インストールのセキュリティ保護
DAI インストールのセキュリティを確保するには、DAI 設定とそれが実行される環境を構成する必要があります。それぞれに関する考慮事項は、次のセクションで説明します。
セキュリティに対する脅威は常に進化する課題ですが、��このページでは、DAI インストールのセキュリティを確保するために使用できる考慮事項と方法に関する情報を提供します。
安全な環境へのデプロイ
会社で実装されているセキュリティは、DAI インストールのセキュリティ レイヤーでもあります。ネットワーク ファイアウォール、ユーザー アクセス管理、オペレーティング システムのセキュリティ機能はすべて、会社のシステムのセキュリティ保護に役立ちます。次に、DAI インストールのセキュリティも向上させる会社のセキュリティ対策をいくつか示します。
ファイアウォールを使用する
会社のファイアウォールは、ネットワーク上の着信トラフィックと発信トラフィックを制限することでセキュリティを提供します。
DAI サーバーはファイアウォールを通過できるようにする必要があります。詳細については、以下の Be Aware of Port Usage を参照してください。
ユーザーアクセスを制御する
会社の IT 部門は、ユーザー アクセスを管理することで、DAI をインストールして実行するマシンを含むネットワークとシステムをセキュリティで保護します。DAI はユーザー アカウント管理も提供し、ロールを使用してその資産へのアクセスを制御します。会社がユーザー アカウント管理に Microsoft Entra ID などの ID プロバイダーを使用している場合は、それを DAI と統合できます。この統合の目的は、DAI ユーザーの利便性のためにシングル サインオン (SSO) 認証を有効にすることですが、ID プロバイダーでユーザー アカウント管理を一元化することもできます。この統合の詳細については、以下の DAI で SSO を有効にする を参照してください。
DAI がインストールされているドライブを暗号化する
DAI インストールがオンプレミス ("オンプレミス") Windows インストールである場合は、DAI をインストールする予定のシ�ステムのハード ドライブを暗号化することを検討してください。これにより、適切なキーまたはパスワードを持たないユーザーがドライブにアクセスできなくなります。
最適なセキュリティのための DAI の構成
次のトピックでは、インストールのセキュリティを強化するために DAI を構成する方法について説明します。
最新の DAI バージョンにアップグレードする
DAI インストールを最新バージョンに保つことで、DAI で利用可能な最新のセキュリティ更新が確実に適用されます。利用可能な最新バージョンについては、DAI Downloads ページを参照してください。各リリースのリリース ノートに更新の一覧が記載されています。
安全なインストールと構成オプションを選択する
次のセキュリティ関連の構成オプションでは、「詳細」インストールを実行するか、インストール後に DAI 構成を変更する必要があります。これらのオプシ��ョンを設定すると DAI の動作に影響する可能性があるため、ご質問やサポートが必要な場合は、カスタマー サポート にお問い合わせください。
| セキュリティオプション | 説明 |
|---|---|
| SSL で HTTPS を使用するように DAI を構成する | For Windows on-prem installations: インストール中に"Advanced Install"を実行して、DAI が Secure Sockets Layer (SSL) インターネット セキュリティ プロトコルで HTTPS を使用するように構成する必要があります。HTTPS を使用するように DAI を構成するには、信頼された証明書と PEM 形式の SSL キーが必要です。詳細については、Run an Advanced InstallおよびAdd Settings for Self-Signed SSL Secure Certificatesを参照してください。 |
| TLS証明書を使用するようにDAIコンテナを構成する | For Container deployments: TLS 証明書の使用は必須です。Configuring TLS の説明に従って、トランスポート層セキュリティ (TLS) を使用するように DAI を構成する必要があります。 |
| DAIメッセージブローカー通信を暗号化する | DAI は、コンポーネント間の通信を処理するために RabbitMQ メッセージ ブローカーを組み込みます。DAI 構成ファイルで変数を指定することにより、これらの通信を暗号化するように DAI を構成できます。詳細については、Encrypt RabbitMQ Communications を参照してください。 |
| DAI SMTPサーバー接続を保護する | SMTP サーバーへの接続は DAI サーバーとは別のマシン上にある可能性が高いため、SMTP サーバーへの安全な接続を使用するように DAI を構成する必要があります。オプションについては、SMTP Settings を参照してください。 |
ポートの使用に注意してください
DAI は、その動作の一環として多数のポートを使用します。会社のファイアウォールを通過できるようにする必要があるのは、DAI サーバー ポート (8000) のみです。DAI が使用するポートの大部分は、同じネットワーク内のプロセスとサービス間の内部通信に使用されます。次の表は、さまざまなタイプのポートの使用について説明しています。
| ポートの使用 | 説明 |
|---|---|
| DAI デフォルト ポート | デフォルトでは、Windows 上の DAI インストールでは、ポート 8000 がサーバーに割り当てられます。This is the ony one that needs to be allowed access through your company firewall。Change the Eggplant DAI Port on Windows の手順に従って変更できます。DAI は、デフォルトで他のいくつかのポートも内部的に使用します。これは、DAI 前提条件ページの Default Port Usage で確認できます。必要に応じて、これらのデフォル�ト ポートを変更できます。手順は、Post-Installation Configuration ページの Post-Installation Configurationdai-windows-configuration.md セクションに記載されています。 |
| eggplant機能接続ポート | DAI 設計および実行エージェントは、テスト スクリプトを実行するコンポーネントである Eggplant Functional (EPF) と通信します。Eggplant は、Agent command line arguments で構成する EGGDRIVE_PORT で DAI からのコマンドをリッスンします。 |
| テスト対象システム (SUT) 接続のデフォルト ポート | DAI は、リモート SUT に接続してテストを実行できます。一部の SUT 接続タイプにはポートが必要で、デフォルト ポートがあります。デフォルトの SUT ポートの詳細については、DAI の前提条件ページの Default Ports for SUT Connections を参照してください。接続を作成するときに SUT ポートを指定する方法については、Managing SUTs in DAI を参照してください。 |
DAI で SSO を有効にする
DAI には、ID およびアクセス プロバイダーとして機能する「Keycloak」という製品が組み込まれています。Keycloak は、DAI 内でユーザーとその権限を管理します。会社が Entra ID などのネットワーク ID プロバイダーを使用してユーザーを管理している場合は、DAI と Keycloak をその ID プロバイダーと統合するオプションがあります。この統合により、ID プロバイダーがユーザー データを管理し、DAI は引き続き DAI アクセス グループとそれらのグループのメンバーシップを所有および管理します。
DAI を ID プロバイダーと統合する主な利点は、DAI ユーザーにとってシングル サインオン (SSO) 機能が便利になることです。ただし、IT 部門が管理する ID プロバイダーを使用することで、ユーザー アカウント管理 (ユーザーのプロビジョニングとデプロビジョニング) も簡素化されます。DAI で SSO を有効にする方法の詳細については、DAI でのシングル サインオン (SSO) 認証の統合 を参照してください。
DAI ロールでユーザーアクセスを制限する
DAI アセット (モデル、テスト ケース、API、ライセンスなど) へのユーザー アクセスを制御するために、DAI では、Viewer、User、Admin の 3 つのロールをユーザーに割り当てることができます。Admin ロールには、タスクを実行する管理者権限があります。さまざまなロールと、それぞれが持つ権限の詳細については、About Eggplant Roles を参照してください。
DAI で管理者権限を持つユーザーの数を制限するには、DAI 管理者ロールが割り当てられているユーザーの数を制限する必要があります。
テストアセットへの安全なアクセス
次の表は、DAI テスト資産を保護するために実行できるいくつかのことを示しています。
| オプション | 説明 |
|---|---|
| インストール場所へのアクセスを制限する | For Windows on-premises ("on-prem") installations: DAI インストール ディレクトリ (C:\ProgramData\Eggplant\Digital Automation Intelligence\) へのユーザー アクセスを制限します。このディレクトリには、DAI 構成ファイル (config.yml) とそのサブディレクトリが含まれます。 |
| DAI PostgreSQL データベース | DAI は、モデル、テスト、ライセンスに関する情報を含むデータを PostgreSQL データベースに保存します。データベース内の機密データを含む列は暗号化されます。 For added security in Windows on-prem installation: 上記の Encrypt the Drive Where DAI is Installed で説明されているように、DAI がインストールされているドライブ全体を暗号化することを検討してください。 For container deployments: Deploying Eggplant DAI in Containers の PostgreSQL セクションで説明されているように、認証情報を使用してシークレットを作成します。 |
| テストスイートを安全に保存する | DAI には、テスト スイートを保護するための 2 つのオプションがあります。 - DAI 内部ストレージ。DAI 内部ストレージの詳細については、Manage Suites (Internal Storage)(DAI Design Agent) を参照してください。 - Git リポジトリとの統合。Git 統合の詳細については、Working with Repositories in DAI を参照してください。 |