RobôsSegurança do Agente do Robôs local
Observação
As informações neste tópico se aplicam apenas a organizações que usam um Agente do Robôs local para executar scripts ACL em robôs ACL.
Indivíduos e organizações com a edição ACL Robotics Professional não possuem um Agente do Robôs local. Os scripts Python/HCL executados em robôs HighBond e de fluxo de trabalho não usam o Agente do Robôs.
Siga as recomendações de segurança do Agente do Robôs local para controlar o acesso ao servidor em que o Agente do Robôs está instalado e manter os dados confidenciais seguros.
Para obter informações sobre acesso de usuários ao aplicativo Robôs baseado em nuvem, consulte Permissões do aplicativo Robôs.
Comunicação criptografada
Você pode usar o Analytics localmente para abrir tabelas de resultados e tabelas de trabalho armazenadas no Agente do Robôs local. A comunicação entre o Analytics e o Agente do Robôs exige um perfil de servidor protegido por senha. Além disso, a transmissão de dados é protegida com criptografia AES-256 (Analytics/Agente v.19 ou posterior) ou Twofish-128 (Analytics/Agente v.18 ou anterior).
Para mais informações, consulte .
Acesso geral do usuário
Como orientação geral, você deve conceder ao Agente do Robôs acesso ao número mínimo de contas necessárias, com os direitos e permissões mínimos necessários.
Administração do servidor
Para manter o servidor do Agente do Robôs o mais seguro possível, aplique imediatamente todas as atualizações e patches de segurança do sistema operacional Windows.
Informações sobre instalações confidenciais
Proteja todas as informações confidenciais relacionadas à sua instalação do Agente do Robôs. Durante o processo de instalação, se você criar arquivos que contenham informações confidenciais, como credenciais da conta ou definições de configuração, deverá armazenar os arquivos em um local seguro.
Lista de permissões de URLs
Para permitir a comunicação entre o Agente do Robôs e a Plataforma Diligent One, você precisa adicionar determinadas URLs da plataforma à lista de permissões da rede da sua organização.
Plataforma Diligent OneTodas as organizações que utilizam um Agente do Robôs local precisam permitir as URLs gerais da Plataforma Diligent One para a sua região.
API do HighBondSe a sua organização deseja usar robôs ACL para interagir com a API HighBond, você precisa permitir a URL da API HighBond correspondente à sua região.
Para confirmar a região da sua conta Diligent One, abra a Página inicial da Plataforma e selecione Configurações da Plataforma > Organização. Sua região é exibida em Nome da região.
Observação
A Plataforma Diligent One está atualmente em um período de domínio duplo, durante o qual tanto o domínio diligentoneplatform.com quanto o domínio highbond.com são suportados. O domínio highbond.com está programado para ser desativado em 31 de julho de 2026. Se você adicionar URLs de ambos os domínios à lista de permissões agora, evitará possíveis interrupções no futuro. Para obter mais informações, consulte Perguntas frequentes sobre domínios compatíveis.
Adicionar à lista de permissões as URLs da plataforma Diligent One
Adicione à lista de permissões as URLs da plataforma Diligent One especificadas abaixo para a porta 443 de saída. Coloque na lista de permissões somente as URLs para a região onde sua conta do Diligent One está localizada.
Cuidado
Configure a porta 443 apenas para tráfego de saída. Não permita tráfego de entrada.
| Região do Diligent One | URLs da Plataforma Diligent One |
|---|---|
América do Norte (EUA) Nome da AWS: Leste dos EUA (Virgínia do Norte) |
|
África (África do Sul) Nome da AWS: África (Cidade do Cabo) |
|
Ásia-Pacífico (Austrália) Nome da AWS: Ásia-Pacífico (Sydney) |
|
Ásia-Pacífico (Japão) Nome da AWS: Ásia-Pacífico (Tóquio) |
|
Ásia-Pacífico (Singapura) Nome da AWS: Ásia-Pacífico (Singapura) |
|
Europa (Alemanha) Nome da AWS: Europa (Frankfurt) |
|
Europa (Londres) Nome da AWS: Europa (Londres) |
|
América do Norte (Canadá) Nome da AWS: Canadá (Central) |
|
América do Sul (Brasil) Nome da AWS: América do Sul (São Paulo) |
|
Adicionar à lista de permissões as URLs da API HighBond
Se a sua organização deseja usar comandos ACLScript para transmitir dados entre o aplicativo Projetos ou o aplicativo Resultados e um robô ACL, adicione as URLs da API HighBond à lista de permissões. Você pode ignorar esse requisito se não precisar transmitir dados entre qualquer um dos aplicativos e um robô ACL.
Coloque na lista de permissões somente as URLs para a região onde sua conta do Diligent One está localizada.
Para mais informações sobre a API HighBond, consulte Referência da API HighBond.
| Região do Diligent One | URLs da API HighBond |
|---|---|
América do Norte (EUA) Nome da AWS: Leste dos EUA (Virgínia do Norte) |
Observação Para cada domínio, adicione ambas as URLs à lista de permissões. |
África (África do Sul) Nome da AWS: África (Cidade do Cabo) |
|
Ásia-Pacífico (Austrália) Nome da AWS: Ásia-Pacífico (Sydney) |
|
Ásia-Pacífico (Japão) Nome da AWS: Ásia-Pacífico (Tóquio) |
|
Ásia-Pacífico (Singapura) Nome da AWS: Ásia-Pacífico (Singapura) |
|
Europa (Alemanha) Nome da AWS: Europa (Frankfurt) |
|
Europa (Londres) Nome da AWS: Europa (Londres) |
|
América do Norte (Canadá) Nome da AWS: Canadá (Central) |
|
América do Sul (Brasil) Nome da AWS: América do Sul (São Paulo) |
|
| AWS GovCloud (U.S. Federal) |
|
| AWS GovCloud (Estado dos EUA, local e educacional) |
|
Direitos e permissões de login da conta
Dois tipos de contas exigem direitos e permissões de login do Windows no servidor em que o Agente do Robôs está instalado:
- contas de serviçousadas para executar os dois serviços do Windows do Agente do Robôs
- contas de usuário individualusadas para acessar as tabelas de saída do Analytics geradas pelas tarefas do Robôs
Usuários individuais com uma instalação da área de trabalho do Analytics podem usar o aplicativo como um cliente da área de trabalho para se conectar às tabelas de saída armazenadas no servidor do Agente do Robôs.
Os direitos e permissões específicos de login exigidos pelas contas estão descritos abaixo.
Direitos de login na conta
A tabela abaixo descreve os direitos de login necessários para as contas que exigem acesso ao servidor do Agente do Robôs. Não conceda nenhum direito de login a uma conta além dos especificados abaixo. Os direitos de login são especificados na área Atribuições de direitos de usuário da política de segurança do Windows.
A restrição de direitos de login diminui o risco de alguém obter acesso não autorizado ao servidor do Agente do Robôs.
| Conta | Permitir login local | Negar login local | Fazer logon como um serviço |
|---|---|---|---|
| Conta de serviço do Agente do Robôs | Não | Sim | Sim |
| Conta do Serviço de Dados do Robôs | Não | Sim | Sim |
Conta de usuário (usuários do Analytics) | Sim | Não | Não |
Permissões da conta
Permissões da conta de serviço
| Nome do serviço do Windows | Porta | Conta para executar o serviço | Permissões necessárias para a conta de serviço |
|---|---|---|---|
Agente do Robôs (executa tarefas agendadas e ad hoc do Robôs) | 443 somente saída | Use um dos seguintes:
Não use:
Observação Se a conta especificada usa uma senha que expira, não deixe de implementar um processo para manter a senha atualizada. |
|
Serviço de dados do Robôs (fornece a conectividade que permite aos usuários abrir as tabelas do Agente do Robôs no Analytics) | 10000 (padrão) Você pode especificar qualquer porta disponível entre 0 e 65536. | Sistema local |
|
Permissões da conta de usuário
As tabelas de análise geradas pelas tarefas do Robôs são armazenadas no servidor em que o Agente do Robôs está instalado. Os usuários podem se conectar a essas tabelas e abri-las na cópia instalada localmente do Analytics, se tiverem as permissões descritas abaixo. (Para obter mais informações, consulte Exibição das tabelas, arquivos e logs em um robô ACL.)
Restringindo o acesso do usuário ao servidor do Agente do Robôs
Se sua organização não deseja que os usuários tenham acesso ao servidor do Agente do Robôs, você pode adotar uma abordagem diferente. Os scripts de análises nas tarefas do Robôs podem ser gravados para gerar resultados em um tipo de arquivo como Excel ou delimitado. Os usuários podem baixar esses tipos de arquivos diretamente do aplicativo Robôs baseado em nuvem, sem a necessidade de acesso ao servidor do Agente do Robôs.
Uma abordagem combinada
Você também pode usar uma abordagem combinada para fornecer acesso aos resultados da saída da tarefa:
- Usuários normaisFaça com que usuários normais baixem os resultados contidos em arquivos delimitados ou do Excel usando o aplicativo Robôs na nuvem
- Desenvolvedores e arquitetosPermita que desenvolvedores de análise e arquitetos de dados acessem as tabelas de resultados do Analytics no servidor do Agente do Robôs
Permissões para usuários do Analytics
Se você deseja permitir que alguns ou todos os usuários do Analytics acessem as tabelas do Analytics no servidor do Agente do Robôs, especifique as permissões descritas abaixo.
Cuidado
Não conceda permissões de usuários individuais para todo o diretório C:\acl no servidor do Agente do Robôs ou para qualquer pasta além do especificado abaixo.
Restringir o acesso à pasta apenas para as contas necessárias e apenas para as pastas necessárias diminui o risco de alguém obter acesso não autorizado ao servidor do Agente do Robôs. Além disso, evita que um script do Analytics obtenha acesso ou modifique arquivos fora das pastas adequadas.
| Item | Permissões da conta de usuário necessárias |
|---|---|
Pasta de instalação do Serviço de Dados de Robôs |
|
Executável do Serviço de Dados do Robôs (aclse.exe) |
|
Pasta de dados do Agente do Robôs (contém tabelas de resultados do Analytics geradas por tarefas do Robôs) |
Observação Essa permissão pode ser concedida a toda a pasta \data ou pode ser limitada das seguintes maneiras:
|
Pasta de Prefixo do Serviço de Dados do Robôs (o diretório de trabalho do Analytics quando conectado ao servidor do Agente do Robôs contém tabelas de saída e arquivos de índice do Analytics salvos do Analytics no servidor) |
|
