Sicurezza di Agente Robot on-premise

Seguire le raccomandazioni di sicurezza di Agente Robot on-premise per controllare l'accesso al server su cui è installato Agente Robot e proteggere i dati sensibili.

Per ottenere informazioni sull'accesso degli utenti all'applicazione Robot basata su cloud, consultare Autorizzazioni dell'applicazione Robot.

Nota

L'informazione in questo argomento si applica solo alle organizzazioni che utilizzano un Agente Robot on-premise per eseguire script ACL in robot ACL.

Le persone e le organizzazioni che possiedono l'edizione ACL Robotics Professional non dispongono di un Agente Robot on-premise. Gli script Python/HCL che eseguono in robot HighBond o robot del workflow non utilizzando l'Agente Robot.

Accesso utente generale

Come regola generale, si dovrebbe concedere ad Agente Robot l'accesso al numero minimo di account richiesti, con i diritti e le autorizzazioni minimi richiesti.

Amministrazione del server

Per mantenere il server Agente Robot il più sicuro possibile, applicare tempestivamente tutti gli aggiornamenti del sistema operativo Windows e le patch di sicurezza.

Informazioni sensibili sull'installazione

Proteggere tutte le informazioni sensibili relative all'installazione di Agente Robot. Se durante il processo di installazione si creano file contenenti informazioni sensibili, quali credenziali dell'account o impostazioni di configurazione, è opportuno archiviare tali file in un luogo sicuro.

URL consentiti

Sul server su cui è installato Agente Robot, consentire gli URL specificati di seguito per la porta 443 in uscita. Aggiungere alla lista consentita solo gli URL dell'area in cui si trova l'account Diligent One.

Per confermare l'area dell'account Diligent One, aprire Launchpad e selezionare Opzioni > Organizzazione. L'area appare sotto Nome area.

Attenzione

Configurare la porta 443 solo per il traffico in uscita. Non consentire il traffico in entrata.

Area di Diligent One URL
Africa (Sudafrica)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

Asia Pacifico (Australia)
  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

Asia Pacifico (Singapore)
  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
Asia Pacifico (Tokyo)
  • https://hub-jp.highbond.com
  • https://s3.ap-northeast-1.amazonaws.com

Europa (Germania)
  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

America del Nord (Canada)
  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

America del Nord (USA)
  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
America del Sud (Brasile)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

Diritti e autorizzazioni di accesso all'account

Due tipi di account richiedono diritti di accesso e autorizzazioni Windows sul server in cui è installato Agente Robot:

  • account di servizio: utilizzati per eseguire i due servizi Windows di Agente Robot
  • account utente individuali: utilizzati per accedere alle tabelle di Analytics generate dalle attività di Robot

    I singoli utenti con un'installazione desktop di Analytics possono utilizzare l'applicazione come client desktop per connettersi alle tabelle di output archiviate sul server Agente Robot.

Di seguito sono descritti i diritti di accesso e le autorizzazioni specifici richiesti dagli account.

Diritti di accesso all'account

La tabella seguente descrive i diritti di accesso necessari per gli account che richiedono l'accesso al server Agente Robot. Non concedere diritti di accesso a un account oltre a quelli specificati di seguito. I diritti di accesso sono specificati nell'area Assegnazione diritti utente dei criteri di sicurezza di Windows.

Limitando i diritti di accesso si riduce il rischio che qualcuno possa accedere in modo non autorizzato al server Agente Robot.

Account Consentire l'accesso locale Negare l'accesso locale Accedere come servizio
Account di servizio di Agente Robot No
Account di servizio di Dati Robot No

Account utente

(utenti di Analytics)

 No No

Autorizzazioni dell'account

Autorizzazioni dell'account di servizio

Nome del servizio Windows Porta Account per eseguire il servizio Autorizzazioni richieste per l'account di servizio

Agente Robot

(esegue attività di Robot pianificate e ad hoc)

443

solo in uscita

Utilizzare una delle seguenti opzioni:

  • un account utente di dominio dedicato
  • un account di dominio IT generico

Non utilizzare:

  • un account di un singolo dipendente
  • un account utente locale
  • l'account del sistema locale

Nota

Se l'account specificato utilizza una password con scadenza, assicurarsi di avere implementato una procedura per mantenere aggiornata la password.

  • Autorizzazione di lettura ed esecuzione per la cartella di installazione di Agente Robot

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Autorizzazioni di lettura/scrittura/elenco per la cartella dati dell'Agente Robot

    Percorso predefinito:

    C:\acl\robots\data

Servizio di Dati Robot

(fornisce la connettività che consente agli utenti di aprire le tabelle di Agente Robot in Analytics)

10000 (predefinita)

È possibile specificare qualsiasi porta disponibile compresa tra 0 e 65536.

 Sistema locale

  • Autorizzazione di lettura ed esecuzione per la cartella di installazione di Agente Robot

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Autorizzazioni di lettura/scrittura per la cartella \aclse per creare inizialmente cartelle Prefix appartenenti agli utenti

    Percorso predefinito:

    C:\acl\robots\aclse

Autorizzazioni dell'account utente

Le tabelle di Analytics generate dalle attività di Robot vengono archiviate sul server su cui è installato Agente Robot. Gli utenti possono connettersi a queste tabelle e aprirle nella loro copia di Analytics installata localmente se dispongono delle autorizzazioni descritte di seguito. (Per maggiori informazioni, consultare Visualizzare le tabelle, i file e i log in un robot ACL).

Limitare l'accesso degli utenti al server Agente Robot

Se l'organizzazione non desidera che gli utenti abbiano accesso al server Agente Robot, è possibile adottare un approccio diverso. Gli script di analisi nelle attività di Robot possono essere scritti per generare risultati in un tipo di file come Excel o delimitato. Gli utenti possono scaricare questi tipi di file direttamente dall'applicazione Robot basata su cloud, senza dover necessariamente avere accesso al server Agente Robot.

Un approccio combinato

È anche possibile adottare un approccio combinato per fornire l'accesso ai risultati di output delle attività:

  • Utenti regolari: richiedere agli utenti regolari di scaricare i risultati contenuti in Excel o file delimitati dall'applicazione Robot basata su cloud.
  • Sviluppatori e architetti: consentire agli sviluppatori di analisi e agli architetti dei dati di accedere alle tabelle dei risultati di Analytics sul server Agente Robot.

Autorizzazioni per gli utenti di Analytics

Se si desidera concedere ad alcuni o a tutti gli utenti di Analytics la possibilità di accedere alle tabelle di Analytics sul server Agente Robot, specificare le autorizzazioni descritte di seguito.

Attenzione

Non concedere ai singoli utenti autorizzazioni per l'intera directory C:\acl sul server Agente Robot o per qualsiasi cartella oltre a quelle specificate di seguito.

Limitando l'accesso alle cartelle solo agli account e alle cartelle necessari si riduce il rischio che qualcuno possa accedere in modo non autorizzato al server Agente Robot. Impedisce inoltre a uno script di Analytics di accedere o modificare file al di fuori delle cartelle appropriate.

Elemento Autorizzazioni dell'account utente richieste

Cartella di installazione di Servizio di Dati Robot

  • Autorizzazione di lettura per la cartella di installazione di Servizi di Dati Robot

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse

Eseguibile di Servizio di Dati Robot

(aclse.exe)

  • Autorizzazione di controllo completo per l'eseguibile di Servizio di Dati Robot (aclse.exe)

    Percorso predefinito:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Cartella dati dell'Agente Robot

(contiene le tabelle dei risultati di Analytics generate dalle attività di Robot)

  • Autorizzazione di lettura per la cartella dati dell'Agente Robot

    Percorso predefinito:

    C:\acl\robots\data

Nota

Questa autorizzazione può essere concessa all'intera cartella \data oppure può essere limitata nei seguenti modi:

  • Modalità di sviluppo: concedere l'autorizzazione per connettersi solo alle tabelle dei risultati della modalità di sviluppo

    C:\acl\robots\data\Development

  • Produzione: concedere l'autorizzazione per connettersi solo alle tabelle dei risultati di produzione

    C:\acl\robots\data\Production

  • Robot specifici: concedere l'autorizzazione a connettersi alle tabelle dei risultati solo per robot specifici

    Per esempio:

    C:\acl\robots\data\Production\Robot5

Cartella Prefisso del Servizio di Dati Robot

(la directory di lavoro di Analytics quando connessa al server Agente Robot

contiene tabelle di output di Analytics e file di indice salvati da Analytics sul server)

  • Autorizzazione di controllo completo per la cartella prefisso Servizio di Dati Robot appartenente all'utente

    Percorso predefinito:

    C:\acl\robots\aclse\<user_name>