Automation Suite
2021.10
False
Imagen de fondo del banner
Guía de administración de Automation Suite
Última actualización 25 de mar. de 2024

Configurar la integración de Active Directory

Puedes habilitar SSO utilizando la autenticación de Windows y habilitar la funcionalidad de búsqueda en el directorio con la integración de Active Directory. La búsqueda en el directorio te permite buscar cuentas y grupos del directorio y utilizarlos como lo harías con las cuentas locales.

Limitaciones conocidas

  • La búsqueda en el directorio no encuentra usuarios de un dominio de confianza externo. Esta función no es compatible porque no hay una autoridad de confianza mutua con los dominios de confianza externos.
  • La autenticación de Windows utiliza el protocolo Kerberos en Automation Suite, por lo que el inicio de sesión de Windows solo puede utilizarse con máquinas unidas a un dominio.

Paso 1. Configurar la integración de Active Directory

Colabore con sus administradores de TI para garantizar que el clúster de Automation Suite pueda acceder a su Active Directory (AD).

La integración de Active Directory puede configurarse mediante una de las dos opciones:

  1. Autenticación Kerberos
  2. Nombre de usuario y contraseña

Se recomienda la autenticación Kerberos porque es compatible con más escenarios:

Escenario

Nombre de usuario y contraseña

Autenticación Kerberos

Búsqueda en el directorio de los dominios del mismo bosque

Compatible

Compatible

Búsqueda en el directorio de dominios en un bosque de confianza

No compatible

Compatible

Búsqueda en el directorio de dominios de confianza externos

No compatible

No compatible

a. Configuración de Kerberos (recomendada)

  1. Configura la autenticación Kerberos siguiendo las instrucciones de Configurar la autenticación Kerberos.
  2. Inicia sesión en el portal del host de Automation Suite como administrador del sistema.
  3. Diríjase a Usuarios y seleccione la pestaña Configuración de autenticación.
  4. En la sección Proveedores externos, haga clic en Configurar en Active Directory.
    • Selecciona la casilla de verificación Habilitada.
    • Seleccione la casilla Usar autenticación de Kerberos.
  5. Haga clic en Probar y guardar para guardar los cambios.
  6. Reinicia el pod 'identity-service-api-*'.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

b. Configuración del nombre de usuario y la contraseña (no recomendado)

Importante: Al utilizar esta opción, el servicio UiPath utiliza las credenciales proporcionadas en texto no cifrado para comunicarse con Active Directory.
Nota: Únicamente pueden interactuar con el clúster UiPath los usuarios del mismo dominio que el configurado en esta página.
  1. Inicia sesión en el portal del host de Automation Suite como administrador del sistema.
  2. Diríjase a Usuarios y seleccione la pestaña Configuración de autenticación.
  3. En la sección Proveedores externos, haga clic en Configurar en Active Directory.

    El panel Configurar Azure Active Directory se abre a la derecha de la ventana.

  4. Configura la integración de la siguiente manera:
    • Selecciona la casilla de verificación Habilitada.
    • Para forzar el inicio de sesión con este proveedor, selecciona la casilla Forzar el inicio de sesión automático con este proveedor.
    • Selecciona la casilla de verificación Usar autenticación Kerberos para utilizar el protocolo Kerberos para la autenticación. (Recomendado)
    • En el campo Nombre a mostrar, escribe el texto que deseas mostrar en la página Inicio de sesión bajo esta opción de inicio de sesión.
    • En el campo Dominio predeterminado, escriba su nombre de dominio completo (FQDN) para Active Directory (AD).
    • En el campo Nombre de usuario, escriba el nombre de un usuario de AD. Tiene que estar en el formato de DOMINIO/nombre de usuario. Por ejemplo: DOMINIO DE PRUEBA\usuario1
    • En el campo Contraseña de usuario, escriba la contraseña de la cuenta AD anterior.
  5. Haga clic en Probar y guardar para guardar los cambios.
  6. Reinicia el pod 'identity-service-api-*'.
    1. Conéctate al Servidor principal utilizando SSH.
    2. Ejecuta el siguiente comando: kubectl -n uipath rollout restart deployment identity-service-api

Solución de problemas

Si obtiene el error Domain unreachable, compruebe el enrutamiento DNS mediante el comando getent ahosts <AD domain>.
Si no devuelve una dirección IP, compruebe el nodo /etc/resolv.conf. El valor del servidor de nombres debe apuntar al DNS del dominio AD. Si no es así, póngase en contacto con el administrador del sistema para que lo configure correctamente.

Si el nodo se ejecuta en Azure, sigue las instrucciones de Resolución de nombres para recursos en redes virtuales de Azure.

Una de las formas de lograr esto es la siguiente:

  1. En Azure, diríjase a la red virtual del nodo y configure los servidores DNS de la red virtual con los DNS de Active Directory.
  2. Ejecute systemctl restart NetworkManager.service y compruebe que /etc/resolv.conf se haya actualizado.
  3. Reinicie el núcleo del clúster DNS desde ArgoCD.

Paso 2. Configurar la autenticación de Windows

Requisito previo

Obtén <KERB_DEFAULT_KEYTAB>, que es la cadena codificada en base64 del archivo keytab generado como parte de la configuración de Kerberos.

Configurar el clúster de Automation Suite

  1. Diríjase a ArgoCD e inicie sesión como administrador.
  2. Seleccione y vaya a la aplicación «uipath».
  3. Haga clic en DETALLES DE LA APLICACIÓN en la esquina superior izquierda.
  4. En la sección PARÁMETROS, busque el parámetro global.userInputs.identity.krb5KeytabSecret.

    El parámetro tiene un valor de marcador de posición predeterminado.

  5. Actualiza el valor del marcador de posición del parámetro con <KERB_DEFAULT_KEYTAB>, y luego guarda.
  6. Haga clic en SINCRONIZAR para aplicar el cambio.
  7. Tras sincronizar con éxito, ejecute el comando kubectl -n uipath rollout restart deployment identity-service-api para reiniciar Identity Server.

Paso 3. Configuración del navegador

Microsoft Internet Explorer

No es compatible.

Microsoft Edge

No se requiere ninguna configuración adicional.

Google Chrome

Normalmente, Google Chrome funciona sin necesidad de configuración adicional.

Si no lo hace, siga las siguientes instrucciones.

  1. Diríjase a Herramientas > Opciones de Internet > Seguridad.
  2. Seleccione Intranet local.
  3. Haga clic en Sitios.
  4. Asegúrese de que esté seleccionada la opción Detectar automáticamente la red intranet o que estén seleccionadas todas las opciones.
  5. Haga clic en Avanzado.
  6. Añada el FQDN de Automation Suite a la Intranet local.
  7. Haga clic en Cerrar y en Aceptar.
  8. Haga clic en Nivel personalizado.
  9. Opcionalmente, seleccione Inicio de sesión automático solo en la zona Intranet en Autenticación de usuario

    Si se selecciona, cuando el navegador recibe la solicitud de autenticación de redirección, compruebe el origen del requerimiento. Si el dominio o la IP pertenecen a la Intranet, el navegador envía el nombre de usuario y la contraseña automáticamente. Si no es así, el navegador abre un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y espere que se introduzcan manualmente.

  10. Opcionalmente, seleccione Inicio de sesión automático con el nombre de usuario y la contraseña actuales en Autenticación de usuario.

    Si se selecciona, cuando el navegador reciba la solicitud de autenticación de redirección, envíe el nombre de usuario y la contraseña de forma silenciosa. Si el resultado de la autenticación es exitoso, el navegador continúa con la acción original. Si la autenticación falla, el navegador abra un cuadro de diálogo para introducir el nombre de usuario y la contraseña, y vuelva a intentarlo hasta que tenga éxito.

  11. Asegúrese de que la opción Habilitar la autenticación integrada de Windows está seleccionada en la pestaña Opciones de Internet > Avanzadas y en la sección Seguridad.

Mozilla Firefox

  1. Abra la ventana de configuración del navegador.
  2. Escriba about:config en la barra de direcciones.
  3. Especifica los FQDN de Automation Suite para los que utiliza la autenticación Kerberos:
    1. Busca el término network.negotiate.
    2. Habilite y configure los siguientes parámetros para Kerberos: network.negotiate-auth.delegation-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com), network.negotiate-auth.trusted-uris (valor de ejemplo: uipath-34i5ui35f.westeurope.cloudapp.azure.com) y network.negotiate-auth.allow-non-fqdn (valor: true).

Paso 4. Permitir la autenticación de Windows para la organización

Ahora que Automation Suite está integrado con la autenticación de Windows, los usuarios para los que se ha creado una cuenta de usuario en Automation Suite pueden utilizar la opción Windows en la página Iniciar sesión para iniciar sesión en Automation Suite.



Cada administrador de la organización debe seguir estos pasos si quiere permitir el inicio de sesión con credenciales de Windows.

  1. Inicia sesión en Automation Suite como administrador de la organización.
  2. Asigna un rol de nivel de organización a un usuario o grupo de Active Directory, que puedes seleccionar desde la búsqueda.
  3. Repita el paso anterior para cada usuario al que desee permitir el inicio de sesión con la Autenticación de Windows.

Los usuarios a los que ha asignado funciones pueden iniciar sesión en la organización de Automation Suite con su cuenta de Active Directory. Deben conectarse desde una máquina unida al dominio.

Solución de problemas

Si recibe un error HTTP 500 al intentar iniciar sesión con las credenciales de Windows, aquí tiene algunos elementos que debe comprobar:

  1. ¿Está la máquina Windows unida por dominio?

    En la máquina, diríjase al Panel de control > Sistema y seguridad > Sistema y compruebe si se muestra un dominio. Si no se muestra ningún dominio, añada la máquina al dominio. Las máquinas deben estar unidas a un dominio para utilizar la autenticación de Windows con el protocolo Kerberos.

  2. ¿Puedes iniciar sesión en la máquina Windows con las mismas credenciales?

    Si no es así, pida ayuda al administrador del sistema.

  3. ¿Utilizas un explorador distinto de Microsoft Edge?

    Se requiere una configuración adicional para los navegadores compatibles que no sean Microsoft Edge.

  4. Comprueba la configuración de keytab:
    1. Tras generar el keytab, en el servidor de Active Directory, la propiedad del usuario AD (servicePrincpalName) debe ser de la forma HTTP/<Service Fabric FQDN>; por ejemplo, HTTP/uipath-34i5ui35f.westeurope.cloudapp.azure.com.

    2. La opción Esta cuenta admite cifrado AES de Kerberos de 256 bits debe seleccionarse para la cuenta de usuario en AD.

      Si esto está mal configurado, en el registro de identity-service-api se puede observar:

      Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler An exception occurred while processing the authentication request.
GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Request ticket server HTTP/sfdev.eastus.cloudapp.azure.com@EXAMPLE.COM kvno 4 enctype aes256-cts found in keytab but cannot decrypt ticket).* at Microsoft.AspNetCore.Authentication.Negotiate.NegotiateHandler.HandleRequestAsync()

  5. Si tiene varios directorios activos configurados en el dominio que está utilizando, la autenticación falla, y en el registro de identity-service-api puede observar: 

    kinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentialskinit: Client 'xyz@example.com' not found in Kerberos database while getting initial credentials

    En este caso, asegúrese de que la cuenta de máquina creada para la autenticación se replica en todos los directorios activos.

  6. Si ejecuta ktpass y asigna una nueva contraseña a la cuenta de usuario, la versión de la clave (kvno) aumenta e invalida el antiguo keytab. En el registro de identity-service-api, puede observar: 
    Request ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of dateRequest ticket server HTTP/rpasf.EXAMPLE.COM kvno 4 not found in keytab; ticket is likely out of date
    En este caso, es necesario actualizar krb5KeytabSecret en ArgoCD.
  7. Si ves el siguiente error en el pod identity-service-api: 
    GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).GssApiException*GSSAPI operation failed with error - Unspecified GSS failure. Minor code may provide more information (Keytab FILE:/uipath/krb5/krb5.keytab is nonexistent or empty).
    1. Primero comprueba si has proporcionado el parámetro global.userInputs.identity.krb5KeytabSecret en ArgoCD. Si el parámetro existe, comprueba si puedes iniciar sesión en el equipo Windows con las credenciales del usuario de AD utilizado para generar el llavero. Ten en cuenta que debes volver a generar el keytab si la contraseña ha cambiado o ha caducado.
    2. Otra posible causa de este problema es que ArgoCD se haya sincronizado previamente de forma incorrecta. Para solucionar el problema, elimina el global.userInputs.identity.krb5KeytabSecret existente, sincroniza ArgoCD y, una vez que la operación se haya realizado correctamente, actualiza global.userInputs.identity.krb5KeytabSecret y vuelve a sincronizarlo.

  8. ¿El navegador utiliza el SPN esperado?

    Si el registro de eventos de Kerberos está habilitado siguiendo estas instrucciones , aparecerá el error KDC_ERR_S_PRINCIPAL_UNKNOWN en los registros de eventos de Kerberos. Para obtener más información sobre este problema, consulta la Documentación de Microsoft .

    Para resolver este problema, desactiva la búsqueda de CNAME al negociar la autenticación de Kerberos modificando la política de grupo. Para obtener más información, consulta las instrucciones para Chrome y para Microsoft Edge .

Was this page helpful?

Soporte y servicios
Obtén la ayuda que necesitas
UiPath Academy
RPA para el aprendizaje - Cursos de automatización
Foro de UiPath
Foro de la comunidad UiPath
Logotipo blanco de UiPath
Confianza y seguridad
Términos de uso
Política de privacidad
Política de cookies
© 2005-2024 UiPath. All rights reserved.