automation-suite
2024.10
false
Wichtig :
Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
UiPath logo, featuring letters U and I in white

Automation Suite-Administratorhandbuch

Letzte Aktualisierung 11. Nov. 2025

Konfigurieren der Active Directory-Integration

Warnung:

Die Active Directory-Integration wird mit der Automation Suite in AKS/EKS nicht unterstützt.

Sie können SSO mit der Windows-Authentifizierung aktivieren und die Funktionalität der Verzeichnissuche mit der Active Directory-Integration aktivieren. Mit der Verzeichnissuche können Sie nach Verzeichniskonten und -gruppen suchen und mit ihnen arbeiten, wie Sie es auch mit lokalen Konten tun.

Bekannte Einschränkungen

  • Die Verzeichnissuche findet keine Benutzer aus einer externen Vertrauensdomäne. Diese Funktion wird nicht unterstützt, da keine vertrauenswürdige Instanz mit externen Vertrauensstellungen vorhanden ist.
  • Die Windows-Authentifizierung verwendet das Kerberos-Protokoll in der Automation Suite, daher kann die Windows-Anmeldung nur mit Maschinen verwendet werden, die der Domäne hinzugefügt wurden.

Schritt 1. Konfigurieren der Active Directory-Integration

Arbeiten Sie mit Ihren IT-Administratoren zusammen, um sicherzustellen, dass der Automation Suite-Cluster auf Ihr Active Directory (AD) zugreifen kann.

Die Active Directory-Integration kann mit einer von zwei Optionen konfiguriert werden:

  1. Kerberos-Authentifizierung
  2. UsernameAndPassword

Die Kerberos-Authentifizierung wird empfohlen, da sie mehr Szenarien unterstützt, wie in der folgenden Tabelle beschrieben:

Szenario

UsernameAndPassword

Kerberos-Authentifizierung

Verzeichnissuche nach Domänen in derselben Gesamtstruktur

Wird unterstützt

Wird unterstützt

Verzeichnissuche nach Domänen in vertrauenswürdiger Gesamtstruktur

Nicht unterstützt

Wird unterstützt

Verzeichnissuche nach externen, vertrauenswürdigen Domänen

Nicht unterstützt

Nicht unterstützt

In einer Active Directory-Umgebung ist LDAPS eine häufig verwendete sichere Verbindung für Verzeichnisdienste. Beachten Sie, dass sich die LDAPS-Unterstützung nach dem verwendeten Authentifizierungsmechanismus richtet, wie in der folgenden Tabelle beschrieben:

Authentifizierungsmechanismus

LDAPS-Unterstützung

UsernameAndPassword

Wird unterstützt

Kerberos-Authentifizierung

Nicht unterstützt

A. Kerberos-Konfiguration (empfohlen)

  1. Konfigurieren Sie die Kerberos-Authentifizierung gemäß den Anweisungen unter Einrichten der Kerberos-Authentifizierung .
  2. Melden Sie sich als Systemadministrator beim Host-Portal an.
  3. Stellen Sie sicher, dass Host oben im linken Bereich ausgewählt ist, und wählen Sie dann Sicherheit aus.
  4. Wählen Sie unter Active Directory die Option Konfigurieren aus.
    • Aktivieren Sie optional das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten. Tun Sie dies nur, wenn die Integration mit dem Anbieter erfolgreich validiert wurde, um eine Sperrung zu verhindern.
    • Lassen Sie das Kontrollkästchen Kerberos-Authentifizierung verwenden aktiviert.
    • Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
  5. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern und zur vorherigen Seite zurückzukehren.
  6. Wählen Sie den Umschalter links neben Active Directory aus, um die Integration zu aktivieren.
  7. Starten Sie den identity-service-api-*-Pod neu.
    1. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
    2. Führen Sie den folgenden Befehl aus: kubectl -n uipath rollout restart deployment identity-service-api

Alte Administratorerfahrung

Wenn Sie den Umschalter Neue Administratorumgebung deaktiviert haben, folgen Sie diesen Anweisungen:

  1. Konfigurieren Sie die Kerberos-Authentifizierung gemäß den Anweisungen unter Einrichten der Kerberos-Authentifizierung.
  2. Melden Sie sich als Systemadministrator beim Host-Portal an.
  3. Gehen Sie zu den Sicherheitseinstellungen.
  4. Im Abschnitt Externe Anbieter wählen Sie Konfigurieren unter Active Directory aus.
    • Aktivieren Sie das Kontrollkästchen Aktiviert, um die Integration zu aktivieren.
    • Aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen, wenn Sie die Anmeldung nur mit Active Directory-Konten zulassen möchten. :fa-warning: Tun Sie dies nur, wenn die Integration mit dem Anbieter erfolgreich validiert wurde, um eine Sperrung zu verhindern.
    • Geben Sie im Feld Anzeigename den Text ein, der unter dieser Anmeldeoption auf der Seite Anmeldung angezeigt werden soll.
    • Lassen Sie das Kontrollkästchen Kerberos-Authentifizierung verwenden aktiviert.
  5. Wählen Sie Testen und Speichern aus, um Ihre Änderungen zu speichern.
  6. Starten Sie den identity-service-api-*-Pod neu.
    1. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
    2. Führen Sie den folgenden Befehl aus: kubectl -n uipath rollout restart deployment identity-service-api

b. Konfiguration von Benutzername und Kennwort

Wichtig: Wenn Sie diese Option verwenden, verwendet der UiPath®-Dienst die im Klartext bereitgestellten Anmeldeinformationen für die Kommunikation mit dem Active Directory. Um dies zu verhindern, wird empfohlen, LDAP über SSL (LDAPS) bei dieser Konfiguration zu verwenden.
Wichtig: Nur Benutzer aus derselben Gesamtstruktur wie der auf dieser Seite konfigurierten können mit dem UiPath-Cluster interagieren. Benutzer aus vertrauenswürdigen Gesamtstrukturen können sich nicht bei diesem UiPath-Cluster anmelden.
B.1. Voraussetzung für die Verwendung von LDAPS

Wenn Sie LDAP over SSL (LDAPS) verwenden möchten, müssen Sie zunächst LDAP over SSL in Ihrer AD-Umgebung konfigurieren und das Stammzertifikat erhalten, das in der UiPath-Clusterkonfiguration verwendet werden soll.

Hinweis:

Bekanntes Problem: Das konfigurierte LDAPS-Zertifikat wird beim Upgrade nicht beibehalten. Daher ist es nach einem Upgrade erforderlich, das LDAPS-Zertifikat erneut hinzuzufügen, damit sichere LDAP-Verbindungen funktionieren.

  1. Erwerben und installieren Sie das SSL-Zertifikat für LDAPS auf jedem Domänencontroller.

    Weitere Informationen und Anweisungen finden Sie im Artikel LDAP über das SSL-Zertifikat (LDAPS).

  2. Codieren Sie das Stammzertifikat in Base64, indem Sie den folgenden Befehl ausführen:
    [Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<Path to the .crt or .cer file>"))
  3. Fügen Sie das codierte Stammzertifikat in ArgoCD hinzu:
    1. Melden Sie sich bei ArgoCD an.
    2. Wählen Sie die UiPath-Anwendung aus und öffnen Sie sie.
    3. Wählen Sie in der oberen linken Ecke APP DETAILS aus.
    4. Suchen Sie im Abschnitt „Parameter“ nach dem Parameter global.userInputs.certificate.identity.ldaps.customRootCA.
    5. Aktualisieren Sie den Wert des Parameters auf den zuvor abgerufenen codierten Inhalt.
    6. Speichern Sie dies.
    7. Wählen Sie SYNC aus, um Ihre Änderungen übernehmen.
b.2. Active Directory-Konfiguration
  1. Melden Sie sich als Systemadministrator beim Host-Portal an.
  2. Stellen Sie sicher, dass Host oben im linken Bereich ausgewählt ist, und wählen Sie dann Sicherheit aus.
  3. Wählen Sie unter Active Directory die Option Konfigurieren aus.
    • Wenn Sie nur die Anmeldung mit Active Directory-Konten zulassen möchten, aktivieren Sie das Kontrollkästchen Automatische Anmeldung mit diesem Anbieter erzwingen.
    • Deaktivieren Sie das Kontrollkästchen Kerberos-Authentifizierung verwenden.
    • (Optional, aber dringend empfohlen) Aktivieren Sie das Kontrollkästchen LDAP über SSL (LDAPS) verwenden.
    • Geben Sie im Feld Anzeigename den Namen ein, der auf der Anmeldeseite für diese Anmeldeoption angezeigt werden soll.
    • Geben Sie im Feld Standarddomäne Ihren vollqualifizierten Domänennamen (FQDN) für Active Directory (AD) ein.
    • Geben Sie im Feld Benutzername den Benutzernamen eines AD-Benutzers ein. Die Eingabe muss das Format DOMAIN\username haben. Beispiel: TESTDOMAIN\user1.
    • Geben Sie im Feld Benutzerkennwort das Kennwort für das AD-Konto ein.
  4. Wählen Sie Testen und Speichern aus, um die Änderungen zu speichern und zur vorherigen Seite zurückzukehren.
  5. Wählen Sie den Umschalter links neben Active Directory aus, um die Integration zu aktivieren.
  6. Starten Sie den identity-service-api-*-Pod neu.
    1. Stellen Sie mit SSH eine Verbindung mit dem primären Server her.
    2. Führen Sie den folgenden Befehl aus: kubectl -n uipath rollout restart deployment identity-service-api

Schritt 2. Konfigurieren einer Windows-Authentifizierung

Voraussetzung

Rufen Sie <KERB_DEFAULT_KEYTAB> ab, den base64-codierten String der Keytab-Datei, die als Teil der Kerberos-Einrichtung generiert wurde.

Konfigurieren des Automation Suite-Clusters

Wichtiger Hinweis:

Überspringen Sie diesen Schritt, wenn Sie die Automation Suite bereits als Kerberos-Client konfiguriert haben, indem Sie das im Handbuch Konfigurieren der Automation Suite als Kerberos-Client beschriebene Verfahren befolgen.

Wenn Sie die Active Directory-Integration über die Benutzername- und Kennwortmethode konfiguriert haben, was nicht empfohlen wird, führen Sie die folgenden Schritte aus:

  1. Gehen Sie zu Argo CD und melden Sie sich als Administrator an.
  2. Wählen Sie die „UiPath“-Anwendung aus und öffnen Sie sie.
  3. Wählen Sie in der linken oberen Ecke APP DETAILS aus.
  4. Suchen Sie im Abschnitt PARAMETERS nach dem Parameter global.kerberosAuthConfig.userKeytab.

    Der Parameter hat standardmäßig einen Platzhalterwert.

  5. Aktualisieren Sie den Platzhalterwert des Parameters mit <KERB_DEFAULT_KEYTAB> und speichern Sie dann.
  6. Wählen Sie SYNC aus, um die Änderungen zu übernehmen.
  7. Starten Sie den Identity Server nach einer erfolgreichen Synchronisierung neu, indem Sie den folgenden Befehl ausführen:

    kubectl -n uipath rollout restart deployment identity-service-api

Schritt 3. Browserkonfiguration

Microsoft Internet Explorer

Nicht unterstützt.

Microsoft Edge

Keine zusätzliche Konfiguration erforderlich.

Google Chrome

Normalerweise funktioniert Google Chrome ohne zusätzliche Konfiguration.

Wenn es nicht funktioniert, führen Sie die folgenden Schritte aus:

  1. Gehen Sie zu Tools > Internetoptionen > Sicherheit.
  2. Wählen Sie Lokales Intranet aus.
  3. Wählen Sie Sites aus.
  4. Stellen Sie sicher, dass die Option Automatisches Erkennen des Intranet-Netzwerks ausgewählt ist oder dass alle Optionen ausgewählt sind.
  5. Auswählen von Erweitert.
  6. Fügen Sie den FQDN der Automation Suite zum lokalen Intranet hinzu.
  7. Wählen Sie Schließen und OK aus.
  8. Auswählen auf Benutzerdefinierter Ebene.
  9. Wählen Sie unter Benutzerauthentifizierung gegebenenfalls die Option Automatische Anmeldung nur in der Intranet-Zone aus

    Wenn diese Option ausgewählt ist, prüft der Browser die Quelle der Anforderung, wenn er die Authentifizierungsanforderung für die Umleitung erhält. Wenn die Domäne oder IP zum Intranet gehört, sendet der Browser den Benutzernamen und das Kennwort automatisch. Andernfalls öffnet der Browser ein Eingabedialogfeld für Benutzernamen und Kennwort und erwartet eine manuelle Eingabe.

  10. Wählen Sie unter Benutzerauthentifizierung gegebenenfalls die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort aus.

    Wenn diese Option ausgewählt ist, sendet der Browser im Hintergrund den Benutzernamen und das Kennwort, wenn er die Authentifizierungsanforderung für die Umleitung erhält. Wenn das Authentifizierungsergebnis erfolgreich ist, setzt der Browser mit der ursprünglichen Aktion fort. Wenn die Authentifizierung fehlschlägt, öffnet der Browser ein Eingabedialogfeld für den Benutzernamen und das Kennwort und wiederholt die Authentifizierung, bis sie erfolgreich ist.

  11. Stellen Sie sicher, dass die Option Integrierte Windows-Authentifizierung aktivieren unter der Registerkarte Internetoptionen > Erweitert und im Abschnitt Sicherheit ausgewählt ist.

Mozilla Firefox

  1. Öffnen Sie das Fenster für die Browserkonfiguration.
  2. Geben Sie about:config in die Adressleiste ein.
  3. Geben Sie die Automation Suite-FQDNs an, für die Sie die Kerberos-Authentifizierung verwenden:
    1. Suchen Sie nach dem Begriff network.negotiate.
    2. Aktivieren und legen Sie Folgendes für Kerberos fest: network.negotiate-auth.delegation-uris (Beispielwert: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (Beispielwert: uipath-34i5ui35f.westeurope.cloudapp.azure.com) und network.negotiate-auth.allow-non-fqdn (Wert: true).

Schritt 4. Zulassen der Windows-Authentifizierung für die Organisation

Nachdem die UiPath-Plattform jetzt in die Windows-Authentifizierung integriert ist, können Benutzer, für die ein Benutzerkonto in UiPath erstellt wird, die Windows -Option auf der Anmeldeseite verwenden, um sich bei der UiPath -Plattform anzumelden.

Abbildung 1. Windows-Anmeldeoption

Jeder Organisationsadministrator muss dies für seine Organisation tun, wenn er die Anmeldung mit Windows-Anmeldeinformationen zulassen möchte.

  1. Melden Sie sich als Organisationsadministrator an.
  2. Weisen Sie eine Rolle auf Organisationsebene einem Active Directory-Benutzer oder einer Gruppe zu, die Sie über die Suche auswählen können.
  3. Wiederholen Sie den vorherigen Schritt für jeden Benutzer, dem Sie die Anmeldung mit der Windows-Authentifizierung erlauben möchten.

Die Benutzer, denen Sie Rollen zugewiesen haben, können sich dann mit ihrem Active Directory-Konto bei der UiPath-Organisation anmelden. Sie müssen sich von einer Maschine aus anmelden, die mit der Domäne verbunden ist.

Fehlersuche und ‑behebung

Wenn Sie eine HTTP 500-Fehlermeldung erhalten, wenn Sie versuchen, sich mit Windows-Anmeldeinformationen anzumelden, führen Sie die folgenden Überprüfungen durch:

  1. Ist die Windows-Maschinen mit der Domäne verbunden?

    Wechseln Sie auf der Maschine zu „Systemsteuerung“ > „System und Sicherheit“ > „System“ und überprüfen Sie, ob eine Domäne angezeigt wird. Wenn keine Domäne angezeigt wird, fügen Sie die Maschine zur Domäne hinzu. Maschinen müssen mit der Domäne verbunden sein, um die Windows-Authentifizierung mit dem Kerberos-Protokoll zu verwenden.

  2. Können Sie sich bei der Windows-Maschine mit den gleichen Anmeldeinformationen anmelden?

    Wenn nicht, bitten Sie Ihren Systemadministrator um Hilfe.

  3. Verwenden Sie einen anderen Browser als Microsoft Edge?

    Bei anderen unterstützten Browsern als Microsoft Edge ist einezusätzliche Konfiguration erforderlich.

  4. Überprüfen Sie die Keytab-Konfiguration:
    1. Nach dem Generieren der Keytab sollte die Eigenschaft des AD-Benutzers auf dem Active Directory Server (servicePrincpalName) in der Form HTTP/<Service Fabric FQDN> sein – z. B. HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

    2. Die Option Dieses Konto unterstützt die Kerberos AES 256-Bit-Verschlüsselung muss für das Benutzerkonto in AD ausgewählt sein.

      Wenn sie nicht ordnungsgemäß konfiguriert ist, wird im Identity-Service-API-Protokoll Folgendes angezeigt:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

  5. Wenn Sie mehrere Active Directorys in der von Ihnen verwendeten Domäne konfiguriert haben, schlägt die Authentifizierung fehl und im Identity-Service-API-Protokoll wird Folgendes angezeigt: 

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    Stellen Sie in diesem Fall sicher, dass das für die Authentifizierung erstellte Maschinenkonto in alle Active Directorys repliziert wird.

  6. Wenn Sie ktpass ausführen und dem Benutzerkonto ein neues Kennwort zuweisen, erhöht sich die Schlüsselversion (kvno) und macht die alte Keytab ungültig. Im Identity-Service-API-Protokoll wird Folgendes angezeigt: 
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    In diesem Fall müssen Sie krb5KeytabSecret in ArgoCD aktualisieren.
  7. Wenn der folgende Fehler im identity-service-api -Pod auftritt: 
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Überprüfen Sie zuerst, ob Sie den Parameter global.userInputs.identity.krb5KeytabSecret in ArgoCD angegeben haben. Wenn der Parameter vorhanden ist, überprüfen Sie, ob Sie sich mit den Anmeldeinformationen des AD-Benutzers, der zum Generieren der Keytab verwendet wird, bei der Windows-Maschine anmelden können. Beachten Sie, dass Sie die Keytab neu generieren müssen, wenn das Kennwort geändert wurde oder abgelaufen ist.
    2. Eine weitere mögliche Ursache für dieses Problem ist, dass ArgoCD zuvor falsch synchronisiert wurde. Um das Problem zu beheben, entfernen Sie die vorhandene global.userInputs.identity.krb5KeytabSecret , synchronisieren Sie ArgoCD, und sobald der Vorgang erfolgreich ist, aktualisieren Sie global.userInputs.identity.krb5KeytabSecret , und synchronisieren Sie erneut.

  8. Verwendet der Browser den erwarteten SPN?

    Wenn die Kerberos-Ereignisprotokollierung aktiviert wird, indem Sie diese Anweisungen befolgen, wird der Fehler KDC_ERR_S_PRINCIPAL_UNKNOWN in den Kerberos-Ereignisprotokollen angezeigt. Weitere Informationen zu diesem Problem finden Sie in der Microsoft-Dokumentation .

    Deaktivieren Sie zur Lösung dieses Problems die CNAME-Suche bei der Aushandlung der Kerberos-Authentifizierung, indem Sie die Gruppenrichtlinie ändern. Weitere Informationen finden Sie in den Anweisungen für Google Chrome und für Microsoft Edge .

War diese Seite hilfreich?

Support und Services
Hilfe erhalten
UiPath Academy
RPA lernen – Automatisierungskurse
UiPath-Forum
UiPath Community-Forum
Uipath Logo
Vertrauen und Sicherheit
Nutzungsbedingungen
Datenschutzerklärung
Cookie-Richtlinie
© 2005–2026 UiPath. Alle Rechte vorbehalten