- Erste Schritte
- Best Practices
- Organisationsmodellierung im Orchestrator
- Verwalten großer Bereitstellungen
- Beste Praktiken für die Automatisierung (Automation Best Practices)
- Optimieren von Unattended-Infrastruktur mithilfe von Maschinenvorlagen
- Organisieren von Ressourcen mit Tags
- Schreibgeschütztes Orchestrator-Replikat
- Exportieren von Rastern im Hintergrund
- Mandant
- Über den Kontext „Mandant“
- Suche nach Ressourcen in einem Mandanten
- Verwaltung von Robotern
- Verbindung von Robotern mit Orchestrator
- Speicherung von Roboterzugangsdaten in CyberArk
- Speichern der Kennwörter von Unattended-Robotern im Azure Key Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im HashiCorp Vault (schreibgeschützt)
- Speichern der Anmeldeinformationen von Unattended-Robotern im AWS Secrets Manager (schreibgeschützt)
- Löschen von getrennten und nicht reagierenden Unattended-Sitzungen
- Roboter-Authentifizierung
- Roboter-Authentifizierung mit Client-Anmeldeinformationen
- SmartCard-Authentifizierung
- Konfigurieren von Automatisierungsfunktionen
- Audit
- Einstellungen – Mandantenebene
- Ressourcenkatalogdienst
- Ordnerkontext
- Automatisierungen
- Prozesse
- Jobs
- Auslöser
- Protokolle
- Überwachung
- Warteschlangen
- Assets
- Speicher-Buckets
- Testverfahren in Orchestrator
- Sonstige Konfigurationen
- Integrationen
- Hostverwaltung
- Über die Hostebene
- Verwalten von Systemadministratoren
- Verwalten von Mandanten
- Konfigurieren von System-E-Mail-Benachrichtigungen
- Prüfungsprotokolle für das Hostportal
- Wartungsmodus
- Organisationsadministration
- Fehlersuche und ‑behebung
Orchestrator-Anleitung
Über den Identity Server
UiPath® Identity Server ist der Authentifizierungsdienst des eigenständigen Orchestrator. Sie bietet eine sichere Authentifizierung und Tokenausgabe für den Orchestrator und seine Verwaltungsportale. Der Identity Server implementiert OAuth 2.0- und OpenID Connect-Standards und wird in Unternehmensidentitätssysteme wie Active Directory integriert. Sehen Sie sich das folgende Diagramm an, um die Funktionsweise von Identity Server in einem eigenständigen Orchestrator zu verstehen.
Abbildung 1. Identity Server-Diagramm
Rolle im Orchestrator
Der Identity Server ist verantwortlich für:
- Authentifizierung von Benutzern und Anwendungen, die auf Orchestrator zugreifen
- Ausstellen von Zugriffs- und Identitätstoken
- Unterstützt OAuth 2.0 und OpenID Connect-Flows
- Integration in externe Identitätsanbieter (z. B. Active Directory, SAML-Anbieter)
- Aktivieren von einmaligem Anmelden (SSO)
- Sichern der Kommunikation zwischen dem Orchestrator und dem Identity Management-Portal
Der Orchestrator und seine Verwaltungsportale verwenden den Identity Server für die Authentifizierung.
Authentifizierungsflow im Orchestrator
- Benutzerauthentifizierung
Wenn ein Benutzer auf den Orchestrator oder das Identitätsverwaltungsportal zugreift:
- Die Anforderung wird an den Identity Server umgeleitet.
- Identity Server überprüft den Benutzer gegen:
- Lokale Konten oder
- Externe Identitätsanbieter (z. B. Active Directory, SAML).
- Bei erfolgreicher Authentifizierung stellt der Identity Server ein Sicherheitstoken aus.
- Tokenbasierter Zugriff
Nach der Authentifizierung:
- Ein OAuth-Zugriffstoken wird ausgegeben.
- Das Token umfasst nachfolgende Anforderungen an Orchestrator.
- Der Orchestrator überprüft das Token.
- Die Autorisierung wird basierend auf Rollen und Berechtigungen bestimmt. Identity Server übernimmt die Authentifizierung. Der Orchestrator erzwingt die Autorisierung.
Active Directory- und Kerberos-Integration
In Umgebungen, die der Domäne hinzugefügt wurden, unterstützt der eigenständige Orchestrator die Kerberos-basierte Authentifizierung:
- Der Client löst den Orchestrator-Hostnamen mithilfe von DNS auf.
- Der Client ruft ein Kerberos Ticket-Gewährungsticket (MGT) von Active Directory ab.
- Der Client fordert ein Dienstticket für den konfigurierten Dienstprinzipalnamen (SPN) an.
- Der IIS-Webserver validiert das Kerberos-Ticket.
- Identity Server verarbeitet die authentifizierte Identität und stellt ein Plattformtoken aus.
Dies ermöglicht nahtloses Single-Sign-On in Windows-Enterprise-Umgebungen.
Überlegungen zur hohen Verfügbarkeit
In Bereitstellungen mit mehreren Knoten:
- Identity Server wird auf mehreren Knoten hinter einem Lastenausgleich ausgeführt.
- Clients greifen über einen gemeinsam verwendeten Hostnamen des Lastausgleichs auf den Orchestrator und den Identity Server zu.
- Redis wird verwendet, um OAuth-Clientdaten und Sitzungsstatus knotenübergreifend zwischenzuspeichern und eine konsistente Authentifizierung im gesamten Cluster sicherzustellen.
- Der Dienstprinzipalname (SPN) muss mit dem Hostnamen des Lastausgleichs übereinstimmen, wenn Kerberos verwendet wird.
- Beim Wechsel von einem Setup mit einem einzelnen zu einem mit mehreren Knoten muss die öffentliche Identity Server-URL in der Datenbank und in der Datei UiPath.Orchestrator.dll.config aktualisiert werden.
Authentifizierung der externen Anwendung
Der Orchestrator unterstützt den sicheren Zugriff für:
- Externe Anwendungen
- API-Integrationen
- Kommunikation zwischen Robot und Orchestrator
Anwendungen authentifizieren sich mithilfe unterstützter OAuth-Flows (z. B. ROPC) und erhalten Token vom Identity Server.
Sicherheitsmodell
Der eigenständige Orchestrator verwendet ein zentralisiertes Authentifizierungsmodell:
- Identity Server führt die Authentifizierung durch.
- Der Orchestrator erzwingt die Autorisierung.
- Der tokenbasierte Zugriff sichert APIs und die Orchestrator-Benutzeroberfläche.
- Die Integration mit externen Identitätsanbietern (Active Directory, SAML) unterstützt die Sicherheitsanforderungen des Unternehmens.