Sicurezza di Agente Robot on-premise

Nota

L'informazione in questo argomento si applica solo alle organizzazioni che utilizzano un Agente Robot on-premise per eseguire script ACL in robot ACL.

Le persone e le organizzazioni che possiedono l'edizione ACL Robotics Professional non dispongono di un Agente Robot on-premise. Gli script Python/HCL che eseguono in robot HighBond o robot del workflow non utilizzando l'Agente Robot.

Seguire le raccomandazioni di sicurezza di Agente Robot on-premise per controllare l'accesso al server su cui è installato Agente Robot e proteggere i dati sensibili.

Per informazioni sull'accesso degli utenti all'applicazione Robot basata sul cloud, consulta Autorizzazioni dell'applicazione Robot.

Comunicazione crittografata

Puoi usare Analytics localmente per aprire le tabelle dei risultati e le tabelle di lavoro memorizzate con l'Agente Robot on-premise. La comunicazione tra Analytics e l'Agente Robot richiede un profilo server protetto da password. Inoltre, la trasmissione dei dati è protetta dalla crittografia AES-256 (Analytics/Agente versione 19 o successiva) o Twofish-128 (Analytics/Agente versione 18 o precedente).

Per ulteriori informazioni, vedi .

Accesso utente generale

Come regola generale, si dovrebbe concedere ad Agente Robot l'accesso al numero minimo di account richiesti, con i diritti e le autorizzazioni minimi richiesti.

Amministrazione del server

Per mantenere il server Agente Robot il più sicuro possibile, applicare tempestivamente tutti gli aggiornamenti del sistema operativo Windows e le patch di sicurezza.

Informazioni sensibili sull'installazione

Proteggere tutte le informazioni sensibili relative all'installazione di Agente Robot. Se durante il processo di installazione si creano file contenenti informazioni sensibili, quali credenziali dell'account o impostazioni di configurazione, è opportuno archiviare tali file in un luogo sicuro.

URL consentiti

Per consentire la comunicazione fra l'Agente Robot e Diligent One Platform, è necessario aggiungere determinati URL di piattaforma all'elenco degli indirizzi consentiti dalla rete dell'organizzazione.

  • Piattaforma Diligent OneTutte le organizzazioni che utilizzano un Agente Robot on-premise devono consentire gli URL generali di Diligent One Platform per la propria regione.

  • API di HighBondSe la tua organizzazione desidera utilizzare robot ACL per interagire con l'API di HighBond, devi autorizzare l'URL corrispondente per la tua regione.

Per verificare la regione del tuo account Diligent One, apri la home page della piattaforma e seleziona Impostazioni della piattaforma > Organizzazione. L'area appare sotto Nome area.

Nota

Per la piattaforma Diligent One Platform sono attualmente supportati due domini, ovvero diligentoneplatform.com e highbond.com, ma il dominio highbond.com verrà ritirato il 31 luglio 2026. Aggiungendo ora entrambi i domini all'elenco degli URL consentiti, eviterai potenziali interruzioni di servizio in futuro. Per ulteriori informazioni, vedi Domande frequenti sui domini supportati.

Inserire gli URL di Diligent One Platform nell'elenco degli indirizzi consentiti

Inserisci gli URL di Diligent One Platform nell'elenco degli indirizzi consentiti per la porta 443 in uscita. Aggiungere alla lista consentita solo gli URL dell'area in cui si trova l'account Diligent One.

Attenzione

Configurare la porta 443 solo per il traffico in uscita. Non consentire il traffico in entrata.

Area di Diligent OneURL di Diligent One Platform

America del Nord (USA)

Nome AWS: US East (N. Virginia)

  • https://hub.highbond.com

  • https://hub.diligentoneplatform.com

  • https://s3.us-east-1.amazonaws.com

  • https://s3-1.amazonaws.com

Africa (Sudafrica)

Nome AWS: Africa (Città del Capo)

  • https://hub-af.highbond.com

  • https://hub-af.diligentoneplatform.com

  • https://s3.af-south-1.amazonaws.com

Asia Pacifico (Australia)

Nome AWS: Asia Pacifico (Sydney)

  • https://hub-au.highbond.com

  • https://hub-au.diligentoneplatform.com

  • https://s3.ap-southeast-2.amazonaws.com

Asia Pacifico (Giappone)

Nome AWS: Asia Pacifico (Tokyo)

  • https://hub-jp.highbond.com

  • https://hub-jp.diligentoneplatform.com

  • https://s3.ap-northeast-1.amazonaws.com

Asia Pacifico (Singapore)

Nome AWS: Asia Pacifico (Singapore)

  • https://hub-ap.highbond.com

  • https://hub-ap.diligentoneplatform.com

  • https://s3.ap-southeast-1.amazonaws.com

Europa (Germania)

Nome AWS: Europa (Francoforte)

  • https://hub-eu.highbond.com

  • https://hub-eu.diligentoneplatform.com

  • https://s3.eu-central-1.amazonaws.com

Europa (Londra)

Nome AWS: Europa (Londra)

  • https://hub-uk.highbond.com

  • https://hub-uk.diligentoneplatform.com

  • https://s3.eu-west-2.amazonaws.com

America del Nord (Canada)

Nome AWS: Canada (centrale)

  • https://hub-ca.highbond.com

  • https://hub-ca.diligentoneplatform.com

  • https://s3.ca-central-1.amazonaws.com

America del Sud (Brasile)

Nome AWS: America del Sud (San Paolo)

  • https://hub-sa.highbond.com

  • https://hub-sa.diligentoneplatform.com

  • https://s3.sa-east-1.amazonaws.com

Inserire gli URL dell'API di HighBond nell'elenco degli indirizzi consentiti

Se la tua organizzazione desidera utilizzare comandi ACLScript per scambiare dati fra l'applicazione Progetti o Risultati e un robot ACL, inserisci gli URL dell'API di HighBond nell'elenco degli indirizzi consentiti. Se non hai l'esigenza di scambiare dati fra una di queste due applicazioni e un robot ACL, puoi ignorare questo requisito.

Aggiungere alla lista consentita solo gli URL dell'area in cui si trova l'account Diligent One.

Per ulteriori informazioni sull'API di HighBond, vedi Riferimento alle API di HighBond.

Area di Diligent OneURL dell'API di HighBond

America del Nord (USA)

Nome AWS: US East (N. Virginia)

  • https://apis-us.highbond.com

  • https://apis.highbond.com

  • https://apis-us.diligentoneplatform.com

  • https://apis.diligentoneplatform.com

Nota

Per ciascun dominio, inserisci entrambi gli URL nell'elenco degli indirizzi consentiti.

Africa (Sudafrica)

Nome AWS: Africa (Città del Capo)

  • https://apis-af.highbond.com

  • https://apis-af.diligentoneplatform.com

Asia Pacifico (Australia)

Nome AWS: Asia Pacifico (Sydney)

  • https://apis-au.highbond.com

  • https://apis-au.diligentoneplatform.com

Asia Pacifico (Giappone)

Nome AWS: Asia Pacifico (Tokyo)

  • https://apis-jp.highbond.com

  • https://apis-jp.diligentoneplatform.com

Asia Pacifico (Singapore)

Nome AWS: Asia Pacifico (Singapore)

  • https://apis-ap.highbond.com

  • https://apis-ap.diligentoneplatform.com

Europa (Germania)

Nome AWS: Europa (Francoforte)

  • https://apis-eu.highbond.com

  • https://apis-eu.diligentoneplatform.com

Europa (Londra)

Nome AWS: Europa (Londra)

  • https://apis-uk.highbond.com

  • https://apis-uk.diligentoneplatform.com

America del Nord (Canada)

Nome AWS: Canada (centrale)

  • https://apis-ca.highbond.com

  • https://apis-ca.diligentoneplatform.com

America del Sud (Brasile)

Nome AWS: America del Sud (San Paolo)

  • https://apis-sa.highbond.com

  • https://apis-sa.diligentoneplatform.com

AWS GovCloud (Federazione statunitense)

  • https://apis.highbond-gov.com

AWS GovCloud (Stati, enti locali e istituti scolastici statunitensi)

  • https://apis.highbond-gov2.com

Diritti e autorizzazioni di accesso all'account

Due tipi di account richiedono diritti di accesso e autorizzazioni Windows sul server in cui è installato Agente Robot:

  • account di servizioutilizzati per eseguire i due servizi di Windows di Agente Robot
  • account utente individualiutilizzati per accedere alle tabelle di Analytics prodotte dalle attività di Robot

    I singoli utenti con un'installazione desktop di Analytics possono utilizzare l'applicazione come client desktop per connettersi alle tabelle di output archiviate sul server Agente Robot.

Di seguito sono descritti i diritti di accesso e le autorizzazioni specifici richiesti dagli account.

Diritti di accesso all'account

La tabella seguente descrive i diritti di accesso necessari per gli account che richiedono l'accesso al server Agente Robot. Non concedere diritti di accesso a un account oltre a quelli specificati di seguito. I diritti di accesso sono specificati nell'area Assegnazione diritti utente dei criteri di sicurezza di Windows.

Limitando i diritti di accesso si riduce il rischio che qualcuno possa accedere in modo non autorizzato al server Agente Robot.

AccountConsentire l'accesso localeNegare l'accesso localeAccedere come servizio
Account di servizio di Agente RobotNo
Account di servizio di Dati RobotNo

Account utente

(utenti di Analytics)

NoNo

Autorizzazioni dell'account

Autorizzazioni dell'account di servizio

Nome del servizio WindowsPortaAccount per eseguire il servizioAutorizzazioni richieste per l'account di servizio

Agente Robot

(esegue attività di Robot pianificate e ad hoc)

443

solo in uscita

Utilizzare una delle seguenti opzioni:

  • un account utente di dominio dedicato
  • un account di dominio IT generico

Non utilizzare:

  • un account di un singolo dipendente
  • un account utente locale
  • l'account del sistema locale

Nota

Se l'account specificato utilizza una password con scadenza, assicurarsi di avere implementato una procedura per mantenere aggiornata la password.

  • Autorizzazione di lettura ed esecuzione per la cartella di installazione di Agente Robot

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Autorizzazioni di lettura/scrittura/elenco per la cartella dati dell'Agente Robot

    Percorso predefinito:

    C:\acl\robots\data

Servizio di Dati Robot

(fornisce la connettività che consente agli utenti di aprire le tabelle di Agente Robot in Analytics)

10000 (predefinita)

È possibile specificare qualsiasi porta disponibile compresa tra 0 e 65536.

Sistema locale

  • Autorizzazione di lettura ed esecuzione per la cartella di installazione di Agente Robot

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Permessi di lettura/scrittura per la cartella \aclse al fine di creare inizialmente le cartelle Prefix appartenenti agli utenti

    Percorso predefinito:

    C:\acl\robots\aclse

Autorizzazioni dell'account utente

Le tabelle di Analytics generate dalle attività di Robot vengono archiviate sul server su cui è installato Agente Robot. Gli utenti possono connettersi a queste tabelle e aprirle nella loro copia di Analytics installata localmente se dispongono delle autorizzazioni descritte di seguito. (per ulteriori informazioni, consulta Visualizzare le tabelle, i file e i log in un robot ACL).

Limitare l'accesso degli utenti al server Agente Robot

Se l'organizzazione non desidera che gli utenti abbiano accesso al server Agente Robot, è possibile adottare un approccio diverso. Gli script di analisi nelle attività di Robot possono essere scritti per generare risultati in un tipo di file come Excel o delimitato. Gli utenti possono scaricare questi tipi di file direttamente dall'applicazione Robot basata su cloud, senza dover necessariamente avere accesso al server Agente Robot.

Un approccio combinato

È anche possibile adottare un approccio combinato per fornire l'accesso ai risultati di output delle attività:

  • Utenti abitualiRichiedere agli utenti abituali di scaricare i risultati contenuti in file Excel o delimitati dall'applicazione Robot basata sul cloud
  • Sviluppatori e architettiConsenti agli sviluppatori di analisi e agli architetti dei dati di accedere alle tabelle dei risultati di Analytics sul server di Agente Robot

Autorizzazioni per gli utenti di Analytics

Se si desidera concedere ad alcuni o a tutti gli utenti di Analytics la possibilità di accedere alle tabelle di Analytics sul server Agente Robot, specificare le autorizzazioni descritte di seguito.

Attenzione

Non concedere ai singoli utenti i permessi per l'intera directory C:\acl sul server di Agente Robot o per qualsiasi altra cartella oltre a quelle specificate di seguito.

Limitando l'accesso alle cartelle solo agli account e alle cartelle necessari si riduce il rischio che qualcuno possa accedere in modo non autorizzato al server Agente Robot. Impedisce inoltre a uno script di Analytics di accedere o modificare file al di fuori delle cartelle appropriate.

ElementoAutorizzazioni dell'account utente richieste

Cartella di installazione di Servizio di Dati Robot

  • Autorizzazione di lettura per la cartella di installazione di Servizi di Dati Robot

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse

Eseguibile di Servizio di Dati Robot

(aclse.exe)

  • Autorizzazione di controllo completo per l'eseguibile di Servizio di Dati Robot (aclse.exe)

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Cartella dati dell'Agente Robot

(contiene le tabelle dei risultati di Analytics generate dalle attività di Robot)

  • Autorizzazione di lettura per la cartella dati dell'Agente Robot

    Percorso predefinito:

    C:\acl\robots\data

Nota

Questa autorizzazione può essere concessa all'intera cartella \data oppure può essere limitata nei seguenti modi:

  • Modalità di sviluppoconcedere il permesso di connettersi solo alle tabelle dei risultati della modalità di sviluppo

    C:\acl\robots\data\Development

  • Produzioneconcedere il permesso di connettersi solo alle tabelle dei risultati di produzione

    C:\acl\robots\data\Production

  • Robot specificiconcedere il permesso di connettersi alle tabelle dei risultati solo a determinati robot

    Per esempio:

    C:\acl\robots\data\Production\Robot5

Cartella Prefisso del Servizio di Dati Robot

(la directory di lavoro di Analytics quando connessa al server Agente Robot

contiene tabelle di output di Analytics e file di indice salvati da Analytics sul server)

  • Autorizzazione di controllo completo per la cartella prefisso Servizio di Dati Robot appartenente all'utente

    Percorso predefinito:

    C:\acl\robots\aclse\<user_name>