- Primeros pasos
- Mejores prácticas
- Tenant
- Acerca del contexto de tenant
- Buscar recursos en un tenant
- Gestionar robots
- Conexión de los robots a Orchestrator
- Almacenar credenciales de robots en CyberArk
- Almacenar contraseñas de robots desatendidos en Azure Key Vault (solo lectura)
- Almacenar las credenciales de robots desatendidos en HashiCorp Vault (solo lectura)
- Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
- Eliminar sesiones desconectadas y sin respuesta no atendidas
- Autenticación de Robot
- Autenticación de robots con credenciales de cliente
- Configurar las capacidades de automatización
- Auditoría
- Servicio de catálogo de recursos
- Contexto de carpetas
- Automatizaciones
- Procesos
- Trabajos
- Desencadenadores
- Registros
- Supervisión
- Colas
- Activos
- Depósitos de almacenamiento
- Test Suite - Orchestrator
- Administración de host
- Servidor de identidad
- Autenticación
- Administración de la organización
- Otras configuraciones
- Integraciones
- Solución de problemas
Configurar la integración de Active Directory
-
Tras activar esta integración, las cuentas de usuario locales se vinculan a un usuario de Active Directory y, en el proceso, su atributo de nombre de usuario se actualiza con el formato
user@domain
. Por lo tanto, el usuario ya no puede utilizar su nombre de usuario original para iniciar sesión y debe utilizar el nuevo nombre de usuario en el formatouser@domain
o la dirección de correo electrónico vinculada a la cuenta de Active Directory. -
Al actualizar Orchestrator a la versión 2020.4+, Identity Server migra sus ajustes anteriores. Si anteriormente habías habilitado la autenticación de Windows y has configurado el inicio de sesión automático para los usuarios de Windows AD, después de realizar la actualización, los usuarios no podrán acceder a la página Proveedores externos si previamente han iniciado sesión en Identity Server. Los usuarios iniciarán sesión directamente en los tenants después de introducir sus credenciales de Windows.
Sin acceso a la página Iniciar sesión, el administrador del host no puede iniciar sesión en el tenant del host y no puede acceder al portal Identity Management.
Si se da el caso, abre un navegador en modo de incógnito y escribehttps://<OrchestratorURL>/identity/configuration
.
Requisitos previos
-
Para integrarse con Windows Active Directory (AD) y utilizar la autenticación de Windows, el puerto 389 de LDAP debe estar accesible en uno o más controladores de tu dominio.
-
En colaboración con tus administradores de TI, asegúrate de que el servidor de Orchestrator puede acceder a tu Active Directory (AD).
-
Si tienes previsto utilizar LDAP por SSL (LDAPS), debes obtener e instalar certificados para configurar un LDAP seguro en cada controlador de dominio. Para obtener más información e instrucciones, consulta el artículo Certificado LDAP por SSL (LDAPS).
Cuando los usuarios inician sesión en Orchestrator con sus credenciales de Active Directory, Orchestrator utiliza el protocolo Kerberos para autenticar a los usuarios.
Requisitos para los clústeres multinodo
- Los nodos del clúster deben estar implementados en un equilibrador de carga. Utiliza el nombre de host del equilibrador de carga siempre que se requiera el nombre de host en estas instrucciones.
- El grupo de aplicaciones de Orchestrator debe estar configurado para ejecutarse bajo una identidad personalizada. La identidad personalizada debe ser una cuenta de dominio.
Esto solo es necesario si se ejecuta un clúster multinodo o un clúster de nodo único con un equilibrador de carga.
Para los clústeres de un solo nodo sin equilibrador de carga, esto es opcional.
Si el grupo de aplicaciones de Orchestrator está configurado para ejecutarse bajo una identidad personalizada, esa cuenta debe tener un SPN registrado para el nombre de host.
Este paso es necesario si te ejecutas:
- un clúster multinodo porque hay que definir una identidad personalizada o
- un clúster de nodo único con un equilibrador de carga, que se trata igual que un clúster multinodo.
Este paso no es necesario si:
- estás ejecutando un clúster de nodo único sin equilibrador de carga y
- has elegido utilizar una identidad personalizada, pero has utilizado el nombre del ordenador del clúster como identidad personalizada.
En una máquina unida a un dominio que tiene acceso de escritura en la organización y el tenant de Orchestrator de destino:
Ahora que la integración está configurada, se recomienda realizar un inicio de sesión de prueba utilizando las credenciales de AD y verificando que se utiliza el protocolo Kerberos para el inicio de sesión.