- Erste Konfiguration
- Hostadministration
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Verwalten von Systemadministratoren
- Erstellen oder Löschen von Organisationen
- Prüfungsprotokolle für das Hostportal
- Konfigurieren der Active Directory-Integration
- Konfigurieren von SSO: SAML 2.0
- Konfigurieren von SSO: Google
- Konfigurieren von SSO: Azure AD
- Anpassen der Anmeldeseite
- Organisationsadministration
- Konten und Rollen
- Lizenzierung
Konfigurieren der Active Directory-Integration
Sie können SSO mit der Windows-Authentifizierung aktivieren und die Verzeichnissuchfunktion mit der Active Directory-Integration aktivieren. Mit der Verzeichnissuche können Sie nach Verzeichniskonten und -gruppen suchen und mit diesen arbeiten, wie Sie es mit lokalen Konten tun würden.
- Die Verzeichnissuche findet keine Benutzer aus einer externen Vertrauensdomäne. Diese Funktion wird nicht unterstützt, da keine vertrauenswürdige Instanz mit externen Vertrauensstellungen vorhanden ist.
- Die Windows-Authentifizierung verwendet das Kerberos-Protokoll in der Automation Suite, daher kann die Windows-Anmeldung nur mit Maschinen verwendet werden, die der Domäne hinzugefügt wurden.
Arbeiten Sie mit Ihren IT-Administratoren zusammen, um sicherzustellen, dass der Automation Suite-Cluster auf Ihr Active Directory (AD) zugreifen kann.
Die Active Directory-Integration kann mit einer von zwei Optionen konfiguriert werden:
- Kerberos-Authentifizierung
- UsernameAndPassword
Die Kerberos-Authentifizierung wird empfohlen, da sie mehr Szenarien unterstützt:
Szenario |
UsernameAndPassword |
Kerberos-Authentifizierung |
---|---|---|
Verzeichnissuche nach Domänen in derselben Gesamtstruktur |
Wird unterstützt |
Wird unterstützt |
Verzeichnissuche nach Domänen in vertrauenswürdiger Gesamtstruktur |
Nicht unterstützt |
Wird unterstützt |
Verzeichnissuche nach externen, vertrauenswürdigen Domänen |
Nicht unterstützt |
Nicht unterstützt |
Alte Administratorerfahrung
Wenn Sie den Umschalter Neue Administratorumgebung deaktiviert haben, folgen Sie diesen Anweisungen:
B.1. Voraussetzung für die Verwendung von LDAPS
Wenn Sie LDAP over SSL (LDAPS) verwenden möchten, müssen Sie zunächst LDAP over SSL in Ihrer AD-Umgebung konfigurieren und das Stammzertifikat erhalten, das in der UiPath-Clusterkonfiguration verwendet werden soll.
Bekanntes Problem: Das konfigurierte LDAPS-Zertifikat wird beim Upgrade nicht beibehalten. Daher ist es nach einem Upgrade erforderlich, das LDAPS-Zertifikat erneut hinzuzufügen, damit sichere LDAP-Verbindungen funktionieren.
b.2. Active Directory-Konfiguration
Alte Administratorerfahrung
Wenn Sie den Umschalter Neue Administratorumgebung deaktiviert haben, folgen Sie diesen Anweisungen:
Fehlersuche und ‑behebung
Domäne nicht erreichbar.
Domain unreachable
erhalten, überprüfen Sie das DNS-Routing mithilfe des Befehls getent ahosts <AD domain>
.
/etc/resolv.conf
-Knoten. Der Nameserver-Wert muss auf den AD Domänen-DNS verweisen. Wenn dies nicht der Fall ist, wenden Sie sich an Ihren Systemadministrator, um die richtige Konfiguration zu erhalten.
Wenn der Knoten bei Azure ausgeführt wird, befolgen Sie die Anweisungen in der Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.
Eine Möglichkeit hierfür ist:
- Wechseln Sie in Azure zum virtuellen Knotennetzwerk und legen Sie die DNS-Server des virtuellen Netzwerks auf die Active Directory-DNS fest.
-
Überprüfen Sie, ob
/etc/resolv.conf
aktualisiert wird, indem Sie den folgenden Befehl ausführen:systemctl restart NetworkManager.service
- Starten Sie das Cluster-Kern-DNS von ArgoCD aus neu.
Domäne bei Verwendung von LDAPS nicht erreichbar
Domain unreachable
erhalten, wenn LDAPS aktiviert ist, kann dies daran liegen, dass das falsche Zertifikat verwendet wird.
Überprüfen Sie, ob Sie mehrere für die Serverauthentifizierung gültige Zertifikate im lokalen Zertifikatspeicher des LDAP-Servers zur Verfügung haben. In diesem Fall wird für die LDAPS-Kommunikation möglicherweise ein anderes als das gewünschte Zertifikat verwendet.
Am einfachsten ist es, alle unnötigen Zertifikate aus dem Zertifikatsspeicher des lokalen Computers zu entfernen und nur ein Zertifikat zu verwenden, das für die Serverauthentifizierung gültig ist.
<KERB_DEFAULT_KEYTAB>
ab, den base64-codierten String der Keytab-Datei, die als Teil der Kerberos-Einrichtung generiert wurde.
Wichtiger Hinweis:
Überspringen Sie diesen Schritt, wenn Sie die Automation Suite bereits als Kerberos-Client konfiguriert haben, indem Sie das im Handbuch Konfigurieren der Automation Suite als Kerberos-Client beschriebene Verfahren befolgen.
Wenn Sie die Active Directory-Integration über die Benutzername- und Kennwortmethode konfiguriert haben, was nicht empfohlen wird, führen Sie die folgenden Schritte aus:
Normalerweise funktioniert Google Chrome ohne zusätzliche Konfiguration.
Wenn dies nicht der Fall ist, befolgen Sie die nachstehenden Anweisungen.
- Öffnen Sie das Fenster für die Browserkonfiguration.
- Geben Sie about:config in die Adressleiste ein.
- Geben Sie die Automation Suite-FQDNs an, für die Sie die Kerberos-Authentifizierung verwenden:
- Suchen Sie nach dem Begriff
network.negotiate
. - Aktivieren und legen Sie Folgendes für Kerberos fest:
network.negotiate-auth.delegation-uris
(Beispielwert:uipath-34i5ui35f.westeurope.cloudapp.azure.com
),network.negotiate-auth.trusted-uris
(Beispielwert:uipath-34i5ui35f.westeurope.cloudapp.azure.com
) undnetwork.negotiate-auth.allow-non-fqdn
(Wert:true
).
- Suchen Sie nach dem Begriff
Nachdem die Automation Suite jetzt mit der Windows-Authentifizierung integriert ist, können Benutzer, für die ein Benutzerkonto in der Automation Suite erstellt wird, die Windows-Option auf der Anmeldeseite verwenden, um sich bei der Automation Suite anzumelden.
Jeder Organisationsadministrator muss dies für seine Organisation tun, wenn er die Anmeldung mit Windows-Anmeldeinformationen zulassen möchte.
- Melden Sie sich als Organisationsadministrator bei der Automation Suite an.
- Weisen Sie eine Rolle auf Organisationsebene einem Active Directory-Benutzer oder einer Gruppe zu, die Sie über die Suche auswählen können.
- Wiederholen Sie den obigen Schritt für jeden Benutzer, dem Sie die Anmeldung mit der Windows-Authentifizierung erlauben möchten.
Die Benutzer, denen Sie Rollen zugewiesen haben, können sich dann mit ihrem Active Directory-Konto bei der Automation Suite-Organisation anmelden. Sie müssen sich von einer Maschine aus anmelden, die mit der Domäne verbunden ist.
Wenn Sie eine HTTP 500-Fehlermeldung erhalten, wenn Sie versuchen, sich mit Windows-Anmeldeinformationen anzumelden, sollten Sie Folgendes überprüfen:
-
Ist die Windows-Maschinen mit der Domäne verbunden?
Wechseln Sie auf der Maschine zu „Systemsteuerung“ > „System und Sicherheit“ > „System“ und überprüfen Sie, ob eine Domäne angezeigt wird. Wenn keine Domäne angezeigt wird, fügen Sie die Maschine zur Domäne hinzu. Maschinen müssen mit der Domäne verbunden sein, um die Windows-Authentifizierung mit dem Kerberos-Protokoll zu verwenden.
-
Können Sie sich bei der Windows-Maschine mit den gleichen Anmeldeinformationen anmelden?
Wenn nicht, bitten Sie Ihren Systemadministrator um Hilfe.
-
Verwenden Sie einen anderen Browser als Microsoft Edge?
Bei anderen unterstützten Browsern als Microsoft Edge ist eine zusätzliche Konfiguration erforderlich.
- Überprüfen Sie die Keytab-Konfiguration:
- Nach dem Generieren der Keytab sollte die Eigenschaft des AD-Benutzers auf dem Active Directory Server (
servicePrincpalName
) in der FormHTTP/<Service Fabric FQDN>
sein – z. B.HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com
. -
Die Option Dieses Konto unterstützt die Kerberos AES 256-Bit-Verschlüsselung muss für das Benutzerkonto in AD ausgewählt sein.
Wenn sie nicht ordnungsgemäß konfiguriert ist, können Sie im Identity-Service-API-Protokoll Folgendes sehen:
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request. GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()
- Nach dem Generieren der Keytab sollte die Eigenschaft des AD-Benutzers auf dem Active Directory Server (
-
Wenn Sie mehrere Active Directorys in der von Ihnen verwendeten Domäne konfiguriert haben, schlägt die Authentifizierung fehl und im Identity-Service-API-Protokoll sehen Sie Folgendes:
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials
kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialsStellen Sie in diesem Fall sicher, dass das für die Authentifizierung erstellte Maschinenkonto in alle Active Directorys repliziert wird.
-
Wenn Sie
ktpass
ausführen und dem Benutzerkonto ein neues Kennwort zuweisen, erhöht sich die Schlüsselversion (kvno
) und macht die alte Keytab ungültig. Im Identity-Service-API-Protokoll sehen Sie dann Folgendes:In diesem Fall müssen SieRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of datekrb5KeytabSecret
in ArgoCD aktualisieren. -
Wenn der folgende Fehler im
identity-service-api
-Pod angezeigt wird:GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).-
Überprüfen Sie zuerst, ob Sie den Parameter
global.userInputs.identity.krb5KeytabSecret
in ArgoCD angegeben haben. Wenn der Parameter vorhanden ist, überprüfen Sie, ob Sie sich mit den Anmeldeinformationen des AD-Benutzers, der zum Generieren der Keytab verwendet wird, bei der Windows-Maschine anmelden können. Beachten Sie, dass Sie die Keytab neu generieren müssen, wenn das Kennwort geändert wurde oder abgelaufen ist. -
Eine weitere mögliche Ursache für dieses Problem ist, dass ArgoCD zuvor falsch synchronisiert wurde. Um das Problem zu beheben, entfernen Sie die vorhandene
global.userInputs.identity.krb5KeytabSecret
, synchronisieren Sie ArgoCD, und sobald der Vorgang erfolgreich ist, aktualisieren Sieglobal.userInputs.identity.krb5KeytabSecret
, und synchronisieren Sie erneut.
-
-
Verwendet der Browser den erwarteten SPN?
Wenn die Kerberos-Ereignisprotokollierung aktiviert wird, indem Sie diese Anweisungen befolgen, wird der FehlerKDC_ERR_S_PRINCIPAL_UNKNOWN
in den Kerberos-Ereignisprotokollen angezeigt. Weitere Informationen zu diesem Problem finden Sie in der Microsoft-Dokumentation.Deaktivieren Sie zur Lösung dieses Problems die CNAME-Suche bei der Aushandlung der Kerberos-Authentifizierung, indem Sie die Gruppenrichtlinie ändern. Weitere Informationen finden Sie in den Anweisungen für Google Chrome und für Microsoft Edge .
- Bekannte Einschränkungen
- Schritt 1. Konfigurieren der Active Directory-Integration
- A. Kerberos-Konfiguration (empfohlen)
- b. Konfiguration von Benutzername und Kennwort
- Schritt 2. Konfigurieren einer Windows-Authentifizierung
- Voraussetzung
- Konfigurieren des Automation Suite-Clusters
- Schritt 3. Browserkonfiguration
- Microsoft Internet Explorer
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Schritt 4. Zulassen der Windows-Authentifizierung für die Organisation
- Fehlersuche und ‑behebung