Sécurité de l'agent Robots sur site

Note

Les informations de cette rubrique s'appliquent uniquement aux organisations ayant recours à un Agent Robots sur site pour exécuter des scripts ACL dans des robots ACL.

Les personnes ou organisations disposant d’ACL Robotics Professional Edition n’ont pas l’agent Robots sur site. Les scripts Python/HCL qui s'exécutent dans des robots HighBond et des robots de flux de travail n'utilisent pas l'Agent Robots.

Suivez les recommandations concernant la sécurité de l'agent Robots sur site afin de contrôler l'accès au serveur sur lequel l'agent Robots est installé et maintenir la sécurité des données sensibles.

Pour obtenir des informations sur l’accès utilisateur à l’application Robots basée dans le cloud, consultez la section Autorisations de l'application Robots.

Communication chiffrée

Vous pouvez utiliser Analytics localement pour ouvrir les tables de résultats et les tables de travail stockées avec l’agent Robots sur site. La communication entre Analytics et l’agent Robots nécessite un profil de serveur protégé par mot de passe. De plus, la transmission des données est sécurisée par un chiffrement AES-256 (Analytics/Agent version 19 ou ultérieure) ou Twofish-128 (Analytics/Agent version 18 ou antérieure).

Pour de plus amples informations, consultez la section .

Accès général des utilisateurs

De manière générale, nous vous recommandons d'accorder l'accès à l'agent Robots au nombre minimum de comptes requis, avec le minimum de droits et d'autorisations requis.

Administration de serveur

Pour garantir une sécurité maximale de votre serveur d'agent Robots, installez rapidement toutes les montées de version du système d'exploitation Windows et les patchs de sécurité.

Informations d'installation sensibles

Sécurisez toute information sensible en rapport avec votre installation d'Agent Robots. Pendant le processus d'installation, si vous créez des fichiers contenant des informations sensibles comme des informations d'identification de compte ou des paramètres de configuration, vous devez stocker ces fichiers dans un emplacement sécurisé.

Liste verte des URLs

Pour activer la communication entre l’agent Robots et la plateforme Diligent One, vous devez ajouter certaines URL de la plateforme à la liste verte du réseau de votre organisation.

Plateforme Diligent OneToutes les organisations utilisant un agent Robots sur site doivent autoriser les URL générales de la plateforme Diligent One pour leur région.
API HighBondSi votre organisation souhaite utiliser des robots ACL pour interagir avec l’API HighBond, vous devez autoriser l’URL de l’API HighBond pour votre région.

Pour vérifier la région de votre compte Diligent One, ouvrez la page d’accueil de la plateforme et sélectionnez Paramètres de la plateforme > Organisation. Votre région apparaît sous Nom de la région.

Note

La plateforme Diligent One est actuellement dans une période de double domaine au cours de laquelle le domaine diligentoneplatform.com et le domaine highbond.com sont tous deux pris en charge. Le domaine highbond.com devrait être désactivé le 31 juillet 2026. Si vous ajoutez dès maintenant les URL des deux domaines à la liste verte, vous éviterez toute perturbation potentielle à l’avenir. Pour de plus amples informations, consultez la section FAQ sur les domaines pris en charge.

Ajouter les URL de la plateforme Diligent One à la liste verte

Ajoutez les URL de la plateforme Diligent One spécifiées ci-dessous à la liste verte pour le port 443 sortant. N'inscrivez dans la liste verte que les URL qui concernent la région dans laquelle votre compte Diligent One se trouve.

Attention

Configurez le port 443 uniquement pour le trafic sortant. N'autorisez pas le trafic entrant.

Région Diligent One	URL de la plateforme Diligent One
Amérique du Nord (USA) Nom AWS : Est des États-Unis (Virginie du Nord)	https://hub.highbond.com https://hub.diligentoneplatform.com https://s3.us-east-1.amazonaws.com https://s3-1.amazonaws.com
Afrique (Afrique du sud) Nom AWS : Afrique (le Cap)	https://hub-af.highbond.com https://hub-af.diligentoneplatform.com https://s3.af-south-1.amazonaws.com
Asie-Pacifique (Australie) Nom AWS : Asie-Pacifique (Sydney)	https://hub-au.highbond.com https://hub-au.diligentoneplatform.com https://s3.ap-southeast-2.amazonaws.com
Asie-Pacifique (Japon) Nom AWS : Asie-Pacifique (Tokyo)	https://hub-jp.highbond.com https://hub-jp.diligentoneplatform.com https://s3.ap-northeast-1.amazonaws.com
Asie-Pacifique (Singapour) Nom AWS : Asie-Pacifique (Singapour)	https://hub-ap.highbond.com https://hub-ap.diligentoneplatform.com https://s3.ap-southeast-1.amazonaws.com
Europe (Allemagne) Nom AWS : Europe (Francfort)	https://hub-eu.highbond.com https://hub-eu.diligentoneplatform.com https://s3.eu-central-1.amazonaws.com
Europe (Londres) Nom AWS : Europe (Londres)	https://hub-uk.highbond.com https://hub-uk.diligentoneplatform.com https://s3.eu-west-2.amazonaws.com
Amérique du Nord (Canada) Nom AWS : Canada (Centre)	https://hub-ca.highbond.com https://hub-ca.diligentoneplatform.com https://s3.ca-central-1.amazonaws.com
Amérique du sud (Brésil) Nom AWS : Amérique du Sud (São Paulo)	https://hub-sa.highbond.com https://hub-sa.diligentoneplatform.com https://s3.sa-east-1.amazonaws.com

Ajouter les URL de l’API HighBond à la liste verte

Si votre organisation souhaite utiliser les commandes ACLScript pour transmettre des données entre l’application Projets ou l’application Résultats et un robot ACL, ajoutez les URL de l’API HighBond à la liste verte. Vous pouvez ignorer cette exigence si vous n’avez pas besoin de transmettre des données entre l’une ou l’autre de ces applications et un robot ACL.

N'inscrivez dans la liste verte que les URL qui concernent la région dans laquelle votre compte Diligent One se trouve.

Pour plus d’informations sur l’API HighBond, consultez la rubrique Référence d’API HighBond.

Région Diligent One	URL de l’API HighBond
Amérique du Nord (USA) Nom AWS : Est des États-Unis (Virginie du Nord)	https://apis-us.highbond.com https://apis.highbond.com https://apis-us.diligentoneplatform.com https://apis.diligentoneplatform.com Note Pour chaque domaine, ajoutez les deux URL à la liste verte.
Afrique (Afrique du sud) Nom AWS : Afrique (le Cap)	https://apis-af.highbond.com https://apis-af.diligentoneplatform.com
Asie-Pacifique (Australie) Nom AWS : Asie-Pacifique (Sydney)	https://apis-au.highbond.com https://apis-au.diligentoneplatform.com
Asie-Pacifique (Japon) Nom AWS : Asie-Pacifique (Tokyo)	https://apis-jp.highbond.com https://apis-jp.diligentoneplatform.com
Asie-Pacifique (Singapour) Nom AWS : Asie-Pacifique (Singapour)	https://apis-ap.highbond.com https://apis-ap.diligentoneplatform.com
Europe (Allemagne) Nom AWS : Europe (Francfort)	https://apis-eu.highbond.com https://apis-eu.diligentoneplatform.com
Europe (Londres) Nom AWS : Europe (Londres)	https://apis-uk.highbond.com https://apis-uk.diligentoneplatform.com
Amérique du Nord (Canada) Nom AWS : Canada (Centre)	https://apis-ca.highbond.com https://apis-ca.diligentoneplatform.com
Amérique du sud (Brésil) Nom AWS : Amérique du Sud (São Paulo)	https://apis-sa.highbond.com https://apis-sa.diligentoneplatform.com
AWS GovCloud - (Agences fédérales américaines)	https://apis.highbond-gov.com
AWS GovCloud (États-Unis, administrations locales et établissements d’enseignement)	https://apis.highbond-gov2.com

Autorisations et droits de connexion du compte

Deux types de compte exigent des autorisations et des droits de connexion Windows sur le serveur sur lequel l'agent Robots est installé :

Comptes de serviceIls permettent d’exécuter les deux services Windows de l’agent Robots.
Comptes utilisateur individuelsIls sont utilisés pour accéder aux sorties de tables Analytics par tâches Robots
Les utilisateurs disposant d'une installation bureau d'Analytics peuvent utiliser l'application sou forme de client bureau pour se connecter aux tables de sortie stockées sur le serveur de l'agent Robots.

Les autorisations et droits de connexion spécifiques requises par les comptes sont présentées ci-dessous.

Droits de connexion aux comptes

Le tableau suivant décrit les droits de connexion nécessaires pour les comptes qui nécessitent un accès au serveur d'agent Robots. N'accordez aucun droit de connexion à un compte au-delà de ce qui est spécifié ci-dessous. Les droits de connexion sont spécifiés dans la zone Attribution des droits utilisateurs de la stratégie de sécurité de Windows.

La restriction des droits de connexion diminue le risque que quelqu'un obtienne un accès non autorisé au serveur d'agent Robots.

Compte	Autoriser la connexion locale	Refuser la connexion locale	Se connecter en tant que service
Compte de service de l'agent Robots	Non	Oui	Oui
Compte du service de données Robots	Non	Oui	Oui
Compte utilisateur (Utilisateurs d'Analytics)	Oui	Non	Non

Compte

Autoriser la connexion locale

Refuser la connexion locale

Se connecter en tant que service

Compte de service de l'agent Robots

Non

Oui

Compte du service de données Robots

Non

Oui

Compte utilisateur

(Utilisateurs d'Analytics)

Oui

Non

Autorisations du compte

Autorisations du compte de service

Nom du service Windows	Port	Compte pour exécuter le service	Autorisations requises pour le compte de service
Agent Robots (exécute les tâches Robots ad hoc et planifiées)	443 sortie uniquement	Utilisez l'une des propositions suivantes : un compte utilisateur de domaine dédié un compte de domaine informatique générique N'utilisez pas : le compte d'un employé individuel un compte utilisateur local le compte système local Note Si le compte que vous spécifiez utilise un mot de passe qui expire, assurez-vous qu'un processus est mis en place pour garder le mot de passe à jour.	Autorisation de lecture et d'exécution du dossier d'installation de l'Agent Robots Emplacement par défaut : C:\Program Files (x86)\ACL Software\Robots Agent Permissions de lecture/écriture/liste pour le dossier de données de l'Agent Robots Emplacement par défaut : C:\acl\robots\data
Service de données Robots (offre la connectivité qui permet aux utilisateurs d'ouvrir des tables d'agent Robots dans Analytics)	10000 (par défaut) Vous pouvez indiquer n'importe quel port compris entre 0 et 65536.	Système local	Autorisation de lecture et d'exécution du dossier d'installation de l'Agent Robots Emplacement par défaut : C:\Program Files (x86)\ACL Software\Robots Agent Autorisations de lecture/écriture pour le dossier \aclse afin de commencer par créer des dossiers de préfixe qui appartiennent aux utilisateurs Emplacement par défaut : C:\acl\robots\aclse

Nom du service Windows

Port

Compte pour exécuter le service

Autorisations requises pour le compte de service

Agent Robots

(exécute les tâches Robots ad hoc et planifiées)

443

sortie uniquement

Utilisez l'une des propositions suivantes :

un compte utilisateur de domaine dédié
un compte de domaine informatique générique

N'utilisez pas :

le compte d'un employé individuel
un compte utilisateur local
le compte système local

Note

Si le compte que vous spécifiez utilise un mot de passe qui expire, assurez-vous qu'un processus est mis en place pour garder le mot de passe à jour.

Autorisation de lecture et d'exécution du dossier d'installation de l'Agent Robots
Emplacement par défaut :
C:\Program Files (x86)\ACL Software\Robots Agent
Permissions de lecture/écriture/liste pour le dossier de données de l'Agent Robots
Emplacement par défaut :
C:\acl\robots\data

Service de données Robots

(offre la connectivité qui permet aux utilisateurs d'ouvrir des tables d'agent Robots dans Analytics)

10000 (par défaut)

Vous pouvez indiquer n'importe quel port compris entre 0 et 65536.

Système local

Autorisation de lecture et d'exécution du dossier d'installation de l'Agent Robots
Emplacement par défaut :
C:\Program Files (x86)\ACL Software\Robots Agent
Autorisations de lecture/écriture pour le dossier \aclse afin de commencer par créer des dossiers de préfixe qui appartiennent aux utilisateurs
Emplacement par défaut :
C:\acl\robots\aclse

Autorisations de compte utilisateur

Les tables Analytics sorties par des tâches Robots sont stockées sur le serveur sur lequel l'agent Robots est installé. Les utilisateurs peuvent se connecter à ces tables et les ouvrir dans leur copie d'Analytics installée localement s'ils disposent des autorisations présentées ci-dessous. (Pour de plus amples informations, consultez la section Affichage des tables, fichiers et journaux dans un robot ACL.)

Limiter l'accès utilisateur au serveur de l'agent Robots

Si votre organisation ne souhaite pas que les utilisateurs aient accès au serveur de l'agent Robots, vous pouvez adopter une approche différente. Les scripts d'analyse de données dans des tâches Robots peuvent être écrits dans les résultats de sortie pour un type de fichier tel qu'Excel ou délimité. Les utilisateurs peuvent télécharger ces types de fichier directement depuis l'application basée dans le cloud sans obligation d'avoir accès au serveur d'agent Robots.

Une approche combinée

Vous pouvez également adopter une approche combinée pour fournir un accès aux résultats de sortie des tâches :

Utilisateurs courantsDemander aux utilisateurs courants de télécharger les résultats contenus dans des fichiers Excel ou délimités à partir de l’application Robots basée dans le cloud.
Développeurs et architectesAutoriser les développeurs d’analyses et les architectes de données à accéder aux tables de résultats Analytics sur le serveur de l’agent Robots.

Autorisations pour les utilisateurs d'Analytics

Si vous voulez donner à certains ou à tous les utilisateurs d'Analytics la possibilité d'accéder aux tables d'Analytics sur le serveur d'agent Robots, indiquez les autorisations présentées ci-dessous.

Attention

N’attribuez pas aux utilisateurs individuels des autorisations d’accès à tout le répertoire C:\acl sur le serveur d’agent Robots ou à un dossier ne relevant pas des spécifications ci-dessous.

Limiter l'accès aux dossiers aux seuls comptes et aux seuls dossiers requis diminue le risque que quelqu'un obtienne un accès non autorisé au serveur d'agent Robots. Cela empêche également qu'un script Analytics accède aux fichiers ou les modifie en dehors des dossiers appropriés.

Élément	Autorisations de compte utilisateur nécessaires
Dossier d'installation du service de données Robots	Autorisation de lecture du dossier d'installation du service de données Robots Emplacement par défaut : C:\Program Files (x86)\ACL Software\Robots Agent\aclse
Exécutable du service de données Robots (aclse.exe)	Exécution de contrôle total pour l'exécutable du service de données Robots (aclse.exe) Emplacement par défaut : C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe
Dossier de données de l'agent Robots (contient les tables de résultat Analytics sorties par des tâches de Robots)	Autorisation de lecture du dossier d'installation du service de données Robots Emplacement par défaut : C:\acl\robots\data Note Cette autorisation peut être accordée pour tout le dossier \data, ou il peut être limité comme suit : Mode développementPermet d’attribuer l’autorisation de se connecter uniquement aux tables de résultat C:\acl\robots\data\Development ProductionPermet d’attribuer l’autorisation pour se connecter uniquement aux tables de résultat de production C:\acl\robots\data\Production Robots spécifiquesPermet d’attribuer l’autorisation pour se connecter aux tables de résultat uniquement pour des robots spécifiques Par exemple : C:\acl\robots\data\Production\Robot5
Dossier de préfixe du service de données Robots (le répertoire de travail d'Analytics lorsqu'il est connecté au serveur d'agent Robots contient des tables de sortie d'Analytics et les fichiers d'index sauvegardés d'Analytics sur le serveur)	Autorisation de contrôle total pour le dossier de préfixe de service de données Robots qui appartient à l'utilisateur Emplacement par défaut : C:\acl\robots\aclse\<user_name>