenta

Permisos de la cuenta del servicio

Nombre del servicio de Windows	Puerto	Cuenta para ejecutar el servicio	Permisos necesarios para la cuenta de servicio
Agente de Robots (ejecuta tareas programadas y ad hoc de Robots)	443 solo saliente	Utilice uno de las siguientes: una cuenta de usuario de dominio dedicado una cuenta de dominio de TI genérica No utilice: una cuenta de empleado individual una cuenta de usuario local una cuenta de sistema local Nota Si la cuenta que especifica utiliza una contraseña que caduca, asegúrese de contar con un procedimiento establecido para mantener actualizada la contraseña.	Permiso de lectura y ejecución para la carpeta de instalación del Agente de Robots Ubicación predeterminada: C:\Program Files (x86)\ACL Software\Robots Agent Permisos de lectura/escritura/listado para la carpeta de datos del Agente de Robots Ubicación predeterminada: C:\acl\robots\data
Servicio de datos de Robots (ofrece la conectividad que les permite a los usuarios abrir tablas del Agente de Robots en Analytics)	10000 (predeterminado) Puede especificar cualquier puerto disponible entre 0 y 65536	Sistema local	Permiso de lectura y ejecución para la carpeta de instalación del Agente de Robots Ubicación predeterminada: C:\Program Files (x86)\ACL Software\Robots Agent Permisos de lectura/escritura para la carpeta \aclse que permiten crear inicialmente las carpetas Prefijo que pertenecen a los usuarios Ubicación predeterminada: C:\acl\robots\aclse

Nombre del servicio de Windows

Puerto

Cuenta para ejecutar el servicio

Permisos necesarios para la cuenta de servicio

Agente de Robots

(ejecuta tareas programadas y ad hoc de Robots)

443

solo saliente

Utilice uno de las siguientes:

una cuenta de usuario de dominio dedicado
una cuenta de dominio de TI genérica

No utilice:

una cuenta de empleado individual
una cuenta de usuario local
una cuenta de sistema local

Nota

Si la cuenta que especifica utiliza una contraseña que caduca, asegúrese de contar con un procedimiento establecido para mantener actualizada la contraseña.

Permiso de lectura y ejecución para la carpeta de instalación del Agente de Robots
Ubicación predeterminada:
C:\Program Files (x86)\ACL Software\Robots Agent
Permisos de lectura/escritura/listado para la carpeta de datos del Agente de Robots
Ubicación predeterminada:
C:\acl\robots\data

Servicio de datos de Robots

(ofrece la conectividad que les permite a los usuarios abrir tablas del Agente de Robots en Analytics)

10000 (predeterminado)

Puede especificar cualquier puerto disponible entre 0 y 65536

Sistema local

Permiso de lectura y ejecución para la carpeta de instalación del Agente de Robots
Ubicación predeterminada:
C:\Program Files (x86)\ACL Software\Robots Agent
Permisos de lectura/escritura para la carpeta \aclse que permiten crear inicialmente las carpetas Prefijo que pertenecen a los usuarios
Ubicación predeterminada:
C:\acl\robots\aclse

Permisos de la cuenta de usuario

Las tablas de estudios analíticos generadas por las tareas de Robots se almacenan en el servidor en el que está instalado el Agente de Agent. Los usuarios se pueden conectar a estas tablas y abrirlas en la copia instalada localmente de Analytics si cuentan con los permisos que se indican más adelante. (Para obtener más información, consulte Ver las tablas, los archivos y los logs en un robot ACL).

Restricción del acceso de los usuarios al servidor del Agente de Robots

Si su organización no desea que los usuarios tengan acceso al servidor del Agente de Robots, puede utilizar un enfoque diferente. Se pueden escribir los scripts de estudios analíticos de las tareas de Robots de manera que envíen los resultados a un tipo de archivo Excel o delimitado. Los usuarios pueden descargar estos tipos de archivo directamente de la aplicación Robots basada en la nube, sin necesidad de tener acceso al servidor del Agente de Robots.

Un enfoque combinado

También podría adoptar un enfoque combinado para proporcionar acceso a los resultados de las tareas:

Usuarios regularesExija a los usuarios regulares que descarguen los resultados contenidos en archivos de Excel o archivos delimitados desde la aplicación Robots basada en la nube
Desarrolladores y arquitectosPermita que los desarrolladores de estudios analíticos y los arquitectos de datos tengan acceso a las tablas de resultados de Analytics en el servidor del Agente de Robots

Permisos para los usuarios de Analytics

Si desea permitirles a algunos o todos los usuarios de Analytics acceder a las tablas de Analytics en el servidor del Agente de Robots Agent, especifique los permisos que se describen a continuación.

¡Precaución!

No les otorgue a los usuarios individuales permisos para todo el directorio C:\acl del servidor del Agente de Robots ni a ninguna carpeta que no se encuentre en las siguientes especificaciones.

La restricción del acceso a las carpetas únicamente para las cuentas y carpetas necesarias reduce el riesgo de que alguien obtenga acceso no autorizado al Servidor del Agente de Robots. También impide que un script de Analytics modifique o acceda a archivos fuera de las carpetas adecuadas.

Elemento	Permisos de cuenta del usuario necesarios
Carpeta de instalación del Servicio de datos de Robots	Permiso de lectura para la carpeta de instalación del Servicio de datos de Robots Ubicación predeterminada: C:\Program Files (x86)\ACL Software\Robots Agent\aclse
Archivo ejecutable del Servicio de datos de Robots (aclse.exe)	Permiso de control absoluto para el archivo ejecutable del Servicio de datos de Robots (aclse.exe) Ubicación predeterminada: C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe
Carpeta de datos del Agente de Robots (contiene las tablas de resultados de Analytics generadas por las tareas de Robots)	Permiso de lectura para la carpeta de datos del Agente de Robots Ubicación predeterminada: C:\acl\robots\data Nota Este permiso se puede otorgar para toda la carpeta \data o se puede limitar de las siguientes maneras: Modo desarrollootorgue permiso de conexión únicamente a las tablas de resultados del modo de desarrollo C:\acl\robots\data\Development Producciónotorgue permiso de conexión únicamente a las tablas de resultados de producción C:\acl\robots\data\Production Robots específicosotorgue permiso de conexión a las tablas de resultados únicamente de robots específicos Por ejemplo: C:\acl\robots\data\Production\Robot5
Carpeta de Prefijo del Servicio de datos de Robots (el directorio de trabajo de Analytics cuando está conectado al servidor del Agente de Robots contiene archivos de índice y tablas de salida de Analytics que se guardaron en el servidor desde Analytics)	Permiso de control absoluto para la carpeta de Prefijo del Servicio de datos de Robots que pertenece al usuario Ubicación predeterminada: C:\acl\robots\aclse\<user_name>