- Erste Schritte
- Best Practices
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Beispiele für die Einrichtung
- Speicherung von Roboterzugangsdaten in CyberArk
- Einrichten von Attended-Robotern
- Einrichten von Unattended-Robotern
- Speichern von Unattended-Roboterkennwörtern in Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- SmartCard-Authentifizierung
- Audit
- Ressourcenkatalogdienst
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Test Suite - Orchestrator
- Sonstige Konfigurationen
- Integrationen
- Klassische Roboter
- Hostverwaltung
- Über die Hostebene
- Verwalten von Systemadministratoren
- Verwalten von Mandanten
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Prüfungsprotokolle für das Hostportal
- Wartungsmodus
- Organisationsadministration
- Fehlersuche und ‑behebung
Konfigurieren der Active Directory-Integration
Sie können SSO mithilfe der Windows-Authentifizierung aktivieren und die Verzeichnissuchfunktion mit der Active Directory-Integration aktivieren. Mit der Verzeichnissuche können Sie im Orchestrator nach Verzeichniskonten und -gruppen suchen und mit ihnen wie mit lokalen Konten arbeiten.
user@domain
aktualisiert. Somit kann sich der Benutzer nicht mehr seinem ursprünglichen Benutzernamen anmelden und muss stattdessen den neuen Benutzernamen im Format user@domain
oder die E-Mail-Adresse verwenden, die mit dem Active Directory-Konto verknüpft ist.
Voraussetzungen
- Für die Integration in Windows Active Directory (AD) und die Verwendung der Windows-Authentifizierung muss der LDAP-Port 389 auf einem oder mehreren Domänencontrollern in Ihrer Domäne zugänglich sein.
- Arbeiten Sie mit Ihren IT-Administratoren zusammen, um sicherzustellen, dass der Orchestrator-Cluster auf Ihr Active Directory (AD) zugreifen kann.
-
Wenn Sie LDAP über SSL (LDAPS) verwenden möchten, müssen Sie Zertifikate für die Konfiguration von sicherem LDAP auf jedem Domänencontroller beschaffen und installieren. Weitere Informationen und Anweisungen finden Sie im Artikel LDAP über das SSL-Zertifikat (LDAPS) auf der Microsoft-Website.
Wenn sich Benutzer mit ihren Active Directory-Anmeldeinformationen beim Orchestrator anmelden, verwendet der Orchestrator das Kerberos -Protokoll, um Benutzer zu authentifizieren.
Wenn Sie das Kerberos-Protokoll nicht für die Authentifizierung verwenden möchten, fahren Sie mit dem nächsten Schritt fort.
Anforderungen für Cluster mit mehreren Knoten
- Die Knoten im Cluster müssen unter einem Lastausgleich bereitgestellt werden. Verwenden Sie den Hostnamen des Lastausgleichs, wenn der Hostname in diesen Anweisungen erforderlich ist.
- Der Orchestrator-Anwendungspool muss so konfiguriert werden, dass er unter einer benutzerdefinierten Identität ausgeführt wird. Die benutzerdefinierte Identität sollte ein Domänenkonto sein.
Dies ist nur erforderlich, wenn Sie einen Cluster mit mehreren Knoten oder einen Einzelknotencluster mit einem Lastausgleich ausführen.
Für Einzelknotencluster ohne Lastausgleich ist dies optional.
Wenn der Orchestrator-Anwendungspool so konfiguriert ist, dass er unter einer benutzerdefinierten Identität ausgeführt wird, muss für dieses Konto ein SPN für den Hostnamen registriert sein.
Dieser Schritt ist erforderlich, wenn Sie Folgendes ausführen:
- einen Cluster mit mehreren Knoten, da Sie eine benutzerdefinierte Identität definieren müssen oder
- ein Einzelknotencluster mit einem Lastausgleich, der wie ein Cluster mit mehreren Knoten behandelt wird.
Dieser Schritt ist nicht erforderlich, wenn:
- Sie einen Einzelknotencluster ohne Lastausgleich ausführen und
- Sie sich für eine benutzerdefinierte Identität entschieden haben, aber den Clustercomputernamen als benutzerdefinierte Identität verwendet haben
Auf einer Maschine, die mit einer Domäne verbunden ist und Schreibzugriff in der Ziel-Orchestrator-Organisation und dem Mandanten hat:
Nachdem die Integration jetzt konfiguriert ist, empfehlen wir, eine Testanmeldung mit AD-Anmeldeinformationen durchzuführen und zu überprüfen, ob das von Ihnen gewählte Authentifizierungsprotokoll (NTLM oder Kerberos) für die Anmeldung verwendet wird.
Im Inkognito-Modus von Google Chrome fordert der Browser zur Eingabe von Anmeldeinformationen auf und führt eine explizite Authentifizierung mit Anmeldeinformationen durch. Der Ablauf funktioniert und es wird Kerberos verwendet.
- Über Integrationsoptionen
- Schritt 1. Konfigurieren des Orchestrator-Clusters (nur Kerberos)
- Festlegen einer benutzerdefinierten Identität
- SPN-Einrichtung
- Schritt 2. Konfigurieren Sie IIS, um die Windows-Authentifizierung zu aktivieren
- Schritt 3. Konfigurieren des Orchestrators
- Schritt 4. Überprüfen Sie das Authentifizierungsprotokoll