RobotsBeveiliging van Robots Agent ter plaatse
Opmerking
De informatie in dit onderwerp is alleen van toepassing op organisaties die een Robots-agent ter plaatse gebruiken om ACL-scripts uit te voeren in ACL-robots.
Personen en organisaties met ACL Robotics Professional Edition hebben geen Robots-agent ter plaatse. Python/HCL-scripts die in HighBond-robots of Workflowrobots worden uitgevoerd, maken geen gebruik van de Robots-agent.
Volg de beveiligingsaanbevelingen voor de Robots Agent ter plaatse om de toegang tot de server waarop de Robots Agent is geïnstalleerd te beheren en gevoelige gegevens veilig te houden.
ZieMachtigingen Robots-app voor informatie over gebruikerstoegang tot de cloud-gebaseerde Robots-app.
Gecodeerde communicatie
U kunt Analytics lokaal gebruiken om resultatentabellen en werktabellen te openen die zijn opgeslagen met de Robots-agent ter plaatse. Voor communicatie tussen Analytics en de Robots-agent is een serverprofiel met wachtwoordbeveiliging vereist. Bovendien wordt de gegevensoverdracht beveiligd met AES-256-codering (Analytics/Agent v.19 of hoger) of Twofish-128 (Analytics/Agent v.18 of eerder).
Raadpleeg voor meer informatie .
Algemene gebruikerstoegang
Als algemene richtlijn moet u de Robots Agent toegang verlenen tot het minimale aantal vereiste accounts, met de minimaal vereiste rechten en machtigingen.
Serverbeheer
Om uw Robots Agent-server zo veilig mogelijk te houden, past u direct alle Windows-besturingssysteemupgrades en beveiligingspatches toe.
Gevoelige installatie-informatie
Beveilig alle gevoelige informatie met betrekking tot uw installatie van de Robots Agent. Tijdens het installatieproces moet u bestanden die gevoelige informatie bevatten, zoals accountgegevens of configuratie-instellingen, op een veilige locatie opslaan.
Lijst met toegestane URL's
Om de communicatie tussen de Robots-agent en het Diligent One-platform mogelijk te maken, moet u bepaalde platform-URL's toevoegen aan de lijst met toegestane netwerken van uw organisatie.
Diligent One-platformAlle organisaties die een Robots-agent ter plaatse gebruiken, moeten de algemene URL's van het Diligent One-platform voor hun regio toestaan.
HighBond APIAls uw organisatie ACL-robots wil gebruiken voor interactie met de HighBond-API, moet u de URL van de HighBond-API voor uw regio toestaan.
Om de regio voor uw Diligent One-account te bevestigen, opent u de startpagina van Platform en selecteert u Platforminstellingen > Organisatie. Uw regio verschijnt onder Regionaam.
Opmerking
Het Diligent One-platform bevindt zich momenteel in een periode met twee domeinen waarin zowel het domein diligentoneplatform.com als het domein highbond.com worden ondersteund. Het domein highbond.com wordt volgens de planning uitgefaseerd op 31 juli 2026. Als u nu URL's van beide domeinen aan uw acceptatielijst toevoegt, voorkomt u een mogelijke verstoring in de toekomst. Raadpleeg voor meer informatie Veelgestelde vragen over ondersteunde domeinen.
URL's van het Diligent One-platform aan uw acceptatielijst toevoegen
URL's van het Diligent One-platform aan uw acceptatielijst toevoegen die hieronder zijn opgegeven op voor uitgaande poort 443. Voeg alleen de URL's toe aan de toelatingslijst voor de regio waar uw Diligent One-account zich bevindt.
Let op
Configureer poort 443 voor alleen uitgaand verkeer. Sta geen inkomend verkeer toe.
| Diligent One-regio | URL's van het Diligent One-platform |
|---|---|
Noord-Amerika (VS) AWS-naam: Verenigde Staten - Oost (North Virginia) |
|
Afrika (Zuid-Afrika) AWS-naam: Afrika (Kaapstad) |
|
Azië-Pacific (Australië) AWS-naam: Zuidoost-Azië (Sydney) |
|
Azië-Pacific (Japan) AWS-naam: Azië-Pacific (Tokio) |
|
Azië-Pacific (Singapore) AWS-naam: Azië-Pacific (Singapore) |
|
Europa (Duitsland) AWS-naam: Europa (Frankfurt) |
|
Europa (Londen) AWS-naam: Europa (Londen) |
|
Noord-Amerika (Canada) AWS-naam: Canada (Centraal) |
|
Zuid-Amerika (Brazilië) AWS-naam: Zuid-Amerika (São Paulo) |
|
URL's van de HighBond-API aan uw acceptatielijst toevoegen
Als uw organisatie ACLScript-opdrachten wil gebruiken om gegevens tussen de Projecten-app of de Resultaten-app en een ACL-robot te verzenden, kunt u de URL's van de HighBond-API gebruiken. U kunt deze vereiste negeren als u geen gegevens hoeft te verzenden tussen een van beide apps en een ACL-robot.
Voeg alleen de URL's toe aan de toelatingslijst voor de regio waar uw Diligent One-account zich bevindt.
Voor meer informatie over de HighBond-API raadpleegt u Referentie HighBond-API.
| Diligent One-regio | URL's HighBond-API |
|---|---|
Noord-Amerika (VS) AWS-naam: Verenigde Staten - Oost (North Virginia) |
Opmerking Voeg voor elk domein beide URL's aan uw acceptatielijst toe. |
Afrika (Zuid-Afrika) AWS-naam: Afrika (Kaapstad) |
|
Azië-Pacific (Australië) AWS-naam: Zuidoost-Azië (Sydney) |
|
Azië-Pacific (Japan) AWS-naam: Azië-Pacific (Tokio) |
|
Azië-Pacific (Singapore) AWS-naam: Azië-Pacific (Singapore) |
|
Europa (Duitsland) AWS-naam: Europa (Frankfurt) |
|
Europa (Londen) AWS-naam: Europa (Londen) |
|
Noord-Amerika (Canada) AWS-naam: Canada (Centraal) |
|
Zuid-Amerika (Brazilië) AWS-naam: Zuid-Amerika (São Paulo) |
|
| AWS GovCloud (federaal in de VS) |
|
| AWS GovCloud (staat, lokaal en educatief in de VS) |
|
Accountaanmeldrights en -machtigingen
Twee soorten accounts hebben Windows-aanmeldingsrechten en -machtigingen nodig op de server waar de Robots Agent is geïnstalleerd:
- serviceaccountsworden gebruikt om de twee Windows-services van Robots Agent uit te voeren
- individuele gebruikersaccountsworden gebruikt om toegang te krijgen tot Analytics-tabellen die worden uitgevoerd door Robots-taken
Individuele gebruikers met een desktopinstallatie van Analytics kunnen de toepassing als desktopklant gebruiken om verbinding te maken met uitvoertabellen die zijn opgeslagen op de Robots Agent-server.
De specifieke aanmeldrechten en machtigingen die vereist zijn voor de accounts worden hieronder beschreven.
Aanmeldingsrechten voor account
De onderstaande tabel beschrijft de vereiste aanmeldingsrechten voor de accounts die toegang nodig hebben tot de Robots Agent-server. Verleen geen aanmeldingsrechten aan een account buiten de hieronder gespecificeerde rechten. Aanmeldingsrechten worden gespecificeerd in het gedeelte Toewijzing van gebruikersrechten van het Windows-beveiligingsbeleid.
Het beperken van aanmeldingsrechten verkleint het risico dat iemand ongeoorloofde toegang krijgt tot de Robots Agent-server.
| Account | Lokaal aanmelden toestaan | Lokaal aanmelden weigeren | Aanmelden als een service |
|---|---|---|---|
| Robots Agent-serviceaccount | Nee | Ja | Ja |
| Robots Data Service-account | Nee | Ja | Ja |
Gebruikersaccount (Analytics-gebruikers) | Ja | Nee | Nee |
Accountmachtigingen
Serviceaccountmachtigingen
| Naam van Windows-service | Poort | Account voor het uitvoeren van de service | Vereiste machtigingen voor het serviceaccount |
|---|---|---|---|
Robots-agent (voert geplande en ad-hoctaken van Robots uit) | 443 alleen uitgaand | Gebruik een van de volgende:
Gebruik niet:
Opmerking Als het opgegeven account gebruikmaakt van een wachtwoord dat verloopt, zorg er dan voor dat u een procedure heeft om het wachtwoord actueel te houden. |
|
Robots-gegevensservice (biedt de connectiviteit waarmee gebruikers Robots Agent-tabellen kunnen openen in Analytics) | 10000 (standaard) U kunt elke beschikbare poort tussen 0 en 65536 opgeven | Lokaal systeem |
|
Gebruikersaccountmachtigingen
Analytics-tabellen die worden uitgevoerd door Robots-taken worden opgeslagen op de server waarop de Robots Agent is geïnstalleerd. Gebruikers kunnen verbinding maken met deze tabellen en ze openen in hun lokaal geïnstalleerde kopie van Analytics als ze over de hieronder beschreven machtigingen beschikken. (Zie De tabellen, bestanden en logboeken bekijken in een ACL-robot voor meer informatie.)
Gebruikerstoegang tot de Robots Agent-server beperken
Als uw organisatie niet wil dat gebruikers toegang hebben tot de Robots Agent-server, kunt u een andere aanpak kiezen. De analysescripts in Robots-taken kunnen zo worden geschreven dat ze resultaten uitvoeren naar een bestandstype zoals Excel of een gescheiden bestand. Gebruikers kunnen deze bestandstypen rechtstreeks downloaden uit de cloudgebaseerde Robots-app, zonder dat ze toegang hoeven te hebben tot de Robots Agent-server.
Een gecombineerde aanpak
U kunt ook een gecombineerde aanpak hanteren voor het verlenen van toegang tot taakuitvoerresultaten:
- Gewone gebruikersMoeten resultaten die in Excel- of gescheiden bestanden staan downloaden via de in de cloud gehoste Robots-app
- Ontwikkelaars en architectenGeef analyticsontwikkelaars en gegevensarchitecten toegang tot de resultaattabellen van Analytics op de Robots Agent-server
Machtigingen voor Analytics-gebruikers
Als u sommige of alle Analytics-gebruikers toegang wilt geven tot Analytics-tabellen op de Robots Agent-server, geef dan de hieronder beschreven machtigingen op.
Let op
Geef individuele gebruikers geen machtigingen voor de volledige C:\acl-map op de Robots Agent-server, of voor mappen buiten wat hieronder is gespecificeerd.
Het beperken van toegang tot mappen tot alleen de vereiste accounts en alleen de vereiste mappen vermindert het risico dat iemand ongeautoriseerde toegang krijgt tot de Robots Agent-server. Het voorkomt ook dat een Analytics-script toegang krijgt tot of wijzigingen aanbrengt in bestanden buiten de juiste mappen.
| Item | Machtigingen voor gebruikersaccounts vereist |
|---|---|
Installatiemap van Robots Data Service |
|
Robots Data Service-executable (aclse.exe) |
|
Gegevensmap Robots Agent (bevat Analytics-resultaattabellen die door Robots-taken zijn gegenereerd) |
Opmerking Deze toestemming kan worden verleend voor de gehele \data-map, of kan op de volgende manieren worden beperkt:
|
Robots Data Service Prefix-map (de Analytics-werkmap bij verbinding met de Robots Agent-server bevat Analytics-uitvoertabellen en indexbestanden die van Analytics op de server zijn opgeslagen) |
|
