automation-suite

2024.10

true

Wichtig :

Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Automation Suite in OpenShift – Installationsanleitung

Letzte Aktualisierung 12. Juni 2025

Einrichten einer Kerberos-Authentifizierung

Voraussetzungen

Um die Kerberos-Authentifizierung erfolgreich einzurichten, müssen die folgenden Voraussetzungen erfüllt sein:

Sicherstellen, dass der Automation Suite-Cluster auf Ihr AD zugreifen kann

Bevor Sie die Kerberos-Authentifizierung konfigurieren können, müssen Sie gemeinsam mit Ihren IT-Administratoren sicherstellen, dass der Automation Suite-Cluster auf Ihr AD zugreifen kann.

Die folgenden Anforderungen müssen erfüllt sein:

Der Automation Suite-Cluster muss sich im selben Netzwerk wie die AD-Domäne befinden;
DNS muss im Netzwerk korrekt eingerichtet sein, damit der Automation Suite-Cluster die AD-Domänennamen auflösen kann.

Hinweis: Es ist wichtig, dass der Automation Suite-Cluster die AD domain names auflösen kann. Sie können dies überprüfen, indem Sie nslookup <AD domain name> auf der Hostmaschine ausführen.

Konfigurieren des AD-Dienstkontos für die Kerberos-Authentifizierung

Generieren von Parametern für standardmäßige Kerberos-Keytabs und Benutzernamen

Option 1: Durch Ausführen des Skripts (empfohlen)

Melden Sie sich mit Ihrem AD-Administratorkonto auf einer mit einer Windows-Domäne verbundenen Maschine an.
Führen Sie das Skript keytab-creator.ps1 als Administrator aus.
Geben Sie die folgenden Werte in das Skript ein:
1. Service Fabric FQDN. Zum Beispiel: uipath-34i5ui35f.westeurope.cloudapp.azure.com.
2. AD domain FQDN. Zum Beispiel: TESTDOMAIN.LOCAL.
3. Ein AD-Benutzerkonto. Sie können ein vorhandenes Konto verwenden, z. B. sAMAccountName, oder dem Skript erlauben, ein neues zu erstellen.

Die Ausgabedatei enthält die Parameter <KERB_DEFAULT_USERNAME> und <KERB_DEFAULT_KEYTAB>, die für die Kerberos-Einrichtung erforderlich sind.

Option 2: Manuell

Wenden Sie sich an Ihren AD-Administrator, um ein AD-Benutzerkonto zu erhalten, und rufen Sie <KERB_DEFAULT_USERNAME> und <KERB_DEFAULT_KEYTAB> für dieses Konto wie folgt ab:

Erstellen Sie auf Ihrem AD-Server ein neues Benutzerkonto. Wenn Sie bereits über eines verfügen, fahren Sie mit Schritt 2 fort.
1. Klicken Sie in der Active Directory-Konsole für Benutzer und Computer mit der rechten Maustaste auf den Ordner Benutzer , wählen Sie Neu aus und dann Benutzer.
2. Beenden Sie die Erstellung des Benutzerkontos.
Klicken Sie mit der rechten Maustaste auf das Benutzerkonto und wählen Sie Eigenschaften aus.
Gehen Sie zur Registerkarte Konto und wählen Sie dann unter Kontooptionen die Option Dieses Konto unterstützt eine Kerberos AES 256-Bit-Verschlüsselung.
Wichtig: Die in den nächsten Schritten generierte Keytab wird ungültig, wenn das Kennwort des AD-Benutzers abgelaufen oder aktualisiert wurde. Überlegen Sie, ob Sie für dieses AD-Benutzerkonto die Option Kennwort läuft nie ab unter Kontooptionen aktivieren. Alternativ können Sie das Kennwort aktualisieren, wenn es abläuft, und eine neue Keytab generieren.
Um eine Keytab-Datei für den SPN (Service Principal Name) zu generieren, öffnen Sie PowerShell mit Administratorzugriff und führen Sie den folgenden Befehl aus:
```
ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1ktpass -princ HTTP/<Service Fabric FQDN>@<AD FQDN in cap> -pass <AD user's password> -mapuser <AD NetBIOS name in cap>\<AD user name> -pType KRB5_NT_PRINCIPAL -out <output file path> -crypto AES256-SHA1
```
Einige Felder müssen in Großbuchstaben angegeben werden. Zum Beispiel:
```
ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1ktpass -princ HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com@TESTDOMAIN.LOCAL -pass pwd123 -mapuser TESTDOMAIN\aduser -pType KRB5_NT_PRINCIPAL -out c:\krb5.keytab -crypto AES256-SHA1
```
Nach dem Erstellen der Keytab ändert sich der Benutzeranmeldename zu HTTP/<Service Fabric FQDN>. Verwenden Sie diesen Wert für das Feld <KERB_DEFAULT_USERNAME> in default_ad_username in input.json wie folgt:
```
"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
    },"kerberos_auth_config": {
      "enabled": true,
      "ticket_lifetime_in_hour": 8,
      "ad_domain": "AUTOSUITEAD.LOCAL",
      "default_ad_username": "HTTP/sfqakxxxx-ea.infra.uipath-dev.com",
      "default_user_keytab": "BQIAAAB9AAIxxxxxxxxxxxxxxxxxxGRCqh+yQ="
    },
```

Kodieren Sie die generierte Keytab-Datei in Base64, öffnen Sie PowerShell und führen Sie den folgenden Befehl aus:

[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

Speichern Sie die codierte Keytab-Datei. Sie verwenden sie beim Konfigurieren des UiPath®-Clusters für Kerberos. Rufen wir den Wert aus Schritt 6 auf: <KERB_DEFAULT_KEYTAB>.

Optional: Voraussetzungen der SQL-Authentifizierung

Um den UiPath®-Cluster so zu konfigurieren, dass eine Verbindung zu SQL über die integrierte Windows-Authentifizierung/Kerberos hergestellt wird, müssen Sie einige zusätzliche Schritte durchführen:

Der SQL-Server muss der AD-Domäne beitreten;
Der Automation Suite-Cluster muss sich im selben Netzwerk wie der SQL-Server befinden;
Der Automation Suite-Cluster kann die Domänennamen der AD- und SQL-Server auflösen;
Der AD-Benutzer muss Zugriff auf den SQL-Server und DB-Berechtigungen haben.

Um eine neue Anmeldung im SQL Server Management Studio zu erstellen, führen Sie die folgenden Schritte aus:

a. Navigieren Sie im Bereich Objekt-Explorer zu Sicherheit > Anmeldungen.

b. Klicken Sie mit der rechten Maustaste auf den Ordner Anmeldungen und wählen Sie Neue Anmeldung aus. Das Fenster Anmeldung - Neu wird angezeigt.

c. Wählen Sie die Option Windows-Authentifizierung. Das Fenster wird entsprechend aktualisiert.

d. Geben Sie im Feld Anmeldename die Benutzerdomäne ein, die Sie als Dienstkonto verwenden möchten.

e. Wählen Sie in der Liste Standardsprache die Option Deutsch aus.

Wichtig: Stellen Sie sicher, dass die Standardsprache auf Englisch festgelegt ist. Wenn dies nicht der Fall ist, kann die Website nicht starten und die Ereignisanzeige auf dem Computer, auf dem Orchestrator installiert ist, zeigt die folgende Fehlermeldung an: „The conversion of a varchar data type to a datetime data type resulted in an out of range value“ („Die Konvertierung Varchar Datentyps in einen DatenZeit-Datentyp führte zu einem Wert außerhalb des Bereichs“).

f. Wählen Sie OK aus. Ihre Konfigurationen werden gespeichert.

Wenn das Dienstkonto bereits erstellt und dem Abschnitt Sicherheit >-Anmeldungen des SQL Servers hinzugefügt wurde, überprüfen Sie, ob die Standardsprache dieses SQL-Kontos auf Englisch festgelegt ist. Ist dies nicht der Fall, nehmen Sie bitte die erforderlichen Anpassungen vor.

Sie müssen den Benutzer, der sich mit der SQL-Datenbank verbindet, mit der Benutzerzuordnungsrolle db_owner ausstatten, wie in der folgenden Abbildung zu sehen ist.

Wenn Sicherheitseinschränkungen Ihnen die Verwendung der Benutzerzuordnungsrolle db_owner mit der UiPath®-Anmeldung nicht erlauben, gewähren Sie die folgenden Berechtigungen:

db_datareader
db_datawriter
db_ddladmin
EXECUTE-Berechtigung für dbo-Schema

Die Berechtigung EXECUTE muss wie folgt mithilfe des SQL-Befehls GRANT EXECUTE gewährt werden:

USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GOUSE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO

Wenn Sie möchten, dass UiPath®-Anwendungen eindeutige AD-Benutzerkonten für die Verbindung zu SQL mithilfe von Integrated Security=True verwenden, müssen Sie für jede UiPath®-Anwendung wie folgt eine eindeutige Keytab erstellen. Diese wird für diese Anwendung als <KERB_APP_KEYTAB> bezeichnet.

Generieren von Parametern für Kerberos Anwendungs-Keytabs und Benutzernamen

Option 1: Durch Ausführen des Skripts (empfohlen)

Führen Sie das Skript service-keytab-creator.ps1 aus .
Geben Sie die folgenden Werte in das Skript ein:
1. AD domain FQDN. Zum Beispiel: TESTDOMAIN.LOCAL.
2. Der Benutzername und das Kennwort eines AD-Benutzerkontos. Zum Beispiel das AD-Benutzerkonto sAMAccountName und dessen Kennwort.

Die Ausgabedatei enthält die Parameter <KERB_APP_USERNAME> und <KERB_APP_KEYTAB>, die von Kerberos benötigt werden.

Option 2: Manuell

Führen Sie das folgende Skript manuell aus:

# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))# Generate keytab file and output it in the desired path 
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass 

# Converts AD user's keytab file to base 64 
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))

Der Wert <AD username> wird der <KERB_APP_USERNAME> sein, der dem <KERB_APP_KEYTAB> entspricht.

Konfigurieren der Automation Suite als Kerberos-Client

In diesem Abschnitt wird erläutert, wie Sie die Automation Suite als Kerberos-Client für den LDAP- oder SQL-Zugriff konfigurieren können.

Konfigurieren Sie die Automation Suite mit <KERB_DEFAULT_KEYTAB> als Kerberos-Client, indem Sie die Anweisungen unter Konfigurieren der Kerberos-Authentifizierung über input.json befolgen.

Hinweis: Wenn Sie verschiedene Dienste so einrichten möchten, dass sie unter ihrem eigenen AD-Konto laufen und als dieses AD-Konto auf SQL zugreifen, können Sie ad_username mit <KERB_APP_USERNAME> und user_keytab als <KERB_APP_KEYTAB> im Konfigurationsabschnitt des Dienstes angeben.

Konfigurieren der Kerberos-Authentifizierung über input.json

In der Datei input.json setzen Sie den Parameter kerberos_auth_config.enabled auf true.
Wenn Sie Kerberos für den SQL-Zugriff verwenden möchten, konfigurieren Sie sql_connection_string_template, sql_connection_string_template_jdbc und sql_connection_string_template_odbc mit dem Flag für integrierte Sicherheit.

Wenn Sie einen anderen AD-Benutzer pro Dienst einrichten möchten, führen Sie die folgenden Schritte aus:

Geben Sie ad_username und user_keytab im JSON-Objekt der Dienstgruppe an.

Aktualisieren Sie die SQL-Verbindungszeichenfolge für den Dienst, um die integrierte Sicherheit zu aktivieren.

Das JSON-Objekt sollte wie folgt aussehen:

"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
    }
}"<serviceGroupName>": {
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for this service group",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for this service group"
    }
}

Hinweis: Die Liste der Dienstgruppennamen finden Sie unter Dienstgruppen und Dienste.

Führen Sie nach dem Aktualisieren der input.json -Datei das Installationsskript aus, um die Konfiguration zu aktualisieren. Weitere Informationen finden Sie unter Verwalten von Produkten.

Beispiel für die Aktualisierung des Orchestrators und der Plattform zur Verwendung der Kerberos-Authentifizierung

"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}"kerberos_auth_config": {
    "enabled" : true, 
    "ticket_lifetime_in_hour" : 8, 
    "ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
    "default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
    "default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
  },
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
    }
    "testautomation": {
      "enabled": true
    },
    "updateserver": {
      "enabled": true
    }
},
"platform": {
    "sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
    "kerberos_auth_config": {
      "ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
      "user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
    }
}

Dienstgruppen und Dienste

In der folgenden Tabelle sind die verfügbaren Dienstgruppen und die darin enthaltenen Dienste aufgeführt. Die Namen in der Datei input.json oder in der ArgoCD-Benutzeroberfläche unterscheiden sich geringfügig.

Dienstgruppenname für `input.json`	Dienstgruppenname für ArgoCD	Enthaltene Dienste
`orchestrator`	`orchestrator`	Orchestrator, Webhooks
`platform`	`platform`	Identität, License Accountant (LA), Audit, Standort, License Resource Manager (LRM), Organisationsverwaltungsdienst (OMS)
`discovery_group`	`discoverygroup`	Automation Hub, Task Mining
`test_manager`	`testmanager`	Test Manager
`automation_ops`	`automationops`	Automation Ops
`aicenter`	`aicenter`	AI Center
`documentunderstanding`	`documentunderstanding`	Document Understanding
`insights`	`insights`	Insights
`dataservice`	`dataservice`	Data Service
`asrobots`	`asrobots`	Automation Suite-Roboter
`processmining`	`processmining`	Process Mining

Konfigurieren der Active Directory-Integration

Damit die Kerberos-Authentifizierung bei der Anmeldung in der Automation Suite verwendet werden kann, müssen Sie die Automation Suite-Hosteinstellungen weiter konfigurieren.

Deaktivieren der Kerberos-Authentifizierung

Kerberos-Authentifizierung vollständig entfernen

Führen Sie die folgenden Schritte aus, um die Kerberos-Authentifizierung vollständig zu entfernen:

Wenn Sie Kerberos zum Konfigurieren der AD-Integration verwendet haben, konfigurieren Sie AD mit der Option Benutzername und Kennwort neu, indem Sie die Anweisungen unter Konfigurieren der Active Directory-Integration befolgen.
Wenn Sie die integrierte SQL-Authentifizierung verwendet haben, konfigurieren Sie die SQL-Verbindungszeichenfolgen so, dass Benutzer-ID und Kennwortverwendet werden.
Deaktivieren Sie die Kerberos-Authentifizierung. Legen Sie in der Datei cluster_config.json den Parameter kerberos_auth_config.enabled auf false fest und führen Sie dann das Installationsskript aus, um die Konfiguration zu aktualisieren. Weitere Informationen finden Sie unter Verwalten von Produkten.

Entfernen der integrierten SQL-Authentifizierung

Führen Sie die folgenden Schritte aus, um die integrierte SQL-Authentifizierung zu entfernen:

Konfigurieren Sie die SQL-Verbindungszeichenfolgen so, dass Benutzer-ID und Kennwortverwendet werden.
Wenn Sie die integrierte SQL-Authentifizierung für alle Dienste deaktivieren möchten, legen Sie in der Datei cluster_config.json den Parameter kerberos_auth_config.enabled auf false fest und führen Sie dann das Installationsskript aus, um die Konfiguration zu aktualisieren. Weitere Informationen finden Sie unter Verwalten von Produkten.