Abonnieren

UiPath Automation Suite

Die Anleitung für die UiPath Automation Suite

Konfigurieren der Active Directory-Integration

Sie können SSO mit der Windows-Authentifizierung aktivieren und die Funktionalität der Verzeichnissuche mit der Active Directory-Integration aktivieren.
Mit der Verzeichnissuche können Sie nach Verzeichniskonten und -gruppen suchen und mit ihnen arbeiten, wie Sie es auch mit lokalen Konten tun.

Bekannte Einschränkungen

  • Directory search does not find users from an external trust domain. This feature is not supported because there isn't a mutually-trusted authority with external trusts.
  • Die Windows-Authentifizierung verwendet das Kerberos-Protokoll in der Automation Suite, daher kann die Windows-Anmeldung nur mit Maschinen verwendet werden, die der Domäne hinzugefügt wurden.

Schritt 1. Konfigurieren der Active Directory-Integration


Arbeiten Sie mit Ihren IT-Administratoren zusammen, um sicherzustellen, dass der Automation Suite-Cluster auf Ihr Active Directory (AD) zugreifen kann.

Die Active Directory-Integration kann mit einer von zwei Optionen konfiguriert werden:
a. Kerberos-Authentifizierung
b. Benutzername und Kennwort

Instructions for each are available below. Follow the ones that apply for your selected authentication protocol.

Die Kerberos-Authentifizierung wird empfohlen, da sie mehr Szenarien unterstützt:

Scenario

Username and password

Kerberos Authentication

Directory search for domains in the same forest

Supported

Supported

Directory search for domains in a trusted forest

Not supported

Supported

Directory search for external trust domains

Not supported

Not supported

A. Kerberos-Konfiguration (empfohlen)

  1. Konfigurieren Sie die Kerberos-Authentifizierung gemäß den Anweisungen unter Einrichten der Kerberos-Authentifizierung.
  2. Melden Sie sich als Systemadministrator beim Hostportal der Automation Suite an.
  3. Gehen Sie zu den Sicherheitseinstellungen.
  4. Klicken Sie im Abschnitt Externe Anbieter unter Active Directory auf Konfigurieren.
    • Select the Enabled checkbox to enable the integration.
    • Select the Force automatic login using this provider checkbox if you want to only allow login with Active Directory accounts. Only do this if the integration with the provider has been successfully validated to prevent lockout.
    • In the Display Name field, type the text you want to show under this login option on the Login page.
    • Leave the Use Kerberos Auth checkbox selected.
  5. Klicken Sie auf Testen und Speichern, um Ihre Änderungen zu speichern.
  6. Restart the identity-service-api-* pod.
    a. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
    b. Führen Sie den folgenden Befehl aus:
    kubectl -n uipath rollout restart deployment identity-service-api

b. Username and password configuration

When you use this option, UiPath service uses credentials provided in clear text to communicate with Active Directory. To prevent this, we recommend using LDAP over SSL (LDAPS) with this configuration.
Only users from the same forest as the one configured in this page can interact with the UiPath cluster. Users from trusted forests will not be able to login to this UiPath cluster.

b.1. Prerequisite for using LDAPS

If you intend to use LDAP over SSL (LDAPS), then you must first configure LDAP over SSL in your AD environment and obtain the root certificate to be used in UiPath cluster configuration.

  1. Obtain and install the SSL certificate for LDAPS on each domain controller.
    For more information and instructions, see the article LDAP over SSL (LDAPS) Certificate.
  2. Encode the root certificate in Base64 by running the following command:
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  1. Add the encoded root certificate in ArgoCD:
    a. Log in to ArgoCD.
    b. Select and go to the uipath application.
    c. In the top left corner, click APP DETAILS.
    d. In the Parameters section, search for the parameter global.userInputs.certificate.identity.ldaps.customRootCA.
    e. Update the value of the parameter to the encoded content you obtained earlier.
    f. Save.
    g. Click SYNC to apply your changes.

b.2. Active Directory configuration

  1. Melden Sie sich als Systemadministrator beim Hostportal der Automation Suite an.
  2. Gehen Sie zu den Sicherheitseinstellungen.
  3. Klicken Sie im Abschnitt Externe Anbieter unter Active Directory auf Konfigurieren.
    • Aktivieren Sie das Kontrollkästchen Aktiviert.
    • If you want to only allow login with Active Directory accounts, select the Force automatic login using this provider checkbox.
    • (Optional, but strongly recommended) Select the Use LDAP over SSL (LDAPS) checkbox.
    • The Use Kerberos Auth checkbox must be cleared.
    • In the Display Name field, type the name you want to show on the Login page for this sign in option.
    • Geben Sie im Feld Standarddomäne Ihren vollqualifizierten Domänennamen (FQDN) für Active Directory (AD) ein.
    • In the Username field, type the user name of an AD user. It needs to be in the format DOMAIN\username. For example, TESTDOMAIN\user1.
    • Geben Sie im Feld Benutzerkennwort das Kennwort für das obige AD-Konto ein.
  4. Klicken Sie auf Testen und Speichern, um die Änderungen zu übernehmen.
  5. Restart the identity-service-api-* pod.
    a. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
    b. Führen Sie den folgenden Befehl aus:
    kubectl -n uipath rollout restart deployment identity-service-api

Fehlersuche und ‑behebung

Domain unreachable

If you get the error Domain unreachable, check the DNS routing using the command getent ahosts <AD domain>.
If it does not return an IP address, check the node /etc/resolv.conf. The nameserver value should point to the AD Domain DNS. If not, reach out to your system administrator for proper configuration.

If the node runs on Azure, follow the instructions in Name resolution for resources in Azure virtual networks.
Eine Möglichkeit hierfür ist:

  1. Wechseln Sie in Azure zum virtuellen Knotennetzwerk und legen Sie die DNS-Server des virtuellen Netzwerks auf die Active Directory-DNS fest.
  2. Ausführen (Run) systemctl restart NetworkManager.service and check if /etc/resolv.conf is updated.
  3. Starten Sie das Cluster-Kern-DNS von ArgoCD aus neu.

Domain unreachable while using LDAPS

If you get the error Domain unreachable when LDAPS is enabled, it may be caused by having the wrong certificate in use.

Check if you have multiple certificates valid for Server Authentication in the LDAP server's local computer certificate store. If so, a different certificate than the one you want may be used for LDAPS communications.
The easiest resolution is to remove all unnecessary certificates from the local computer certificate store and have only one certificate that is valid for server authentication.

 

Schritt 2. Konfigurieren einer Windows-Authentifizierung


Voraussetzung

Obtain the <KERB_DEFAULT_KEYTAB>, which is the base64-encoded string of the keytab file generated as part of Kerberos setup.

Konfigurieren des Automation Suite-Clusters

  1. Gehen Sie zu Argo CD und melden Sie sich als Administrator an.
  2. Wählen Sie die „UiPath“-Anwendung aus und öffnen Sie sie.
  3. Klicken Sie in der linken oberen Ecke auf APP DETAILS.
  4. In the PARAMETERS section, search for the global.userInputs.identity.krb5KeytabSecret parameter.
    Der Parameter hat standardmäßig einen Platzhalterwert.
  5. Update the parameter's placeholder value with <KERB_DEFAULT_KEYTAB>, and then save.
  6. Klicken Sie auf SYNC, um die Änderungen zu übernehmen.
  7. After a successful sync, run the command kubectl -n uipath rollout restart deployment identity-service-api to restart the Identity Server.

Schritt 3. Browserkonfiguration


Microsoft Internet Explorer

Nicht unterstützt.

Microsoft Edge

Keine zusätzliche Konfiguration erforderlich.

Google Chrome

Normalerweise funktioniert Google Chrome ohne zusätzliche Konfiguration.
Wenn dies nicht der Fall ist, befolgen Sie die nachstehenden Anweisungen.

  1. Gehen Sie zu Tools > Internetoptionen > Sicherheit.
  2. Wählen Sie Lokales Intranet aus.
  3. Klicken Sie auf Seiten.
  4. Stellen Sie sicher, dass die Option Automatisches Erkennen des Intranet-Netzwerks ausgewählt ist oder dass alle Optionen ausgewählt sind.
  5. Klicken Sie auf Erweitert.
  6. Fügen Sie den FQDN der Automation Suite zum lokalen Intranet hinzu.
  7. Klicken Sie auf Schließen und OK.
  8. Klicken Sie auf Benutzerdefinierte Ebene.
  9. Wählen Sie unter Benutzerauthentifizierung gegebenenfalls die Option Automatische Anmeldung nur in der Intranet-Zone aus
    Wenn diese Option ausgewählt ist, prüft der Browser die Quelle der Anforderung, wenn er die Authentifizierungsanforderung für die Umleitung erhält. Wenn die Domäne oder IP zum Intranet gehört, sendet der Browser den Benutzernamen und das Kennwort automatisch. Andernfalls öffnet der Browser ein Eingabedialogfeld für Benutzernamen und Kennwort und erwartet eine manuelle Eingabe.
  10. Wählen Sie unter Benutzerauthentifizierung gegebenenfalls die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort aus.
    Wenn diese Option ausgewählt ist, sendet der Browser im Hintergrund den Benutzernamen und das Kennwort, wenn er die Authentifizierungsanforderung für die Umleitung erhält. Wenn das Authentifizierungsergebnis erfolgreich ist, setzt der Browser mit der ursprünglichen Aktion fort. Wenn die Authentifizierung fehlschlägt, öffnet der Browser ein Eingabedialogfeld für den Benutzernamen und das Kennwort und wiederholt die Authentifizierung, bis sie erfolgreich ist.
  11. Stellen Sie sicher, dass die Option Integrierte Windows-Authentifizierung aktivieren unter der Registerkarte Internetoptionen > Erweitert und im Abschnitt Sicherheit ausgewählt ist.

Mozilla Firefox

  1. Öffnen Sie das Fenster für die Browserkonfiguration.
  2. Geben Sie about:config in die Adressleiste ein.
  3. Geben Sie die Automation Suite-FQDNs an, für die Sie die Kerberos-Authentifizierung verwenden:
    a. Search for the term network.negotiate.
    b. Enable and set the following for Kerberos: network.negotiate-auth.delegation-uris (example value: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (example value: uipath-34i5ui35f.westeurope.cloudapp.azure.com), and network.negotiate-auth.allow-non-fqdn (value: true).

Schritt 4. Zulassen der Windows-Authentifizierung für die Organisation


Nachdem die Automation Suite jetzt mit der Windows-Authentifizierung integriert ist, können Benutzer, für die ein Benutzerkonto in der Automation Suite erstellt wird, die Windows-Option auf der Anmeldeseite verwenden, um sich bei der Automation Suite anzumelden.

300300

Jeder Organisationsadministrator muss dies für seine Organisation tun, wenn er die Anmeldung mit Windows-Anmeldeinformationen zulassen möchte.

  1. Melden Sie sich als Organisationsadministrator bei der Automation Suite an.
  2. Weisen Sie eine Rolle auf Organisationsebene einem Active Directory-Benutzer oder einer Gruppe zu, die Sie über die Suche auswählen können.
  3. Wiederholen Sie den obigen Schritt für jeden Benutzer, dem Sie die Anmeldung mit der Windows-Authentifizierung erlauben möchten.

Die Benutzer, denen Sie Rollen zugewiesen haben, können sich dann mit ihrem Active Directory-Konto bei der Automation Suite-Organisation anmelden. Sie müssen sich von einer Maschine aus anmelden, die mit der Domäne verbunden ist.

Fehlersuche und ‑behebung

Wenn Sie eine HTTP 500-Fehlermeldung erhalten, wenn Sie versuchen, sich mit Windows-Anmeldeinformationen anzumelden, sollten Sie Folgendes überprüfen:

a. Ist die Windows-Maschinen mit der Domäne verbunden?
Wechseln Sie auf der Maschine zu „Systemsteuerung“ > „System und Sicherheit“ > „System“ und überprüfen Sie, ob eine Domäne angezeigt wird. Wenn keine Domäne angezeigt wird, fügen Sie die Maschine zur Domäne hinzu. Maschinen müssen mit der Domäne verbunden sein, um die Windows-Authentifizierung mit dem Kerberos-Protokoll zu verwenden.

b. Können Sie sich bei der Windows-Maschine mit den gleichen Anmeldeinformationen anmelden?
Wenn nicht, bitten Sie Ihren Systemadministrator um Hilfe.

c. Verwenden Sie einen anderen Browser als Microsoft Edge?
Additional configuration is required for supported browsers other than Microsoft Edge.

d. Überprüfen Sie die Keytab-Konfiguration:

  • After generating the keytab, on the Active Directory server, the AD user's property (servicePrincpalName) should be of the form HTTP/<Service Fabric FQDN> - for example, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

  • Die Option Dieses Konto unterstützt die Kerberos AES 256-Bit-Verschlüsselung muss für das Benutzerkonto in AD ausgewählt sein.
    Wenn sie nicht ordnungsgemäß konfiguriert ist, können Sie im Identity-Service-API-Protokoll Folgendes sehen:

Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/[email protected] kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

e. Wenn Sie mehrere Active Directorys in der von Ihnen verwendeten Domäne konfiguriert haben, schlägt die Authentifizierung fehl und im Identity-Service-API-Protokoll sehen Sie Folgendes:

kinit: Client '[email protected]' not found in Kerberos database while getting initial credentials

Stellen Sie in diesem Fall sicher, dass das für die Authentifizierung erstellte Maschinenkonto in alle Active Directorys repliziert wird.

f. If you run ktpass and assign a new password to the user account, the key version (kvno) increases and invalidates the old keytab. In the identity-service-api log, you can see:

Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date

In this case, you need to update krb5KeytabSecret in ArgoCD.

g. If you see the following error in the identity-service-api pod:

GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).

First check if you provided the global.userInputs.identity.krb5KeytabSecret parameter in ArgoCD.
If the parameter exists, verify if you can log into the Windows machine with the credentials of the AD user used to generate the keytab. Note that you must regenerate the keytab if the password was changed or expired.
Another possible cause of this issue is that ArgoCD was previously synced incorrectly. To fix the problem, remove the existing global.userInputs.identity.krb5KeytabSecret, sync ArgoCD, and once the operation is successful, update global.userInputs.identity.krb5KeytabSecret, and sync again.

h. Does the browser use the expected SPN?
If Kerberos event logging is enabled by following these instruction, you will see the KDC_ERR_S_PRINCIPAL_UNKNOWN error in the Kerberos event logs. For details on this issue, see Microsoft documentation.
To solve this issue, disable the CNAME lookup when negotiating Kerberos authentication by modifying the group policy. For details, see instructions for Google Chrome and for Microsoft Edge.

Aktualisiert vor 4 Monaten


Konfigurieren der Active Directory-Integration


Sie können SSO mit der Windows-Authentifizierung aktivieren und die Funktionalität der Verzeichnissuche mit der Active Directory-Integration aktivieren.
Mit der Verzeichnissuche können Sie nach Verzeichniskonten und -gruppen suchen und mit ihnen arbeiten, wie Sie es auch mit lokalen Konten tun.

Auf API-Referenzseiten sind Änderungsvorschläge beschränkt

Sie können nur Änderungen an dem Textkörperinhalt von Markdown, aber nicht an der API-Spezifikation vorschlagen.